有色Petri网的Android恶意代码建模方法研究

针对Android平台的恶意代码分析建模一直是目前移动终端安全的研究重点,对目前常见的恶意代码进行归纳、分类和行为抽取,在对行为进行形式化描述的基础上,提出了一种基于有色Petri网(colored-Petri net,CPN)的恶意代码建模方法,使用该方法能够描述恶意代码从安装、加载到恶意执行的整个过程。最后对恶意软件Bean Bot进行建模,并利用CPN Tools仿真工具分析了模型的可达性和有界性等性质。实验表明该方法可以准确地刻画恶意代码的运行过程,有助于对恶意代码的机制进行深入分析。     

基于可信计算的恶意代码防御机制研究*

根据TCG规范中可信传递的思想,提出一种恶意代码防御机制,对被执行的客体实施完整性度量以防止恶意代码的传播;对客体的执行权限严格进行控制,防止恶意代码的执行,降低恶意代码的传播速度并限制其破坏范围,确保系统的完整性不被破坏。利用可信计算技术设计并实现恶意代码防御机制。     

跨平台的进程迁移设计与实现

针对进程迁移实现过程中涉及到的信息,通过调用Java JDI接口,从Java虚拟机中获取进程执行状态参数,并按策略转发给有空闲计算资源的节点.该技术实现具有平台无关性,提高了分布式系统的效率,通用性强;并且可以保证本地执行环境不受侵害,防止恶意代码窃取本地信息.     

基于Android平台恶意代码逆向分析技术的研究

文章针对当前基于安卓平台恶意代码分析技术的滞后性,介绍了安卓平台的基本结构,结合目前基于安卓平台恶意代码的主要破坏方式,采用静态分析机制,研究了基于安卓平台恶意代码逆向分析技术,为公安机关打击移动网络环境下的违法犯罪活动提供技术支持。     

基于M序列的恶意代码分片插入机制

恶意代码的生存周期包括恶意代码的产生、传播、隐藏和破坏.其中,隐藏是恶意代码生存周期中极其重要的一环.研究恶意代码的隐藏技术,了解隐藏技术的原理和关键技术,才能更好地防御恶意代码的攻击.目前,恶意代码的深层隐藏与检测技术已经成为当前计算机安全领域的一个研究热点.为了更深入地研究恶意代码,首先分析恶意代码的模糊变换和分片插入技术,然后利用M序列的随机性和状态遍历特性,提出了一种基于M序列的恶意代码分片插入机制.实验证明该机制能够有效提高恶意代码的随机性和抗分析能力.     

基于UI自动遍历的Android恶意代码动态分析方法

随着移动互联网的快速发展,针对移动平台尤其是Android平台的恶意代码威胁也日益严重。恶意代码分析方法包括静态分析和动态分析两大类。由于静态分析方法难以处理一些经过变形、加密、混淆等技术处理的代码,动态分析已经成为了恶意代码分析领域的发展热点。现有的Android平台动态分析技术存在着分析环境易被识别、分析的代码覆盖率难以保证等问题。如何触发Android平台恶意代码的恶意行为,提高动态分析的全面性是保证动态分析效果的关键问题之一。提出基于UI自动遍历的Android恶意代码动态分析办法,可在一定程度上解决此问题。该方法结合Android平台自身的特色,基于UI元素自动构造不同的执行路径,可有效提高代码分析的全面性。     

StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架

恶意代码问题使国家安全面临严重威胁.随着TLS协议快速普及,恶意代码呈现出流量加密化的趋势,通信内容加密导致检测难度的进一步提高.本文提出一种恶意代码流量伪装框架StealthyFlow,以采用加密流量进行远控通信的公共资源型恶意代码与GAN结合,对恶意流量进行不影响攻击功能的伪装,旨在实现伪装后的对抗流量与良性流量的不可区分性,进而绕过基于机器学习算法的分类器.StealthyFlow具有如下优势:根据目标流量的变化动态调整对抗流量,实现动态流量伪装;伪装在恶意代码层面进行,保证攻击功能不被破坏;绕过目标不参与训练过程,保证恶意代码不会提前暴露.实验结果表明,StealthyFlow产生的攻击流量与良性流量相似度极高,在对抗环境中可以绕过机器学习分类器.因此,需要对此种恶意代码提起注意,并尽快研究防御对策.     

基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性.     

一种基于行为的Android系统资源访问控制方案

Android Permission机制作为一种粗粒度的访问控制机制,不能有效地阻断应用程序对系统资源的滥用,使得Android恶意代码容易借此实施攻击.因此,在Android Permission机制的基础上提出了基于行为的Android系统资源访问控制方案,对应用程序访问系统资源的行为进行规范,防止系统资源被滥用而破坏系统安全.该方案利用TLCK(temporal logic of causal knowledge)时序逻辑描述语言,为与系统安全相关的关键系统资源访问定义安全的行为模式,并对应用程序执行过程中的行为进行动态监视,通过比对应用程序的动态行为模式和资源访问要求的安全行为模式,实施访问控制.与基于恶意行为特征的恶意代码检测方案相比,安全的资源访问行为模式更容易定义,并且能够应对未知攻击.最后,针对占Android恶意代码比例最高的短信(short message service,SMS)攻击,对系统中的SMS资源进行细粒度、基于行为的访问控制实现,并通过验证实验证明,该方案具有良好的效能和性能表现.     

计算机抗恶意代码免疫模型

很多针对计算机恶意代码的免疫模型和算法要求学习训练的代价比较大,另外这些算法本身也不同程度地存在问题,离实际应用有较大距离,该文提出一种新的计算机抗恶意代码免疫模型。该模型不需要计算和识别恶意代码的具体特征,通过直接消除恶意代码传播和实施破坏的前提条件,使得计算机系统对恶意代码具有自身免疫的能力。     

EasiSHA:一种软硬件协同的物联网可重塑终端架构

提出了一种软硬件协同的物联网可重塑终端架构EasiSHA,采用以可重塑计算部件为核心的终端体系结构,能够针对应用需求动态调整软硬件资源配置,在提供较高通用性的同时能够有效降低终端的硬件冗余度.提出了一种软硬件任务调度机制,根据物联网应用运行时所需终端的性能指标,实时动态改变计算任务的执行方式,在终端性能满足应用需求的前提下优化终端整体功耗.提出了一种计算任务复用机制,采用软硬件协同的方式实现应用程序与标准计算任务之间的松耦合,减小应用程序与计算任务之间的关联度,并结合云端任务共享机制实现任务的可复用性,能够有效优化物联网应用的开发速度和成本.     

基于密码隔离的恶意代码免疫模型

基于访问控制的恶意代码防御模型对恶意代码实行的是逻辑隔离,它可能被旁路且防御效果受限于访问控制策略的有效性.本文基于密码学原理建立了一个恶意代码免疫模型,以克服逻辑隔离的脆弱性;定义了代码植入规则、保护规则和执行规则,实现代码存储和执行的安全;证明了在系统初态安全且代码加、解密密钥安全的条件下,任何时刻恶意代码都不会被执行和传播.     

一种基于Cloud-P2P计算模型的恶意代码联合防御网络

针对目前的反病毒系统在应对恶意代码时通常具有的滞后性,提出并构建了一种新颖的基于Cloud-P2P计算模型的恶意代码联合防御网络。Cloud-P2P计算模型将云计算与对等计算进行有机融合。恶意代码联合防御网络系统中的集群服务器与用户终端群体联合组成了一个高安全防御网,协同防御恶意代码,并快速产生群体免疫力。为了提高系统的性能表现,提出适用于Cloud-P2P融合计算环境的两种基于分布式哈希表的层次式网络结构C-DHT和D-DHT,并通过引入移动agent技术实现了恶意代码联合防御网络中的疫苗agent和巡警agent。基于Cloud-P2P计算模型的恶意代码联合防御网络具有负载均衡、反应快捷、防御全面和兼容性良好等性能表现。     

一种基于Multi-Agent恶意代码行为捕获方案的设计与实现

恶意代码行为捕获是进行恶意代码行为分析,提高防御恶意代码能力的基础。当前,随着恶意代码技术的发展,恶意代码结构及其通信活动日益复杂,使得传统的恶意代码行为捕获技术难以有效应对恶意代码的攻击与破坏。如何更加有效地捕获恶意代码行为成了目前信息安全领域的研究热点。基于此目的,本文在充分利用Agent的自主性和适应性,实时采集目标系统的状态信息的基础上,提出了一种基于多Agent的恶意代码行为捕获方案,分析了其行为捕获流程,介绍了功能模块组成,并基于Windows平台实现了该方案,为下一步针对恶意代码分析及防御提供了良好的基础。     

开放云端计算环境中的任务执行代码安全机制

云端计算可以充分聚合Internet网络服务器端和边缘终端节点的计算资源来获得更大的效益。但将计算任务部署到用户终端上执行却带来了安全隐患。分属于不同用户的海量终端节点之行为显然不可靠,计算安全性也难以保障。特别是作为任务执行者的用户终端节点可能篡改任务中的程序代码或数据,返回的是虚假的结果,或是窥探有私密性要求的代码和数据。提出一种新的基于内嵌验证码的加密函数的代码保护机制,它可同时满足计算完整性和私密性,能够有效验证返回结果的正确性,并保障计算代码不被窥知。为了进一步提高任务执行的成功率和缩短作业周转时间,将任务代码优先分发给信誉良好且执行成功率高的节点来执行。还提出了一种评估任务执行节点可信性的方法。具体描述了任务执行代码保护机制的实现流程,并对机制的性能进行了详细的分析与验证。     

Windows环境下信任链传递及其性能分析

动态多路径信任链(DMPTC)是一个基于软件类型特点的系统可信验证和保证机制.DMPTC对静态的系统软件和动态的应用软件加以区分,并采用不同的方式和策略对软件的装载运行加以控制,使得计算平台只运行那些有可信来源的可执行代码,从而确保平台的可信和安全.DMPTC可以用来防范各种已知和未知的恶意代码,并可以用来加强对生产信息系统中应用软件的管理和控制.DMPTC可以克服传统的静态单路径信任传递在系统灵活性和实用性层面的缺陷,并且在系统性能方面进行了深入的考虑和深层的优化.系统性能分析和实际测试结果都表明,在Windows系统平台上实现的DMPTC对系统运行带来的性能损失小于1%.     

基于EAP-TLS的可信网络连接认证方案设计与实现

TNC架构在终端接入网络前对终端的平台身份和平台环境进行可信认证,保证了接入终端的可信,但这种可信认证存在单向性的局限,无法保证网络服务器的可信。EAP-TLS是802.1x中一种基于证书的扩展认证协议,支持双向认证机制。本文在分析TNC架构和EAP-TLS双向认证机制基础上,设计了一种基于EAP-TLS的可信网络连接双向认证方案,该方案能够对终端和服务器的平台身份、平台完整性和平台可信环境进行双向认证。在FHH@TNC开源架构搭建的可信网络环境上实现了客户端与服务器之间双向可信认证方案,并进行了方案测试,证明了方案的正确性。     

基于环境敏感分析的恶意代码脱壳方法

加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码脱壳方法,利用动静结合的分析技术检测并清除恶意代码的环境敏感性.首先,利用中间语言对恶意代码的执行轨迹进行形式化表示;然后,分析执行轨迹中环境敏感数据的来源和传播过程,提取脱壳行为的环境约束;最后,求解环境约束条件,根据求解结果对恶意代码进行二进制代码插装,清除其环境敏感性.基于此方法,作者实现了一个通用的恶意代码脱壳工具:MalUnpack,并对321个最新的恶意代码样本进行了对比实验.实验结果表明MalUnpack能有效对抗恶意代码的环境敏感技术,其脱壳率达到了89.1%,显著高于现有基于动态监控的通用脱壳工具的35.5%和基于特征的定向脱壳工具的28.0%.     

并行的Windows应用层主动防御信任链模型

为了提高Windows应用层完整性度量的效率,防止一些恶意代码在应用程序通过完整性校验后仍可以在进程创建时以执行体"重定向"等方法继续运行,破坏系统的完整性,本文利用虚拟化技术、白名单技术和Hook技术提出一种并行的Windows的主动防御信任链传递模型,降低了应用层完整性度量时间开销,且有效地阻止了破坏系统完整性的恶意代码的运行。通过对所提模型的形式化验证,表明新模型满足可信传递需求。     

Windows消息钩子的拦截和清除

为了防止恶意程序通过消息钩子的方式将恶意代码插入到其它进程中去,分析了Windows操作系统中系统服务的调用机制以及消息钩子机制,提出了一种在操作系统内核模式下拦截消息钩子和直接对消息钩子内核对象进行清除的方法.与现有方法相比能够有效的在操作系统内核模式下拦截和清除消息钩子,防止被恶意程序绕过,从而有效地阻止了恶意代码的插入.实验结果表明,该方法能够有效的阻止进程中被注入恶意代码.