恶意软件检测中解决样本不平衡问题的策略

互联网技术已经使人们的生活和工作发生了巨大的改变．然而,人们在享受互联网提供的便利的同时,也承受着恶意程序带来的威胁．在数字化时代的今天,与恶意程序的对抗已成为信息领域的焦点．由于恶意软件检测中的恶意软件样本难于获取,同时,标记大量的样本也需要花费大量的人力和物力,所获得的恶意软件样本远远少于正常软件样本,因此各类的训练样本之间存在分布不平衡的分类问题．为了解决该问题,本文提出采用SMOTE过采样方法,通过合理的增加少数类样本来解决样本不平衡问题．     

基于“In-VM”思想的内核恶意代码行为分析方法

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。     

基于免疫原理的恶意软件检测模型*

针对恶意软件检测尤其是未知恶意软件检测的不足,提出一种基于免疫原理的恶意软件检测模型,该模型采用程序运行时产生的IRP请求序列作为抗原,定义系统中的正常程序为自体,恶意程序为非自体,通过选定数量的抗体,采用人工免疫原理对非自体进行识别。实验结果表明,此模型在恶意软件的检测方面具有较高的准确率,且误报和漏报率较低,是一种有效的恶意软件检测方法。     

可解释的基于图嵌入的Android恶意软件自动检测

Android恶意软件的几何式增长驱动了Android恶意软件自动检测领域的发展。一些工作从可解释性的角度来分析Android恶意软件,通过分析模型获取最大影响的特征,为深度学习模型提供了一定的可解释性。这些方法基于特征相互独立的强假设,仅仅考虑特征各自对模型的影响,而在实际中特征之间总是存在着耦合,仅考虑单个特征对模型的影响,难以反映耦合作用,不能刻画不同类型软件中敏感API的组合模式。为解决该问题,将Android软件刻画成图,并结合图的结构信息和图节点内部的信息提出了一种基于图嵌入的方法来检测Android恶意软件。该方法通过注意力机制学习Android软件的低维稠密嵌入表示。实验结果表明,使用学到的嵌入表示进行恶意软件检测,不仅具有较高的分类精度,还可以通过分析注意力分数较大的路径寻找影响模型决策的模式以及定位恶意行为所涉及的敏感API序列。     

基于梯度提升决策树的变形宏病毒检测

宏病毒在高级持续性威胁中被广泛运用.其变形成本低廉且方式灵活,导致传统的基于病毒规则库的反病毒系统难于有效对抗.提出一种基于梯度提升决策树的变形宏病毒检测方法.该方法以病毒专家经验为指导,实施大规模特征工程,基于词法分析对变形宏病毒做细粒度建模,并使用海量样本训练模型.实验表明,该方法能够准确检测企业级用户网络中传播的真实变形宏病毒和主流变形工具生成的变形宏病毒;对400万个宏程序样本进行10折交叉验证,准确率和召回率分别达到99.41％和97.34％,优于现有其他方法.     

Attention-CNN在恶意代码检测中的应用研究

恶意代码攻击已经成为互联网最重要的威胁之一,并且现存的恶意代码数据庞大,特征多样。为了更好地提取恶意代码特征以及掌握恶意代码的行为,提出了基于注意力机制的Attention-CNN恶意代码检测模型。首先结合卷积神经网络(CNN)和注意力机制,构建了Attention-CNN恶意代码检测模型;然后将恶意代码转化为灰度图像作为模型输入,通过对Attention-CNN模型训练及测试得到恶意代码对应的注意力图以及检测结果;最终将从恶意代码注意力图中提取的重要字节序列用于人工分析,以揭示恶意代码的相关行为。实验结果表明,相比于支持向量机(SVM)、随机森林、J48.trees以及未结合注意力机制的CNN,Attention-CNN取得了更好的检测效果。相比于vsNet,Attention-CNN在准确率方面提高了4.3个百分点。并且从注意力图中提取的重要字节序列能够有效减轻人工分析的负担,获取恶意代码的相关行为,同时弥补了灰度图形式的恶意代码检测的不可解释性。     

一种虚拟环境下的Rootkit检测与处理技术

rootkit对系统的危害十分严重,其极强的隐蔽性为检测带来了很大的困难。当前对rootkit的检测方法中存在一些不足,并且缺少对检测到rootkit后的定位与处理。针对现有检测方法中的不足,提出了一种虚拟环境下基于虚拟机监控器(Virtual Machine Monitor,VMM)的rootkit检测与处理技术,并在Xen上实现了原型系统rDetector。使用以安全链表为基础的多视图同步谎言检测机制检测rootkit的隐藏性,以内核敏感信息完整性检查检测rootkit对系统的攻击,并利用VMM提供了对rootkit的定位与处理。实验表明,rDetecor对rootkit的检测效果良好,能够迅速准确的检测出rootkit对系统的攻击,并能有效地对rootkit进行处理,对系统造成的性能损失在可接受的范围内。     

受恶意程序传染的WSNs可生存性评估

为实现传感节点数据高可靠传输的无线传感器网络WSNs（Wireless Sensor Networks）,提出一种针对受恶意程序传染的聚簇WSNs可生存性评估方法。通过使用能预测恶意程序传染行为的博弈模型,将恶意程序传染的故意性与马尔可夫链的随机性关联,实现利用马尔可夫链中的状态转换描述恶意程序传染行为的目的。使用提出的易感节点可靠度评估指标,根据可靠性理论将聚簇WSNs看作一个“并-串-并”系统,推理得到了一个簇、一条路由直至整个WSNs的可靠度评估指标,最终得到WSNs生存期评估指标。实验分析了影响WSNs可生存性的因素,结果表明提出的方法能有效评估WSNs的可生存性,为设计高可生存的WSNs提供理论基础。     

Anatomy of a Data Breach

ABSTRACT

In the wake of undiscovered data breaches and subsequent public exposure, regulatory compliance and security audit standards are becoming more important to protecting critical assets. Despite the increase in the number of data breaches via illicit means, internal controls seem to fail when it comes to the assurance that critical assets remain uncompromised. According to the Identity Theft Resource Center, 336 breaches have been reported in 2008 alone, 69%?greater than this time last year ¹ 1. Identity Theft Resource Center. (2008, July 15). IRTC 2008 Breach List. . This is a concern for security teams, especially since a lack of dedicated resources exists to combat and revert this trend.

This is significantly important to take into consideration when going through the formal audit process to certify adherence to Sarbanes-Oxley (SOX), Graham Leach Bliley (GLBA), Payment Card Industry (PCI), or the Health Insurance and Portability and Accountability Act (HIPAA). With the significant increase in data exposure corporations cannot afford to take shortcuts when it comes to information assurance. Otherwise it is almost certain that one will become a victim of a serious exposure of sensitive information. This paper will explore the several disconnects between established and accepted security audit framework and the variable of hidden infections.     

A Survey on Fast-flux Attacks

ABSTRACT

“Fast-flux” refers to rapidly assigning different IP addresses to the same domain name. Although there are some legitimate uses for this technique, recently it has become a favorite tool for cyber criminals to launch collaborative attacks. After it was first observed by Honeynet, it was reported that fast-flux has been used in phishing, malware spreading, spam, and other malicious activities linked to criminal organizations. Combining with peer-to-peer networking, distributed command and control, web-based load balancing, and proxy redirection, fast-flux makes Internet attacks more resistant to discovery and counter-measure. This article aims at giving a comprehensive survey on fast-flux attacks. Some important issues including technical background, classification, characterization, measurement and detection, and mitigation are discussed. Challenges of detecting and mitigating fast-flux attack are also pointed out.