基于客户端蜜罐的恶意网页检测系统的设计与实现

分析基于网页的恶意行为特点，设计一个基于客户端蜜罐的恶意网页检测系统。该系统将蜜罐与爬虫相结合，通过设计一个网络爬虫来获取url数据源，利用蜜罐内的客户段引擎自动化启动Internet Explorer浏览网页，并监控通过浏览恶意网页下载的恶意软件。最后，分析恶意代码，将恶意网页加入黑名单。     

网页内容链接层次语义树的恶意网页检测方法

针对攻击者利用URL缩短服务导致仅依赖于URL特征的恶意网页检测失效的问题,及恶意网页检测中恶意与良性网页高度不均衡的问题,提出一种融合网页内容层次语义树特征的成本敏感学习的恶意网页检测方法。该方法通过构建网页内容链接层次语义树,提取基于语义树的特征,解决了URL缩短服务导致特征失效的问题;并通过构建成本敏感学习的检测模型,解决了数据类别不均衡的问题。实验结果表明,与现有的方法相比,提出的方法不仅能应对缩短服务的问题,还能在类别不均衡的恶意网页检测任务中表现出较低的漏报率2.1%和误报率3.3%。此外,在25万条无标签数据集上,该方法比反病毒工具VirusTotal的查全率提升了38.2%。     

基于恶意网页检测的蜜罐系统的改进

客户端蜜罐是一种新型的蜜罐,它能有效地检测客户端攻击。针对低交互客户端蜜罐在恶意网页的检测速度上不够理想的缺陷,提出了利用线程池的技术提高系统的检测速度。实验表明,线程池技术的使用,明显地提高了系统的检测速度。     

融合多种特征的恶意URL检测方法

随着Web应用的日益广泛,Web浏览过程中,恶意网页对用户造成的危害日趋严重.恶意URL是指其所对应的网页中含有对用户造成危害的恶意代码,会利用浏览器或插件存在的漏洞攻击用户,导致浏览器自动下载恶意软件.基于对大量存活恶意URL特征的统计分析,并重点结合了恶意URL的重定向跳转、客户端环境探测等逃避检测特征,从页面内容、JavaScript函数参数和Web会话流程这3个方面设计了25个特征,提出了基于多特征融合和机器学习的恶意URL检测方法——HADMW.测试结果表明：该方法取得了96.2%的精确率和94.6%的召回率,能够有效地检测恶意URL.与开源项目以及安全软件的检测结果相比,HADMW取得了更好的效果.     

基于代价敏感学习的恶意URL检测研究

随着大数据时代的到来,恶意URL作为Web攻击的媒介渐渐威胁着用户的信息安全。传统的恶意URL检测手段如黑名单检测、签名匹配方法正逐步暴露缺陷,为此本文提出一种基于代价敏感学习策略的恶意URL检测模型。为提高卷积神经网络在恶意网页检测领域的性能,本文提出将URL数据结合HTTP请求信息作为原始数据样本进行特征提取,解决了单纯URL数据过于简单而造成特征提取困难的问题,通过实验对比了三种编码处理方式,根据实验结果选取了最佳字符编码的处理方式,保证了后续检测模型的效果。同时本文针对URL字符输入的特点,设计了适合URL检测的卷积神经网络模型,为了提取数据深层特征,使用了两层卷积层进行特征提取,其次本文在池化层选择使用BiLSTM算法提取数据的时序特征,同时将该网络的最后一个单元输出达到池化效果,避免了大量的模型计算,保证了模型的检测效率。同时为解决数据样本不均衡问题,在迭代过程中为其分配不同惩罚因子,改进了数据样本初始化权重的分配规则并进行了归一化处理,增加恶意样本在整体误差函数中的比重。实验结果表明本文模型在准确率、召回率以及检测效率上较优于其他主流检测模型,并对于不均衡数据集具有较好的抵抗能力。     

基于双层注意力机制的恶意URL检测

随着信息化技术的不断发展,网络空间中存在的威胁也在不断变化。其中,基于恶意URL的攻击手段层出不穷。针对恶意URL识别与检测问题进行了深入探究,设计并实现了具有双层注意力机制的Bi-LSTM网络模型对恶意URL进行识别和检测,并将其命名为A2Bi-LSTM。该模型分别在字符级别及单词级别对恶意URL中包含的可疑内容进行注意力权值的计算,进一步提升了恶意URL的识别精度。实验结果表明,A2Bi-LSTM对恶意URL的识别准确率达到97%,相较于传统检测模型有着更好的检测效果,能够有效应对此类攻击威胁,有助于网络空间安全体系的构建。     

数据挖掘在恶意网页动态检测中的应用研究

设计并实现一种恶意网页动态检测模型。模型通过对Capture-HPC蜜罐日志进行数据挖掘的方法,解决了蜜罐系统检测误警率过高的问题。通过将蜜罐日志转换成操作序列和挖掘序列,可以有效地通过聚类分析提取属性特征信息,并优化作为判别依据的黑白名单。通过实验验证了模型设计的合理性,以及模型降低误警率的有效性。     

一种基于Google的恶意网页防御技术

本文针对目前恶意网页攻击呈上升趋势的现状,利用Google搜索引擎对恶意网页给出的警告,采用BHO技术制作恶意网页防御工具,在用户访问前对即将访问的URL实施在线诊断,对含有恶意代码的网页进行报警,实现了对恶意代码的＂物理隔离＂,保护用户电脑,给用户提供了一个安全的上网环境。     

Win XP存在严重缺陷 微软建议安装补丁

据几名安全专家表示,每当发布服务包时,微软总是建议用户立即安装,但一个非常容易被利用的Windows XP安全缺陷使得这种操作系统的用户立即下载和安全新发布的SP1变得尤为重要。据研究这一缺陷的人士称,该缺陷还不太有名,但非常容易被利用。只要点击一个恶意的URL,就能够删除运行Windows XP的系统上的任何文件。黑客可以通过电子邮件传播恶意的URL,邀请收件人点击,或者将恶意的URL发布在新闻组或网页上。安全专家史蒂夫表示,     

大数据环境下基于决策树的恶意URL检测模型

恶意网址URL检测一直是信息安全防御技术领域的研究热点之一。针对传统恶意URL检测技术无法自主探测未知URL,并且缺乏适应大数据时代发展的能力等问题,设计并实现了一种基于大数据技术,结合决策树算法与黑白名单技术的恶意URL检测模型。该模型基于Spark分布式计算框架,利用已知URL训练集提取特征、训练决策树分类模型,然后用已有分类模型对黑白名单无法检测出的URL进行分类预测,达到检测目的。实验证明,构建的检测模型具有很好的检测效果和稳定性。     

蜜罐先知型半分布式P2P Botnet的构建及检测方法

蜜罐技术在僵尸网络（botnet）的防御和检测中扮演着重要的角色。攻击者可能会利用已有的基于蜜罐防御技术的漏洞,即防御者配置蜜罐要担当一定的责任,不允许蜜罐参与真实的攻击,进而构建出可以躲避蜜罐的botnet。针对这一问题,提出了攻击者利用认证sensor组建的蜜罐先知型半分布式P2P botnet,针对此类botnet,提出了用高交互性蜜罐和低交互性蜜罐相结合的双重蜜罐检测技术,并与传统蜜罐技术做了比较。理论分析表明,该检测方法能够有效地弥补蜜罐防御技术的漏洞,提高了蜜罐先知型半分布式P2P botnet的检出率。     

基于蜜罐的免疫病毒检测模型的设计

传统的病毒检测系统大多不能检测到新病毒和变形病毒.在传统蜜罐的基础上引入重定向机制,结合蜜罐技术和人工免疫原理,提出了一个基于蜜罐的免疫病毒检测系统模型.介绍了模块的工作流程,分析了与检测器相关的机制.与其它病毒检测系统相比,该模型能极大地减少需要分析的数据量并能够检测到新病毒,也从一定程度上降低了误报率.     

一种网页挂马攻击中的重定向混淆检测方法

当前关于网页挂马攻击检测的研究集中于静态检测方法和动态检测方法,但随着Web应用中动态交互技术及代码混淆技术的大量应用,静态检测方法效果已不明显,同时动态检测方法往往耗时过多。本文在总结当前关于网页挂马攻击检测研究的基础上,提出网页挂马攻击中的JavaScript重定向混淆检测方法,并基于开源JavaScript脚本引擎SpiderMonkey进行设计与实现。此方法可有效解决网页挂马攻击中的JavaScript脚本重定向混淆问题,也可作为低交互客户端蜜罐与高交互客户端蜜罐结合使用提高检测效率。     

基于Honeypot的可疑度模型

提出了基于Honeypot系统的可疑度模型，它可以从外部访问主机中判断入侵主机。这个模型通过分析Honeypot系统里一段时间内发生的所有事件，对访问Honeypot系统的主机赋予一个可疑度的值。如果可疑度的值超过某一个阈值，则此访问者被认为是入侵者。采用了大量的模拟试验对模型进行了测试和分析，在特定的Honeypot系统内测试了模型的误判率，结果证明可疑度模型对于检测Honeypot系统里的入侵者是一个有效的方法。     

浅析引导型蜜罐群在网络安全中的应用

随着入侵攻击的复杂多样化和网络管理的难度加大,蜜罐技术作为网络安全主动防御技术的重要组成部分越来越受到人们的重视,它主要经历了欺骗系统、蜜罐和蜜网等几个发展阶段,旨在对入侵攻击进行监视、检测和分析。本文结合中小型网络安全的实际需求,提出一种新的蜜罐思路：引导型蜜罐群,设计了相应的网络安全模型,并分析它的关键技术及实际应用。     

分布式虚拟陷阱网络系统的设计与实现

目前大部分安全技术被设计用来阻止未授权的可疑行为获取资源，同时安全工具是作为一种防御措施被布置，所以它们对网络的保护有限。在分析国内外研究现状的基础上，针对现有网络安全工具在入侵检测以及防护等方面的不足，设计和实现了分布式虚拟陷阱系统。该系统所分布的代理由混合Honeynet和低交互的Honeypot构成，降低了Honeypot固有的风险，增加了模拟的真实性，弥补了现存的各类Honeypot的不足。作为一种动态安全防御机制，可以有效地提高大规模网络的整体安全性，是传统安全机制的有力补充。     

利用蜜罐技术捕捉来自内部的威胁

近几年来人们对蜜罐技术进行了广泛的研究,但对蜜罐的研究主要集中在对来自网络外部威胁的检测与信息收集,很少有利用蜜罐对来自内网的威胁研究。本文论述了如何利用蜜罐技术来检测、标识及收集来自内部威胁的信息。     

基于生物免疫机制的计算机病毒研究

今天,计算机病毒的破坏性越来越严重,严重影响了正常数据的传输和应用。研究把生物免疫系统的工作机理和蜜罐系统进行了结合,提出了一种新的计算机病毒入侵检测模型,通过实例研究证明,该系统与其他入侵检测系统相比增加了可适应性、自治性、健壮性等特点,为计算机病毒的研究提出了新的研究方法。     

Anti-honeypot technology

Spammers continually scan the Internet for open proxy relays: by using these open relays, they can obscure their originating IP address and remain anonymous. However, when a spammer comes across a service on a honeypot, that honeypot can collect valuable information about the spammer's true identity and help unmask it. In response to the threat that honeypots pose to spammers, the first commercial anti-honeypot technology has surfaced: Send-Safe's Honeypot Hunter (www.send-safe. com) attempts to detect "safe" proxies for use with bulk-mailing tools. This honeypot-detection system's appearance, in association with other emerging spam tools, suggests three important trends: honeypots are affecting spammers, current honeypot technology is detectable, and more honeypot-identification systems are likely. The ability to detect a honeypot is unlikely to remain limited to spammers; other hostile or malicious groups could benefit from similar identification systems. In an effort to create undetectable honeypot systems, we need a significant improvement in today's honeypot technologies.