检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

恶意代码同源性分析及家族聚类

计算机工程与应用 2015年第18期51卷 76-81页

作者：钱雨村彭国军王滢梁玉武汉大学计算机学院武汉430072

针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程... 详细信息

针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。

关键词：恶意代码同源性静态分析函数调用行为特征聚类

在线全文

学校读者我要写书评

暂无评论

恶意代码的机理与模型研究

计算机工程与设计 2008年第22期29卷 5709-5712页

作者：刘毅陈泽茂沈昌祥解放军信息工程大学河南郑州450002 海军工程大学信息安全系湖北武汉430033 北京工业大学计算机科学与技术学院北京100022

恶意代码是信息系统安全的主要威胁之一。从操作系统体系结构的角度研究了恶意代码的产生根源,指出PC操作系统中存在特权主体、内核扩展机制不安全、程序执行环境保护不力等弱点是造成恶意代码泛滥的本质原因。基于***的计算机病毒定义... 详细信息

恶意代码是信息系统安全的主要威胁之一。从操作系统体系结构的角度研究了恶意代码的产生根源,指出PC操作系统中存在特权主体、内核扩展机制不安全、程序执行环境保护不力等弱点是造成恶意代码泛滥的本质原因。基于***的计算机病毒定义,对计算机病毒的传播机理进行了形式化描述。研究了蠕虫程序的模块结构。建立了数据驱动型软件攻击的理论模型,分析了其构成威胁的本质原因。

关键词：恶意代码计算机病毒模型蠕虫程序模型数据驱动攻击软件攻击操作系统安全

在线全文

学校读者我要写书评

暂无评论

恶意代码的变形技术研究

计算机应用与软件 2012年第3期29卷 74-77页

作者：吴丹飞王春刚郝兴伟山东大学计算机科学与技术学院山东济南250061 清华大学信息网络工程研究中心北京100084

恶意代码常常使用一些隐形技术来躲避反病毒软件的检测。然而,采用加密和多态技术的恶意代码已经难以躲避基于特征码和代码仿真技术的检测,而变形技术却呈现出较强的反检测能力。通过对变形技术作深入的分析,详细介绍了变形引擎及其所... 详细信息

恶意代码常常使用一些隐形技术来躲避反病毒软件的检测。然而,采用加密和多态技术的恶意代码已经难以躲避基于特征码和代码仿真技术的检测,而变形技术却呈现出较强的反检测能力。通过对变形技术作深入的分析,详细介绍了变形引擎及其所采用的代码混淆技术,以及当前的变形恶意代码检测技术,并简要分析了变形技术在软件防护领域的应用。

关键词：恶意代码变形变形引擎混淆软件保护

在线全文

学校读者我要写书评

暂无评论

恶意代码动态分析技术的研究与实现

恶意代码动态分析技术的研究与实现

作者：覃丽芳电子科技大学

学位级别：硕士

随着网络技术的高速发展和信息时代的到来,通过互联网传播和共享信息资源已经成为人们的首选,然而,网络的开放性和灵活性在给人们带来便利的同时也引入了各式各样的安全问题。据国家互联网应急中心CNCERT 2008上半年的调查报告显示,各... 详细信息

随着网络技术的高速发展和信息时代的到来,通过互联网传播和共享信息资源已经成为人们的首选,然而,网络的开放性和灵活性在给人们带来便利的同时也引入了各式各样的安全问题。据国家互联网应急中心CNCERT 2008上半年的调查报告显示,各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。在诸多的网络威胁中,恶意代码所占的比例和危害程度最大,国内外针对恶意代码的研究和防治工作也从各方面展开。本文首先详细了解和总结恶意代码的实现机理和生存技能,在比较分析恶意代码现有分析技术和检测方法的基础上提出一种基于系统调用行为和参数分析的动态分析技术,然后深入调查恶意行为的共性特征并进行特征提取和规则建模,构建恶意行为规则库,最后具体实现恶意代码动态分析系统,并给出实验结果。本文的主要工作体现如下: (1)总结研究恶意代码的实现机理、攻击技术和生存技能;(2)分析现有恶意代码分析技术和检测方法,并比较它们的优缺点;(3)收集大量样本程序并加以训练,调查恶意代码行为共性,提取行为特征,构建恶意行为规则库。 (4)提出一种基于系统调用行为和参数分析的动态分析技术,实现恶意代码动态分析原型系统。本文以正常程序、病毒、蠕虫、木马、间谍软件等作为样本对动态分析系统原型进行了功能和性能测试。实验结果表明,恶意代码动态分析系统能够成功识别出程序中的恶意行为,系统开销小,具有很高的检测效率;此外,分析系统还具备有通用调试器的反汇编和动态调试,能够动态追踪和调试具有反分析能力的恶意代码。最后,本文对全文进行了总结并客观评价了原型系统的优点和不足,指出未来的研究工作,以及对后续工作的展望。

关键词：恶意代码动态分析行为分析系统调用

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意代码增量聚类及检索技术研究

恶意代码增量聚类及检索技术研究

作者：王毅国防科学技术大学

学位级别：硕士

现今恶意代码数量呈指数趋势大量增长。利用机器学习、数据管理等手段建立自动化流水线式的恶意代码分析系统来完成对大量未知程序样本的鉴定和分析是绝大部分反病毒厂商的通用做法。作为恶意代码分析系统中的关键环节,恶意代码增量聚... 详细信息

现今恶意代码数量呈指数趋势大量增长。利用机器学习、数据管理等手段建立自动化流水线式的恶意代码分析系统来完成对大量未知程序样本的鉴定和分析是绝大部分反病毒厂商的通用做法。作为恶意代码分析系统中的关键环节,恶意代码增量聚类及检索技术的研究在实际应用中具有相当重要的意义。本文以恶意代码分析的实际应用需求为导向,真实恶意代码数据为基础,展开了一系列研究工作。主要成果有:(1)本文系统地探讨了恶意代码聚类算法中的特征选取问题,并对结合多特征进行聚类的情形也进行了讨论。用于聚类分析的常用特征分别具有不同的优势和不足,而多特征结合能在一定程度上使不同特征互补。实验数据显示多特征结合能够得到比单一特征更好的聚类结果。(2)本文设计并实现了恶意代码增量聚类算法GLIC。该算法将网格密度聚类分析与线性判别分析相结合,一方面能够有效地对高维样本进行降维,另一方面能够实时地对已有的恶意代码聚类结果进行更新。同时,基于实际恶意代码数据的实验结果表明该算法具有占有内存小、时间效率高等优点。(3)本文提出了恶意代码函数比对算法C2FM,以实现基于恶意代码聚类结果的恶意代码检索。该算法利用函数控制流程图和函数调用图协同完成不同样本间的函数比对,避免了对所有函数对进行相似度计算,提升了总体的函数比对效率。实验部分与匈牙利算法的比较反映该算法具有较好的时间效率并且其匹配准确度能够达到93%以上。

关键词：恶意代码特征选取增量聚类检索技术函数比对

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意代码检测技术的研究

恶意代码检测技术的研究

作者：杨宇波北方工业大学

学位级别：硕士

恶意代码的存在使得现在计算机系统的安全和网络的安全受到了前所未有的巨大威胁。随着各式各样的病毒和恶意工具的出现,对恶意代码的检测技术的要求也越来越高。而Rootkit工具作为其中危害性比较大的一种恶意工具,检测难度也是很高的。... 详细信息

恶意代码的存在使得现在计算机系统的安全和网络的安全受到了前所未有的巨大威胁。随着各式各样的病毒和恶意工具的出现,对恶意代码的检测技术的要求也越来越高。而Rootkit工具作为其中危害性比较大的一种恶意工具,检测难度也是很高的。Rootkit作为当前计算机安全领域的一种正在崛起中新兴后门技术,现在正在被国内外无数的黑客所学习和使用,并且与其相关的理论和功能还在不断地完善和壮大中。这些工具的出现对于计算机系统安全的防护和计算机用户隐私的保护将会是一大挑战。尤其是当Rootkit技术使用了驱动层的挂钩技术后,使得当前市面上的很多的检测工具失去了应用价值。那么,一种可靠有效的检测Rootkit的工具就显得十分的必要了。本文主要通过讨论恶意代码中主流的Rootkit工具使用的相关的理论,技术,实现方式。提出一种行之有效的检测Rootkit的实现方法。本文研究和设计的操作平台为微软的Windows XP操作系统,由于该操作系统目前的用户人数是最多的,所以该操作系统正是Rootkit工具入侵和窃取信息的主要平台,通过对该平台的Rootkit技术的研究,可以了解当前Rootkit技术的主流方向和应用范围。当前Rootkit技术的入侵主要是通过两种方式,从用户空间的入侵和从内核空间的入侵。用户空间的入侵主要是通过IAT挂钩的方式,而在内核空间则通过挂钩SSDT表的方式,并且可以从内核中隐藏自己的可疑文件和可疑进程。本文针对Rootkit工具的这些行为特征开发一种新的检测工具,通过对检测原理的分析和对检测结果的测试,证明对Rootkit的检测尤其是内核空间的检测是可以实现的。并在文章最后对该检测技术提出了未来的改进建议。

关键词：恶意代码 Rootkit 1AT挂钩 SSDT挂钩隐藏

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意代码行为动态分析技术研究与实现

恶意代码行为动态分析技术研究与实现

作者：张旻溟电子科技大学

学位级别：硕士

近年来,恶意代码和网络攻击日益频繁,造成的危害越来越大,新的威胁又不断涌现,日益严重的信息安全问题,不仅使企业及用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。为了提高对恶意代码造成的攻击的应急响应速度,就必须对... 详细信息

近年来,恶意代码和网络攻击日益频繁,造成的危害越来越大,新的威胁又不断涌现,日益严重的信息安全问题,不仅使企业及用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。为了提高对恶意代码造成的攻击的应急响应速度,就必须对恶意代码的攻击行为做出快速的分析并且设计和实现一个分析系统来达到此目的。在本文中,首先介绍了恶意代码的起源与发展,对各种恶意代码分析工具进行了比较,然后对网络攻击的特点、恶意代码所利用的攻击方法及原理、恶意代码的国内外研究现状,基于上述分析工作和结果设计并实现了一个恶意代码行为动态分析系统。该系统的主要功能是对恶意代码的攻击行为进行自动化分析,系统采用的分析方法是一种恶意代码的动态分析方法,该系统具有以下特点:1)实现了恶意代码分析流程自动化,记录样本代码对操作系统文件,网络,注册表,进程所产生的影响;2)收集恶意代码详细的攻击信息;3)实现对恶意代码的多种自启动技术的检测;4)实现了检测在注册表中进行信息隐藏的攻击技术和进程隐藏的攻击技术;5)通过虚拟机技术防止攻击扩散;6)能够检测到一些未知的恶意代码。7)实现了系统攻击恢复的自动化。该系统对2008年1月至2008年3月蜜网捕获的107个恶意代码进行了实验和分析,可以得出以下结果:1)恶意代码样本采用的技术手段。2)恶意代码样本的攻击目标。3)恶意代码攻击技术的一些发展趋势。4)恶意代码攻击技术的一些特点。5)恶意代码采用的策略。

关键词：恶意代码动态分析 API HOOK

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意代码行为本体自动生成的研究

恶意代码行为本体自动生成的研究

作者：蒋景智哈尔滨工业大学

学位级别：硕士

随着计算机与互联网技术的快速发展,越来越多的重要信息通过计算机和网络进行存储和传递,带来方便的同时,也潜藏着许多威胁。恶意代码是其中主要的威胁之一,通过窃取机密数据、传播垃圾信息、破坏计算机系统可用性等方式,给用户造成巨... 详细信息

随着计算机与互联网技术的快速发展,越来越多的重要信息通过计算机和网络进行存储和传递,带来方便的同时,也潜藏着许多威胁。恶意代码是其中主要的威胁之一,通过窃取机密数据、传播垃圾信息、破坏计算机系统可用性等方式,给用户造成巨大损失。因此,对恶意代码的分析和检测愈加迫切和重要。当前,基于静态分析的恶意代码检测方法容易因代码混淆技术而失效,基于动态分析的方法通过分析程序运行时的行为来捕捉其真实意图,有效避免了这一问题。使用本体对恶意代码动态行为进行建模并用于恶意代码检测,不仅具有很好的应用前景,还有助于理解恶意代码的变化趋势,然而,领域中目前仍然缺乏一个高效地构建恶意代码行为本体的方法。本文针对这一问题,提出了一种使用算法挖掘恶意代码行为知识和构建恶意代码行为本体的方法,并对提出的方法开展了实验研究。通过对恶意代码动态行为特征的深入研究,设计了一种从恶意代码与系统的交互信息中提取特征属性并按照发生频率进行过滤的方法。使用多种算法分别进行了恶意代码家族动态行为知识挖掘的尝试,对关联规则挖掘等算法做了改进以解决在实际应用到行为知识挖掘过程中所出现的问题。对使用各个算法得到的结果进行对比分析,从算法互补性和多样性的角度出发,提出了一种结合决策树算法和改进的关联规则挖掘算法来进行恶意代码家族行为知识挖掘的方法,包括一种通过改造这两种算法来建立多个个体学习器并对之进行集成的方法。与此同时,通过对本体理论和应用的调查研究,针对本体的结构特点,设计了一种恶意代码行为本体的类层次结构以及行为知识的具体表示方法。在此基础上,给出了使用所生成的本体对未知样本进行分析和检测的过程,此过程可以对未知样本做出预测,还可以输出未知样本中的威胁行为信息。综合这些过程,本文建立起了一个完整的恶意代码行为本体自动生成并使用生成的本体进行未知样本分析检测的总流程。通过实验对流程中的方法的有效性做了验证,对实验结果的详细分析表明,本文提出的方法可以用于构建一个有效地建模恶意代码行为特征的本体。

关键词：恶意代码动态行为分析本体

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于动态行为指纹的恶意代码同源性分析

四川大学学报（自然科学版） 2016年第4期53卷 793-798页

作者：郑荣锋方勇刘亮四川大学电子信息学院成都610065

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种... 详细信息

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.

关键词：恶意代码同源性动态行为指纹特征