恶意程序

摘要： 在病毒、流氓软件等众多恶意程序中,木马算是很“阴险”的一类。它的活动往往比较隐蔽,入侵方式灵活多样,对系统的危害很大。从木马技术的发展方向上看,其入侵方式还会不断翻新花样。面对狡猾的木马,如何全面有效地将其清除呢?仅仅依靠杀软等安全软件,有时会显得力有不逮。

摘要： 石油天然气SCADA系统是国家关键信息基础设施,涉及到国计民生和国家安全。随着攻击技术的飞速发展和攻击的组织化,油气SCADA系统面临严峻的安全形势。本文基于恶意程序行为智能识别算法技术,以工业主机为防护重点,构建油气SCADA主动防御系统,以提高工控系统抗组织化攻击能力。

摘要： 恶意程序传播严重威胁异质无线传感器网络(Heterogeneous WSNs, HWSNs)的数据安全和网络可靠性。为揭示HWSNs恶意程序传播的内在规律,提出一种考虑潜伏和隔离机制的新传染病模型SEQIRD(Susceptible-Exposed-Quarantined-Infected-Recovered-Dead)。使用传播动力学方程描述节点各状态之间的动态转换过程,根据微分方程稳定性定理计算SEQIRD的稳定点,基于下一代矩阵法得到SEQIRD的基本再生数,并证明SEQIRD无病稳定点的稳定性。仿真实验验证了HWSNs恶意程序消亡的条件以及关键状态转移概率参数对SEQIRD稳定性的影响,为系统管理员制定一系列安全防御策略从而抑制HWSNs恶意程序传播奠定了理论基础。

摘要： 结合地质档案数据中心功能属性的和业务特点,构建了一套基于零信任安全构架的地质档案数据中心安全防护体系,使得地质档案数据中心运行在安全的环境下,免受黑客攻击、病毒、木马及恶意程序等的入侵。在数字中国建设不断推进、数字经济稳步发展的背景之下,全国地勘单位改革不断深入,地质档案信息化建设不断发展,地质档案数据中心在地质资料的管理和应用过程中发挥着越来越关键的作用。

摘要： 为了解决现有检测系统存在的漏检和错检问题,提高恶意程序的检测准确率,基于机器学习设计了恶意程序检测系统。该系统设计包含硬件设计和软件设计。其中:硬件设计选用VT-x初始化芯片、TB9081处理器以及FT24C储存器;软件设计先采集处理恶意程序检测的数据,再设计恶意程序检测功能模块,从而实现高精度恶意程序检测。完成上述设计后,对系统进行测试。结果表明,基于机器学习的恶意程序检测系统的检测准确率较高,说明该系统性能良好,具有有效性。

摘要： 每输入一个验证码,你可能都付出了一次义务劳动,而且是能改变未来的那种。你是否关注过我们每天都“破解”好几次的各类验证码,其实它一点都不简单。早期的互联网是一片蛮荒丛林,黑客编写的恶意程序横行霸道。它们伪装成人类,制造了大量的马甲用户、垃圾信息甚至诈骗邮件,网站被恶意灌水,邮箱被塞满垃圾邮件,人们不胜其扰。那么,该如何把伪装成人类的程序机器人鉴定出来呢?

摘要： 本文重点介绍恶意检测系统的设计与开发。随着应用市场发展周期的推进,移动恶意应用快速增长,导致智能手机频繁遭受攻击事件,使得每一个移动互联网网民都面临着个人用户信息泄露和经济财产损失的安全威胁。移动操作系统使用范围最广的是安卓系统,由于其开源的特性,经常被不法分子用于制作恶意应用,如何对大量安卓恶意应用进行特征提取和分析,成为了摆在学术界和产业界面前亟待解决的问题。恶意应用特征信息包含了“基本信息”、“恶意行为”、“函数调用”、“运行状态”等信息,为解决上述问题提供了数据基础。只有对大量的恶意应用进行深度分析,挖掘出与恶意应用相关的典型特征信息,对恶意应用特征信息进行统计分析,才能实现对未知恶意应用的批量化分析鉴别,同时也可以对恶意应用特征演变趋势进行预测。

摘要： 网络空间中充斥着大量的恶意代码,其中大部分恶意程序都不是攻击者自主开发的,而是在以往版本的基础上进行改动或直接组合多个恶意代码,因此在恶意程序检测中,相似性分析变的尤为重要.研究人员往往单一种类的信息对程序相似性进行分析,不能全面地考量程序的有效特征.针对以上情况,提出综合考虑动态指令基本块集合的语义特征和控制流图的结构特征的程序相似性分析方法,从语义和结构两个维度对恶意程序相似性进行分析,具有较高的准确度和可靠性.

摘要： 本文对利用沙盒技术对恶意程序的检测起到重要的作用及应用进行分析,首先对恶意程序做出简要描述,通过对比当前主流的安全检测技术,分析基于沙盒技术的安全检测系统所具有的优势,对基于沙盒技术的安全检测系统做出方案设计,通过测试分析该系统的性能并记录运行的过程,最后得出结论并提出改进方案。

摘要： 为反映恶意程序传播环境下物联网可用的状态,基于扩展的SEIRD传染病模型和马尔可夫链提出一种物联网可用度评估方法.根据物联网节点的实际状态,扩展经典传染病模型SIR建立SEIRD物联网节点状态转换模型.由物联网节点各个状态之间的动态变化过程,构建物联网节点处于5种状态的概率动力学方程,得到反映各状态转换的马尔可夫矩阵,进一步得到物联网节点的可用度计算方法.以典型的星形和簇形物联网拓扑结构为例,给出整个物联网可用度的评估方法.通过实验,为管理员如何合理部署正常工作节点数、路由数提供建议.研究成果对提高物联网可用度、促进物联网成功应用具有理论指导意义.

摘要： 文章提出了一种基于网络数据包捕获分析的DGA算法破解方法,首先捕获僵尸程序发出的DNS域名解析请求报文,通过分析恶意域名的结构特征对DGA算法形成一个初步的认识,再利用静态分析工具在恶意程序中搜索顶级域名字符串,定位DGA核心算法汇编代码,之后将汇编程序转化为高级语言程序,运行程序、计算得到未来所有可用域名信息.经过测试,发现应用这种方法可以快速、准确定位"僵木蠕"恶意程序中的DGA核心代码,提高取证分析效率.

摘要： 识别二进制程序中的程序算法,在恶意程序检测、软件分析、网络传输分析、计算机系统安全保护等领域有着广泛的应用和重要的意义.本文提出基于离线汇编指令流分析的恶意代码算法识别技术,综合运用二进制插桩、污点跟踪、循环识别等技术,从行为语义、关键常数两个维度对程序进行描述,并且分析提取特征.算法识别模型使用机器学习算法,针对双维度特征生成初阶识别模型,并通过模型融合优化识别效果,实现对广义程序算法的高准确率识别.

摘要： Ad Hoc网络的对等体系结构和节点资源受限使得其比传统网络面临更多的安全威胁.近年来,恶意程序研究已成为国际上网络安全和信息安全领域最前沿和最活跃的研究方向之一,无线网络中恶意程序研究已经开始成为恶意程序研究领域的一个新热点.首先分析了Ad Hoc网络的网络体系结构及安全威胁、常见的恶意程序的分类及仿生物传播模型,然后从SEIR病毒传播模型的微分方程入手、针对该模型应用Ad Hoc无线自组网出现的问题,通过引入网络拓扑特性和免疫延迟等概念对恶意程序传播模型进行了改进,结合网络拓扑动态演变恶意程序传播过程设计一个改进的传播算法和动态免疫策略.综合考虑网络病毒传播特性、网络基础特性和免疫策略对改进模型进行了仿真实验分析,实验结果表明免疫策略和节点的度都影响恶意程序传播.

摘要： 2016年7月,国家计算机病毒应急处理中心共发现病毒741,503个,比6月上升4.5％,新增病毒47,602个,比6月上升5.6％,感染计算机45,967,310台,比6月上升4.8％,主要传播途径仍以"网络钓鱼"和"网页挂马"为主.文章具体分析了7月份互联网上出现的利用电子邮件传播的木马程序、针对安卓手机的恶意程序Godless、针对Mac操作系统的木马程序OSX/Keydnap以及新型恶意勒索软件CuteRansomware。

摘要： 互联网络开放性产生了许多安全问题,如中国遭受境外的网络攻击持续增多;网上银行面临的钓鱼威胁愈演愈烈;信息泄露网上犯罪层出不穷;工业控制系统安全事件呈现增长态势;手机恶意程序呈现多发态势;木马和僵尸网络活动越发猖獗等,互联网络空间一朝遭到破坏可能会带来巨大损失.鉴于此,必须认清互联网络空间安全面临的形势和任务,充分做好对互联网络安全工作重要性和紧迫性的认识,系统研究互联网络空间安全挑战问题,并提出治理对策,是一个亟待解决的问题.

摘要： 文章分析了计算机病毒的数量以及主要传播途径，对互联网上出现的恶意程序以及恶意门们程序变种的动态运行进行了系统阐述。

摘要： 虚拟化系统中的恶意程序具有攻击层次更低,破坏方式更隐蔽的特点,给系统安全造成了严重威胁.介绍了虚拟化系统中安全问题的分类与形成原因,根据防护方法的不同将目前基于虚拟化的安全研究分为三类:基于虚拟机的入侵检测、基于虚拟机的内核保护、基于虚拟机的系统检测.分别介绍了三类方法的特征以及典型的安全模型,重点分析了每种安全模型的保护目标与基本方法.对现有虚拟化安全研究中待解决的虚拟机监控器安全、形式化验证等问题进行了讨论,最后给出了虚拟化安全可能的发展方向.

摘要： 互联网网络安全总体形势2016年,我国互联网产业发展迅猛,网络安全状态总体平稳,网络安全法制化进程迈出实质性步伐,但面临的网络安全形势依然十分严峻.我国互联网规模稳居全球第一"十三五"规划纲要发布明确提出实施网络强国战略要求加快建设数字中国推动信息技术与经济社会发展深度融合加快推动信息经济发展壮大.

摘要： 互联网网络安全总体形势2016年,我国互联网产业发展迅猛,网络安全状态总体平稳,网络安全法制化进程迈出实质性步伐,但面临的网络安全形势依然十分严峻.我国互联网规模稳居全球第一"十三五"规划纲要发布明确提出实施网络强国战略要求加快建设数字中国推动信息技术与经济社会发展深度融合加快推动信息经济发展壮大.

摘要： 互联网网络安全总体形势2016年,我国互联网产业发展迅猛,网络安全状态总体平稳,网络安全法制化进程迈出实质性步伐,但面临的网络安全形势依然十分严峻.我国互联网规模稳居全球第一"十三五"规划纲要发布明确提出实施网络强国战略要求加快建设数字中国推动信息技术与经济社会发展深度融合加快推动信息经济发展壮大.

摘要： 本发明涉及一种分析恶意程序传播规律的方程组，如式一所示，本发明还涉及一种基于微分方程模型的恶意软件扩散预测方法，包括数据统计：针对选定的区域，恶意程序及恶意程序类型进行数目和信息统计，得到统计数据；数据分析，对统计数据进行计算，得到初始值、潜伏期、感染率和被控制率；数据求解，将所述初始值、潜伏期、感染率和被控制率代入方程组，利用龙格‑库塔法求解，得到预测的感染设备数。本发明采用大数据技术结合常微分方程模型，对恶意程序感染的设备进行分析预测，以便了解恶意程序的扩散趋势并制定相关的策略。

摘要： 本发明涉及用于检测恶意程序的判定模型及恶意程序的检测方法。所涉及的用于检测恶意程序的判定模型的建立方法包括规则生成和机器学习算法训练，其中规则生成是将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合，所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则；机器学习算法训练是使用OCSVM算法训练模型，得到OCSVM算法模型。所涉及的恶意程序的检测方法是利用所涉及的判定模型对待检测程序进行判定。本发明的技术方案具有多层次和系统化的特点，在各步骤有效控制误检，提高了恶意程序行为检测在实际计算机安全问题中应用的可行性。

摘要： 本发明提出一种程序的行为特征提取方法、恶意程序的检测方法、装置和客户端，其中程序的行为特征提取方法包括以下步骤：运行待测程序；接收第一测试短信，并获取待测程序在匹配第一测试短信时调用的预置关键字；以及根据预置关键字生成第二测试短信，并提取待测程序根据第二测试短信产生的行为特征，并将行为特征添加至待测程序对应的行为特征集合。根据本发明实施例方法，能够实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。

摘要： 确定第一应用程序是恶意程序。第一应用程序可能被提供以在处理系统上安装。可以通过由处理器执行的静态分析扫描第一应用程序，以确定第一应用程序的用户界面布局疑似处理系统上安装的第二应用程的用户界面布局。如果第一应用程序的用户界面布局疑似处理系统上安装的第二应用程的用户界面布局，则可以生成表明第一应用程序是恶意程序的警报。

摘要： 一种基于程序结构特征的恶意程序检测方法，1）恶意程序特征库的建立；2）恶意程序变形变种的检测；3）函数结构信息的提取；4）函数参数个数的提取；5）恶意程序特征的提取；6）恶意程序族的族特征提取；在建立恶意程序特征库时，首先对用于训练的每个恶意程序族中的每个样本程序进行程序结构分析与提取，获得其程序特征；然后对所提取的恶意程序族中各个样本程序的程序特征进行融合；在恶意程序变形变种检测时，首先对待检测程序进行程序结构分析，获得其程序特征；然后将待检测程序的程序特征分别与恶意程序特征库中的恶意程序族的族特征进行相似度匹配，判断是否为已知恶意程序的变形变种。

摘要： 本发明涉及一种分析恶意程序传播规律的方程组，如式一所示，本发明还涉及一种基于微分方程模型的恶意软件扩散预测方法，包括数据统计：针对选定的区域，恶意程序及恶意程序类型进行数目和信息统计，得到统计数据；数据分析，对统计数据进行计算，得到初始值、潜伏期、感染率和被控制率；数据求解，将所述初始值、潜伏期、感染率和被控制率代入方程组，利用龙格‑库塔法求解，得到预测的感染设备数。本发明采用大数据技术结合常微分方程模型，对恶意程序感染的设备进行分析预测，以便了解恶意程序的扩散趋势并制定相关的策略。

摘要： 本发明涉及用于检测恶意程序的判定模型及恶意程序的检测方法。所涉及的用于检测恶意程序的判定模型的建立方法包括规则生成和机器学习算法训练，其中规则生成是将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合，所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则；机器学习算法训练是使用OCSVM算法训练模型，得到OCSVM算法模型。所涉及的恶意程序的检测方法是利用所涉及的判定模型对待检测程序进行判定。本发明的技术方案具有多层次和系统化的特点，在各步骤有效控制误检，提高了恶意程序行为检测在实际计算机安全问题中应用的可行性。

摘要： 本发明是一种恶意程序检测装置以及恶意程序检测方法。该恶意程序检测装置用以检测一程序，该程序执行一第一处理程序。该恶意程序检测装置包含一储存单元以及一处理单元，该储存单元用以储存一恶意程序的一恶意行为规范；该处理单元用以根据该第一处理程序建立一第一行为规范；比较该第一行为规范与该恶意行为规范，并产生一比较结果；根据该比较结果更新一行为记录表；以及根据该行为记录表判断该程序为该恶意程序。

摘要： 本申请涉及网络安全技术领域，提供一种恶意样本增强方法、恶意程序检测方法及对应装置。其中，恶意样本增强方法包括：获取原始恶意样本，该原始恶意样本为二进制文件；利用原始恶意样本训练生成对抗网络，该生成对抗网络包括判别器以及生成器；训练好后，利用生成器生成扩充恶意样本；将扩充恶意样本与原始恶意样本结合，形成增强的恶意样本集。该方法可基于少量的原始恶意样本派生出大量的扩充恶意样本，从而有利于增加样本集中恶意样本的数量，使得训练出来的恶意程序检测模型的泛化能力显著提高，进而对于多类恶意程序都能够有效地检测。并且，该方法中的扩充恶意样本由生成器自动生成，无需人工介入，因此是一种高效的样本增强方法。

摘要： 本发明提出一种程序的行为特征提取方法、恶意程序的检测方法、装置和客户端，其中程序的行为特征提取方法包括以下步骤：运行待测程序；接收第一测试短信，并获取待测程序在匹配第一测试短信时调用的预置关键字；以及根据预置关键字生成第二测试短信，并提取待测程序根据第二测试短信产生的行为特征，并将行为特征添加至待测程序对应的行为特征集合。根据本发明实施例方法，能够实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。