恶意行为

摘要： 为应对勒索病毒对关键信息基础设施的严重威胁,近日,北京威努特技术有限公司发布了其自主研发的勒索病毒专防专治产品--威努特主机防勒索系统。据威努特安全专家介绍,威努特主机防勒索系统是基于主动防御理念打造的专门防范勒索病毒的终端安全产品。产品深度结合操作系统底层驱动技术,检测勒索病毒恶意行为、保护核心业务免遭中断、恢复恶意加密的系统数据,实现事前防御、事中检测/阻断、事后恢复的勒索病毒防范能力。

摘要： 你是否遭遇或听说过“勒索软件”?勒索软件是一种恶意软件,它对个人、组织或机构的关键数据、文件和操作系统进行加密,并需要支付一笔赎金才能对其进行解密。它是一种网络操纵形式,恶意行为者会在其中找到易受攻击的漏洞并将其用于攻击组织,从而使他们无法访问其计算机、数据库、服务器、应用程序和文件。

摘要： 为提升数据挖掘技术与网络恶意行为识别准确率,研究基于大数据关联规则的网络恶意行为识别检测方法。模糊化处理网络中存在的大数据,构建模糊数据库,分类聚集模糊数据库中的模糊数据,离散化处理模糊数据的连续属性,确定模糊数据频繁关联规则,通过基于模糊关联规则的数据挖掘方法获得整理后的网络数据;以此为基础,分析用户恶意访问流量特征,加权处理用户访问流量特征与用户信息熵特征,建立多特征融合的网络恶意行为识别模型,完成网络恶意行为识别检测。经实验验证,该方法识别检测网络恶意行为时准确率较高,在93%以上,漏检测率较低,低于8%,在数据挖掘时具有较低的时间消耗与空间消耗,支持度较高。

摘要： 为提升数据挖掘技术与网络恶意行为识别准确率,研究基于大数据关联规则的网络恶意行为识别检测方法.模糊化处理网络中存在的大数据,构建模糊数据库,分类聚集模糊数据库中的模糊数据,离散化处理模糊数据的连续属性,确定模糊数据频繁关联规则,通过基于模糊关联规则的数据挖掘方法获得整理后的网络数据;以此为基础,分析用户恶意访问流量特征,加权处理用户访问流量特征与用户信息熵特征,建立多特征融合的网络恶意行为识别模型,完成网络恶意行为识别检测.经实验验证,该方法识别检测网络恶意行为时准确率较高,在93％以上,漏检测率较低,低于8％,在数据挖掘时具有较低的时间消耗与空间消耗,支持度较高.

摘要： 网络攻击每时每刻都在进行,攻击手段也不断更新。使用第三方程序或从外部注入病毒方式会留下明显的痕迹,大多数反恶意软件工具都可以发现并将其阻止。在新的攻击形式中,恶意文件并不会写入磁盘,它们在内存(RAM)中执行,并且与合法的系统进程混合在一起,并利用Windows操作系统自带的工具(如PowerShell)进行恶意行为。

摘要： 有分析认为,近日中国驻美国休斯敦总领馆被迫关闭、美方抓捕中国学者等事件背后,美国司法部是一大推手。美国司法部2018年底出台“中国行动计划”——这一所谓对抗中国恶意行为的“专项行动”也被一些媒体和学者译为“中国倡议”——在美国大选年的关键时刻走向前台。

摘要： 介绍了移动互联网应用程序(App)的现状,说明了开展App检测的必要性,并从法律法规、行业标准的角度探讨了App检测的维度,分析了两种主流的检测技术,最后提出了防护建议.

摘要： 国家计算机病毒中心:发布违规App和SDK国家计算机病毒中心发布了《移动App违法违规问题及治理举措》,其中App和SDK存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为,涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。其中,MOMO陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融(版本5.2.32)、云闪付(版本6.2.6)等下载量很高的应用也名列其中。

摘要： To solve the existing problems of malicious behavior analysis technology based on virtual machine,such as the detection points are single,the anti-interference ability is weak,and the reliability of test results do not have high reliability, a method of multidimensional attribute extraction and reconstruction for virtual memory process was proposed. According to the characteristics of VMware virtual environment memory, the serialized behavior patterns in the lifecycle of the process were reconstructed such as startup, hiding, suspicious operations, network communication, etc. And the formal description as was given. Ulteriorly,the six tuples were extended into evidence chain and a malicious behavior recognition model based on improved k-means algorithm was proposed. By calculating the similarity between the six tuples of different processes,the set of malicious processes was used to initialize the cluster center combined with a priori knowledge. And then the relevance and dependence of behavioral evidence in virtual memory was analyzed. The test results show that the detection rate of malicious processes in 1 000 samples is as high as 91.98%. Compared with the traditional memory forensics technology, the virtual memory process information reconstructed in this paper is more sufficient,and the result of malicious behavior judgment is more accurate and reliable.%为了解决现有虚拟机的恶意行为分析技术检测点单一、抗干扰能力弱、检测结果可信度不高等问题,提出了一种基于虚拟内存进程重构和进程关系识别的虚拟检测技术.通过分析VMware虚拟内存特点,重构进程生命周期中的启动、隐藏、可疑操作、网络通信等序列化行为,并形式化描述为六元组.进一步地,将六元组扩展为证据链并提出一种基于改进k-means算法的恶意行为识别模型,通过计算不同进程六元组之间的相似度,结合先验知识,使用恶意进程集初始聚类中心,进而辨识出虚拟内存中的恶意进程及其关联性和依赖关系.测试结果表明:1000个样本中恶意进程的检出率高达91.98%,相比传统内存取证技术该方法重构出的虚拟内存进程信息更加充分,恶意行为判定结果的准确性、可靠性更高.

摘要： 本报告是基于中国科学院软件研究所2014年申请的一个863项目.这个项目称为"云环境下的恶意行为检测与取证",由中国科学院软件研究所联合CNCERT、公安部一所、绿盟科技、安天实验室、UCloud等共九家单位一起承担.这个项目的立项说明我国开始重视电子取证这个领域的技术方法的研究.云环境下的恶意行为检测与取证首先要确认的一个问题是：什么是恶意行为?因为是对恶意行为的检测，首先要定义恶意行为。对于恶意行为的检测，首先识别云环境下需要监控和检测的对象。然后，对于各个检测对象进行相应的处理。欧美大概70％～90％的刑事案件涉及移动取证，国内还没有统计结果，估计不低。NIST在2014年发布了移动取证的指南——G1lidelines on Mobile DeviceForensicr—对于移动取证的过程、取证工具的要求等做了详细规定。笔者的团队也在研究移动取证，认为移动取证应该从设备、系统、网络和应用四个层面去研究，每—个层面都有很多热点难点问题需要解决。最后，希望更多的专家学者能够关注并参与到取证的研究和开发中来，从根本上改变我国只是Follower的状态，真正拿出创新成果做Leader。

摘要： 在目前已广泛应用的P2P网络中，由于缺乏严格的身份验证和信任机制，存在着许多欺诈等恶意行为，系统的有效性和可用性难以保证。本文总结了当前在信任模型方面的研究，以及P2P网络中存在的恶意行为模式，并针对不同的恶意行为分别对几种典型的P2P信任模型进行模拟试验，对比分析了P2P信任模型的特点和对各种恶意行为的抑制作用。结果表明基于反馈的信任模型能够有效地抵御多种恶意节点的破坏、提高网络服务的有效性。

摘要： 现有的信任模型大多通过单一信任值来判定节点的好坏，这种方法无法抵抗网络中的某些恶意行为，特别是对于P2P网络中独有的搭便车行为、"公共物品的悲哀"等问题，缺乏有效的抑制。针对该问题，本文针对P2P网络提出了一种新的多层多维信誉模型，通过节点的信任值、贡献值、资源值等不同维度综合评价节点的信誉，并且，按照信誉将节点划分为不同层次。分析可知该模型可以有效抵御多种恶意行为及多种自私行为，并能解决传统信任模型产生的一些性能问题。

摘要： 利用蜜罐技术监控网络恶意行为从而分析网络安全趋势和对攻击行为进行早期预警已成为网络安全领域的一个新研究方向. 在网络中合理部署蜜罐是有效搜集恶意行为信息面对的首要问题. 首先对蜜罐部署的研究层面进行阐述,然后对与蜜罐部署相关的交互度、位置、数量、模式等诸多因素进行详尽分析,从理论上推导出均匀分布下蜜罐部署数量与网络资源总数的中间合适比值,据此比值给出IPv4和IPv6网络中蜜罐数目的极限值. 最后对实际部署的基于honeyd的低交互度蜜罐技术采集数据进行统计分析,为蜜罐部署研究提供实际佐证.

摘要： 近年来Android恶意代码分析技术不断进步,已经取得了一些重要的研究成果,对恶意代码的传播及其造成的危害起到了有效的遏制作用.随着Android应用程序检测技术的不断发展,对未知样本的安全检测需求越来越旺盛,本文提出一套动、静态程序分析技术结合的基于行为的Android应用软件检测框架,能有效地对未知恶意软件进行检测,提高检测效率.

摘要： 近年来Android恶意代码分析技术不断进步,已经取得了一些重要的研究成果,对恶意代码的传播及其造成的危害起到了有效的遏制作用.随着Android应用程序检测技术的不断发展,对未知样本的安全检测需求越来越旺盛,本文提出一套动、静态程序分析技术结合的基于行为的Android应用软件检测框架,能有效地对未知恶意软件进行检测,提高检测效率.

摘要： 近年来Android恶意代码分析技术不断进步,已经取得了一些重要的研究成果,对恶意代码的传播及其造成的危害起到了有效的遏制作用.随着Android应用程序检测技术的不断发展,对未知样本的安全检测需求越来越旺盛,本文提出一套动、静态程序分析技术结合的基于行为的Android应用软件检测框架,能有效地对未知恶意软件进行检测,提高检测效率.

摘要： 近年来Android恶意代码分析技术不断进步,已经取得了一些重要的研究成果,对恶意代码的传播及其造成的危害起到了有效的遏制作用.随着Android应用程序检测技术的不断发展,对未知样本的安全检测需求越来越旺盛,本文提出一套动、静态程序分析技术结合的基于行为的Android应用软件检测框架,能有效地对未知恶意软件进行检测,提高检测效率.

摘要： 在自身经验和其它节点推荐的基础上提出了一种Peer-to-Peer的分布式信任模型,该模型计算出相关节点的全局信任度,依据计算结果选择信任度高的节点进行交易,并给出了模型的数学实现方法.分析表明,该信任模型算法简单适用,在模型的安全性等问题上有较大改进.

摘要： 在自身经验和其它节点推荐的基础上提出了一种Peer-to-Peer的分布式信任模型,该模型计算出相关节点的全局信任度,依据计算结果选择信任度高的节点进行交易,并给出了模型的数学实现方法.分析表明,该信任模型算法简单适用,在模型的安全性等问题上有较大改进.

摘要： 检测装置(100)根据针对用于区分监视对象网络的终端或者恶意软件的每个识别符取得的事件，生成按照该事件的发生顺序形成的事件序列。之后，检测装置(100)在相似度在一定程度以上的各事件序列形成的类群中，取出属于同一类群的事件序列之间共同出现的事件，从相似的共同事件序列，提取由出现频度高的事件之间的关系构成的代表事件序列作为检测用事件序列。之后，检测装置(100)基于生成的基于监视对象网络的通信的事件序列和提取的检测用事件序列的匹配，检差出监视对象网络的终端被恶意软件感染。

摘要： 恶意通信模式提取装置(10)具备：统计值计算部(132)，其由通信量日志(31)和通信量日志(21)计算对于字段及值的组即每个通信模式的出现频度的统计值，该通信量日志(31)是恶意软件所产生的通信量获得的，该通信量日志(21)是由规定的通信环境中的通信量获得的；恶意列表候选提取部(134)，其根据通过统计值计算部(132)而计算的统计值，针对每个通信模式，比较通信量日志(21)的出现频度和通信量日志(31)的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为恶意通信模式而提取；及阈值设定部(135)，其以如下方式设定所述阈值：使错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且使检测恶意软件所产生的通信量的概率即检测率为一定值以上。

摘要： 本发明属于移动安全技术领域，具体为一种基于动态行为序列和深度学习的恶意软件实时检测系统，本发明系统包括两个核心模块：应用动态行为实时采集子系统和应用行为实时判别子系统，应用动态行为实时采集子系统用于持续、可靠地记录应用所调用的框架层函数调用接口与和内核层系统调用序列，以表征应用所产生的行为；为应用行为判别子系统提供行为判别依据；应用行为实时判别子系统利用深度学习技术探索行为序列信息内在联系，使用机器学习模型对上述调用序列进行即时判别，以高效准确地识别出应用中的恶意行为。系统还包括数据处理模块和数据通信模块，用来协助两个核心模块的运行。本发明可有效缓解移动系统生态面临的安全问题与威胁。

摘要： 本发明公开了一种模拟用户行为的安卓软件恶意行为触发系统及方法，增加模拟真实用户手机环境变化的技术，对在动态检测技术中对恶意软件行为的触发更加有效率，并且对恶意软件在识别模拟器环境上造成困难；所述系统包括用户信息采集模块、用户数据挖掘模块、遍历引擎模块三大模块；具体步骤为：手机端收集用户行为特征量、服务器存储并分析用户行为特征量、生成行为特征量的关联数据组、用户上传待测APK文件、对APK文件进行预处理、利用软件进行应用控件分析、生成控件树遍历策略、利用遍历引擎开始进行控件树遍历、判断是否触发完毕、保存每个不同界面的截图。本发明遍历覆盖率更高，对恶意行为的触发更全面，遍历速度更高。

摘要： 本发明公开一种Web应用程序行为提取方法和恶意行为检测方法，所述Web应用程序行为提取方法包括以下步骤：Web应用程序行为记录模块拦截JavaScript函数，并提取待测Web应用程序的行为记录，其中，行为记录包括待测Web应用程序调用的JavaScript函数的名称、接收参数和函数调用栈信息；将待测Web应用程序的行为记录发送到恶意行为检测模块，并将待测Web应用程序的行为记录写入行为日志文件。根据本发明实施例的方法，实现简单、适用性好，并能够实现对Web应用程序行为的全面监控，有助于实现对恶意行为的检测。

摘要： 本发明属于移动安全技术领域，具体为一种基于动态行为序列和深度学习的恶意软件实时检测系统，本发明系统包括两个核心模块：应用动态行为实时采集子系统和应用行为实时判别子系统，应用动态行为实时采集子系统用于持续、可靠地记录应用所调用的框架层函数调用接口与和内核层系统调用序列，以表征应用所产生的行为；为应用行为判别子系统提供行为判别依据；应用行为实时判别子系统利用深度学习技术探索行为序列信息内在联系，使用机器学习模型对上述调用序列进行即时判别，以高效准确地识别出应用中的恶意行为。系统还包括数据处理模块和数据通信模块，用来协助两个核心模块的运行。本发明可有效缓解移动系统生态面临的安全问题与威胁。

摘要： 本发明公开了一种模拟用户行为的安卓软件恶意行为触发系统及方法，增加模拟真实用户手机环境变化的技术，对在动态检测技术中对恶意软件行为的触发更加有效率，并且对恶意软件在识别模拟器环境上造成困难；所述系统包括用户信息采集模块、用户数据挖掘模块、遍历引擎模块三大模块；具体步骤为：手机端收集用户行为特征量、服务器存储并分析用户行为特征量、生成行为特征量的关联数据组、用户上传待测APK文件、对APK文件进行预处理、利用软件进行应用控件分析、生成控件树遍历策略、利用遍历引擎开始进行控件树遍历、判断是否触发完毕、保存每个不同界面的截图。本发明遍历覆盖率更高，对恶意行为的触发更全面，遍历速度更高。

摘要： 本发明公开一种Web应用程序行为提取方法和恶意行为检测方法，所述Web应用程序行为提取方法包括以下步骤：Web应用程序行为记录模块拦截JavaScript函数，并提取待测Web应用程序的行为记录，其中，行为记录包括待测Web应用程序调用的JavaScript函数的名称、接收参数和函数调用栈信息；将待测Web应用程序的行为记录发送到恶意行为检测模块，并将待测Web应用程序的行为记录写入行为日志文件。根据本发明实施例的方法，实现简单、适用性好，并能够实现对Web应用程序行为的全面监控，有助于实现对恶意行为的检测。

摘要： 本发明公开了一种基于组合事件行为触发的Android恶意行为检测系统及其检测方法。多层行为监控模块捕获应用程序运行时的行为日志；行为分析模块通过函数调用关系和函数参数特征识别应用程序中的恶意行为，同时，行为分析模块会生成应用行为分析报告；DroidRunner行为触发模型根据对界面调度方式和已知恶意行为触发条件的分析设计了多组合均衡遍历算法和特殊事件触发库，完成对应用程序中恶意行为的动态检测。本发明其可覆盖应用程序运行期间绝大部分的函数调用，对应用程序中的敏感行为触发效果显著。达到高效、稳定触发应用程序中可能存在的恶意行为的效果。

摘要： 各个方面提供了用于确保在设备上执行的并且谋求根接入的应用在接收根接入之后时将不引起恶意行为的计算设备和由所述设备执行的方法。在给予所述应用根接入之前，所述计算设备处理器可以识别所述应用在具有根接入时打算执行的操作，通过模拟对操作的执行来确定执行操作是否将引起恶意行为，以及在确定执行那些操作将不引起恶意行为之后预先批准那些操作。进一步，在给予应用根接入之后，处理器可以通过在允许那些操作被执行之前对照预先批准的操作迅速地核对应用的未决操作，来仅允许应用执行预先批准的操作。因此，各个方面可以确保应用在不损害计算设备的性能或安全性完整性的情况下接收根接入。