基于深度学习的安卓恶意应用检测 被引量：21

1

作者 苏志达 祝跃飞 刘龙 《计算机应用》 CSCD 北大核心 2017年第6期1650-1656,共7页

针对传统安卓恶意程序检测技术检测准确率低,对采用了重打包和代码混淆等技术的安卓恶意程序无法成功识别等问题,设计并实现了DeepDroid算法。首先,提取安卓应用程序的静态特征和动态特征,结合静态特征和动态特征生成应用程序的特征向量... 针对传统安卓恶意程序检测技术检测准确率低,对采用了重打包和代码混淆等技术的安卓恶意程序无法成功识别等问题,设计并实现了DeepDroid算法。首先,提取安卓应用程序的静态特征和动态特征,结合静态特征和动态特征生成应用程序的特征向量;然后,使用深度学习算法中的深度置信网络(DBN)对收集到的训练集进行训练,生成深度学习网络;最后,利用生成的深度学习网络对待测安卓应用程序进行检测。实验结果表明,在使用相同测试集的情况下,DeepDroid算法的正确率比支持向量机(SVM)算法高出3.96个百分点,比朴素贝叶斯(Naive Bayes)算法高出12.16个百分点,比K最邻近(KNN)算法高出13.62个百分点。DeepDroid算法结合了安卓应用程序的静态特征和动态特征,采用了动态检测和静态检测相结合的检测方法,弥补了静态检测代码覆盖率不足和动态检测误报率高的缺点,在特征识别的部分采用DBN算法使得网络训练速度得到保证的同时还有很高的检测正确率。 展开更多

关键词 安卓 恶意软件检测 恶意代码分析 深度学习

下载PDF 职称材料

基于环境敏感分析的恶意代码脱壳方法 被引量：12

2

作者 王志 贾春福 鲁凯 《计算机学报》 EI CSCD 北大核心 2012年第4期693-702,共10页

加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码... 加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码脱壳方法,利用动静结合的分析技术检测并清除恶意代码的环境敏感性.首先,利用中间语言对恶意代码的执行轨迹进行形式化表示;然后,分析执行轨迹中环境敏感数据的来源和传播过程,提取脱壳行为的环境约束;最后,求解环境约束条件,根据求解结果对恶意代码进行二进制代码插装,清除其环境敏感性.基于此方法,作者实现了一个通用的恶意代码脱壳工具:MalUnpack,并对321个最新的恶意代码样本进行了对比实验.实验结果表明MalUnpack能有效对抗恶意代码的环境敏感技术,其脱壳率达到了89.1%,显著高于现有基于动态监控的通用脱壳工具的35.5%和基于特征的定向脱壳工具的28.0%. 展开更多

关键词 恶意代码分析 脱壳技术 环境敏感分析 污点分析 符号执行

下载PDF 职称材料

基于覆盖率分析的僵尸网络控制命令发掘方法 被引量：12

3

作者 王志 蔡亚运 +1 位作者 刘露 贾春福 《通信学报》 EI CSCD 北大核心 2014年第1期156-166,共11页

从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对... 从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码空间。 展开更多

关键词 恶意代码分析 僵尸网络 命令与控制协议 基本块 覆盖率

下载PDF 职称材料

一种基于语义的恶意行为分析方法 被引量：6

4

作者 李佳静 梁知音 +1 位作者 韦韬 毛剑 《北京大学学报（自然科学版）》 CAS CSCD 北大核心 2008年第4期537-542,共6页

提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻画,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的... 提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻画,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的分析表明,该方法可以有效地识别代码中的恶意行为。 展开更多

关键词 恶意代码分析 代码混淆 模型检验 信息安全

下载PDF 职称材料

虚拟机检测与反检测技术研究 被引量：5

5

作者 程微微 张琦 谢亿鑫 《网络安全技术与应用》 2011年第2期28-32,共5页

目前恶意代码研究领域普遍使用虚拟机来动态分析恶意代码,然而众多恶意代码都使用了虚拟机检测的技术来对抗。本文首先简单介绍了虚拟机技术,然后对虚拟机检测技术及其相应检测算法进行了研究,最后介绍了一些反虚拟机检测技术。

关键词 恶意代码分析 虚拟机 虚拟机检测

原文传递

软件动态分析与信息系统安全 被引量：3

6

作者 应凌云 杨轶 《中国科学院院刊》 2011年第3期310-315,共6页

信息系统的应用越来越广泛,软件被视为信息系统的灵魂,已经在金融、军事、交通、基础设施等领域扮演越来越重要的角色,软件安全性已经成为关系到国民经济平稳发展、社会稳定和国家安全的重要因素。本文分析了国内外软件安全性研究的现状... 信息系统的应用越来越广泛,软件被视为信息系统的灵魂,已经在金融、军事、交通、基础设施等领域扮演越来越重要的角色,软件安全性已经成为关系到国民经济平稳发展、社会稳定和国家安全的重要因素。本文分析了国内外软件安全性研究的现状,并对软件安全性分析的主要科学问题和当前我国的重要需求进行了剖析,提出在信息系统安全保障能力建设中,应以加强软件安全性分析能力为导向,以提高软件的安全性分析水平为目标,以软件动态分析为关键技术手段,加强软件安全性分析基础方法研究,加强信息系统安全性分析和保障的专业人才队伍建设,为保障我国信息系统安全和网络空间主权提供技术支撑。 展开更多

关键词 软件动态分析 恶意代码分析 漏洞挖掘 信息系统安全

原文传递

基于网络的恶意代码分析系统设计与实现 被引量：2

7

作者 任子亭 《价值工程》 2012年第35期190-192,共3页

针对当前形势下恶意代码攻击的新特点以及现有检测技术存在的缺陷,使得恶意代码的分析检测变得越来越困难,文章设计实现的基于网络的恶意代码分析系统,可以自动地对恶意代码进行快速的动态分析,通过数据进行定量和定性相结合的分析,生... 针对当前形势下恶意代码攻击的新特点以及现有检测技术存在的缺陷,使得恶意代码的分析检测变得越来越困难,文章设计实现的基于网络的恶意代码分析系统,可以自动地对恶意代码进行快速的动态分析,通过数据进行定量和定性相结合的分析,生成详细的分析报告,实验结果表明该系统可以提高恶意代码的分析效率。 展开更多

关键词 恶意代码 入侵检测 恶意代码分析 网络安全

下载PDF 职称材料

移动互联网恶意程序监控防治系统部署方案及关键技术 被引量：2

8

作者 冯薇薇 《广东通信技术》 2013年第11期18-21,共4页

文章对建设移动互联网恶意程序监控防治系统的必要性进行了说明,并介绍了系统设计思路、部署方案,包括以新建恶意程序监控防治系统为核心的实现方案和以原有移动网络系统为核心的实现方案,以及不同方案对运营网络的要求和影响,梳理了系... 文章对建设移动互联网恶意程序监控防治系统的必要性进行了说明,并介绍了系统设计思路、部署方案,包括以新建恶意程序监控防治系统为核心的实现方案和以原有移动网络系统为核心的实现方案,以及不同方案对运营网络的要求和影响,梳理了系统建设的关键技术,对移动互联网恶意程序监控防治系统后续的发展提出了建议。 展开更多

关键词 移动互联网 恶意程序 流量采集 集中管理 恶意代码分析 恶意代码处置 旁路封堵

下载PDF 职称材料

针对Android移动应用的恶意加密流量标注方法研究 被引量：2

9

作者 何高峰 司勇瑞 徐丙凤 《计算机工程》 CAS CSCD 北大核心 2020年第7期116-121,128,共7页

为区分恶意Android移动应用在运行过程中产生的恶意流量和正常流量,提出一种Android移动应用恶意流量标注方法。针对加密类型的网络流量,根据端口号和流载荷内容的字节熵值进行加密检测,依据服务器证书等内容判断加密流量是否异常,同时... 为区分恶意Android移动应用在运行过程中产生的恶意流量和正常流量,提出一种Android移动应用恶意流量标注方法。针对加密类型的网络流量,根据端口号和流载荷内容的字节熵值进行加密检测,依据服务器证书等内容判断加密流量是否异常,同时对恶意Android移动应用进行反编译,并利用程序控制流程图分析该加密流量是否涉及敏感操作,从而标注出恶意加密流量。对300个重打包类型的恶意移动应用进行测试,实验结果与同基准值对比分析表明,与未采用该方法的标注结果(1602条恶意加密流量)相比,该方法检测出的恶意加密流量有341条,且标注结果中仅有28条为误报流量。 展开更多

关键词 移动应用 加密流量 数据标注 异常检测 恶意代码分析

下载PDF 职称材料

恶意代码的符号执行树分析方法 被引量：1

10

作者 钟金鑫 魏更宇 +1 位作者 安靖 杨义先 《重庆大学学报（自然科学版）》 EI CAS CSCD 北大核心 2012年第2期65-70,共6页

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基... 在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。 展开更多

关键词 符号执行 路径爆炸 恶意代码分析 汇聚节点 二进制程序分析

下载PDF 职称材料

恶意代码动态分析中的反虚拟化问题研究 被引量：1

11

作者 莫建平 应凌云 +1 位作者 苏璞睿 王嘉捷 《计算机系统应用》 2018年第12期1-8,共8页

反虚拟化是当前影响恶意代码动态分析系统全面获取样本行为数据的重要因素.本文提出从恶意代码动态分析环境的主机环境,网络环境和用户交互环境进行系统的反虚拟化对抗方法,并将反虚拟化对抗实现在已有的动态分析系统上,实验结果表明反... 反虚拟化是当前影响恶意代码动态分析系统全面获取样本行为数据的重要因素.本文提出从恶意代码动态分析环境的主机环境,网络环境和用户交互环境进行系统的反虚拟化对抗方法,并将反虚拟化对抗实现在已有的动态分析系统上,实验结果表明反虚拟化对抗有效的增强了动态分析系统获取样本行为数据的能力. 展开更多

关键词 恶意代码分析 动态分析 反虚拟化

下载PDF 职称材料

僵尸网络分析实验设计 被引量：1

12

作者 高敏芬 蔡亚运 《实验技术与管理》 CAS 北大核心 2014年第12期110-113,共4页

僵尸网络分析实验是南开大学信息安全专业本科生课程"恶意代码分析"的重要组成部分,其目的是帮助学生加深对僵尸网络工作机制的理解,掌握恶意代码的分析方法与技术。该文从南开大学信息安全专业实验室的实验条件出发,设计了... 僵尸网络分析实验是南开大学信息安全专业本科生课程"恶意代码分析"的重要组成部分,其目的是帮助学生加深对僵尸网络工作机制的理解,掌握恶意代码的分析方法与技术。该文从南开大学信息安全专业实验室的实验条件出发,设计了僵尸网络分析的实验教学环境,结合代表性样本Zeus分析实例对实验的内容和步骤进行了讨论。 展开更多

关键词 实验设计 恶意代码分析 僵尸网络

下载PDF 职称材料

基于沙箱分析的僵尸控制端探测方法研究

13

作者 褚智广 赵廉斌 +2 位作者 王斌 于普漪 高毅夫 《信息系统工程》 2018年第9期106-108,共3页

黑客经常采取高位端口或者经常变换端口躲避安全设备。利用僵尸木马通信协议主动探测木马控制端的方法可以主动发现互联网上的木马控制端,本文对僵尸样本进行沙箱分析,利用本文分布式系统快速完成全网流行端口探测和协议验证,建立僵尸... 黑客经常采取高位端口或者经常变换端口躲避安全设备。利用僵尸木马通信协议主动探测木马控制端的方法可以主动发现互联网上的木马控制端,本文对僵尸样本进行沙箱分析,利用本文分布式系统快速完成全网流行端口探测和协议验证,建立僵尸控制端探索方法并实现和验证其有效性。 展开更多

关键词 主动探测 僵尸网络 恶意代码分析 命令与控制端口

下载PDF 职称材料

基于“In-VM”思想的内核恶意代码行为分析方法

14

作者 马珂 刘任任 刘新 《计算技术与自动化》 2014年第3期105-109,共5页

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本... 随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。 展开更多

关键词 网络安全 虚拟机 恶意代码分析 内核模块

下载PDF 职称材料

一种通用化软件脱壳框架研究

15

作者 熊小兵 舒辉 林靓 《信息工程大学学报》 2021年第2期164-168,共5页

软件加壳是当前恶意代码设计与实现过程中的一种常用保护技术,加壳方法繁杂多样,技术日趋复杂,如何对各类加壳代码进行自动化脱壳处理,是当前加壳类恶意代码自动化检测与分析需要解决的首要问题。从加壳代码静态特征、执行原理等方面出... 软件加壳是当前恶意代码设计与实现过程中的一种常用保护技术,加壳方法繁杂多样,技术日趋复杂,如何对各类加壳代码进行自动化脱壳处理,是当前加壳类恶意代码自动化检测与分析需要解决的首要问题。从加壳代码静态特征、执行原理等方面出发,提出一种通用化的智能脱壳框架,该框架具有静态脱壳效率高、动态脱壳通用性强的优点,实现针对常见主流壳类型加壳代码的自动化脱壳处理。从实际测试效果来看,框架具有较好的准确性和通用性特点,整体脱壳效率较高,可为繁杂多样的加壳恶意代码规模化、自动化处理提供重要支撑。 展开更多

关键词 恶意代码分析 加壳代码 智能脱壳 通用框架

下载PDF 职称材料

虚拟环境在恶意代码分析取证教学中的应用研究

16

作者 胥素芳 郭拴岐 《信息记录材料》 2020年第8期152-154,共3页

搭建安全的恶意代码分析环境是学习恶意代码分析取证的第一步。文章通过教学实例介绍了VMware在恶意代码分析取证中的应用特点。Docker做为新型的虚拟化技术,已广泛应用于云计算建设中,Docker容器的分析取证是云计算取证的重点。文章通... 搭建安全的恶意代码分析环境是学习恶意代码分析取证的第一步。文章通过教学实例介绍了VMware在恶意代码分析取证中的应用特点。Docker做为新型的虚拟化技术,已广泛应用于云计算建设中,Docker容器的分析取证是云计算取证的重点。文章通过一个教学实例介绍了基于Docker容器分析取证的一般方法和思路。 展开更多

关键词 恶意代码分析 VMWARE DOCKER

下载PDF 职称材料

CCERT研究新进展

17

《中国教育网络》 2005年第11期44-45,共2页

关键词 垃圾邮件 黑名单 计算机 安全隐患 邮件服务器 CCERT 恶意代码分析 研究新进展

下载PDF 职称材料

基于深度学习的云环境动态恶意代码检测平台 被引量：8

18

作者 银伟 张钱明 +2 位作者 周红建 邢国强 童丹 《计算机工程与设计》 北大核心 2019年第7期1823-1828,共6页

为提高恶意代码识别的检测能力和反识别能力,提出基于深度学习的云环境动态恶意代码检测平台。构建基于云环境的动态恶意代码行为监测系统,通过断点注入技术隐蔽地跟踪内核函数调用,对恶意代码的进程、文件、网络、注册表、系统服务操... 为提高恶意代码识别的检测能力和反识别能力,提出基于深度学习的云环境动态恶意代码检测平台。构建基于云环境的动态恶意代码行为监测系统,通过断点注入技术隐蔽地跟踪内核函数调用,对恶意代码的进程、文件、网络、注册表、系统服务操作等行为实施监测,生成监测日志;研究日志预处理系统,对监测日志进行预处理,提取4个维度信息并生成特征图片;构建深度卷积神经网络,训练样本的特征图片和标记作为输入,进行学习和训练,并对测试样本进行预测和分类。 展开更多

关键词 恶意代码检测 云安全 神经网络 恶意代码动态分析 深度学习

下载PDF 职称材料