detection of the malicious code injection by hooking system calls in kernel mode

通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻击信息,增强了系统的整体安全性.实验结果表明,该方法在性能和检测方面都达到较好的检测效果

面向国家战略需求 构建信息安全体系

信息网络已经渗透到社会的方方面面,近年来,除了传统信息化程度较高的政府管理、金融、电信等部门和行业外,传统工业系统的信息化程度也逐步提高,而移动智能终端的快速普及,更是将信息网络的触角直接深入到社会的每一个角落。随着信息网络的快速发展,新的网络攻击模式也层出不穷。2010年"震网"蠕虫的爆发,显示了工业控制系统面临的巨大网络安全风险,也真实展现了网络战的威力,它被看作开启了网络战的新时代。该蠕虫主要针对伊朗核电站实施攻击破坏,通过渗透、控制伊朗核电站中的工业控

challenges and countermeasures for virtual society management

虚拟社会已与现实社会紧密结合,虚拟社会的管理既是确保虚拟社会自身稳定、有序发展的基础,也是维护现实社会稳定和秩序的需要。虚拟社会的开放性、匿名性、高技术性等特点,给虚拟身份管理、网络犯罪治理、舆论引导与监管、网络空间安全等方面带来了诸多问题。针对这些问题,应从技术支撑平台、技术标准、法律法规等多方面采取措施,构建和完善虚拟社会管理体系,提高对虚拟社会的管理能力和水平

exploring multiple execution paths based on dynamic lazy analysis

多路径分析是弥补传统动态分析方法的不足、对可执行程序全面分析的重要方法之一.现有多路径方法主要采用随机构造或者根据路径条件构造输入进行路径触发,这两者均存在路径分析不全面和缺乏针对性的问题.文中通过对路径条件分析,确定了检测条件的基本组成元素,提出了弱控制依赖和路径引用集的概念和计算规则,并以此为基础提出一种延后策略的多路径分析方法.在程序分析过程中,对特定的程序检测点和检测点条件,有针对性地进行路径筛选,从语义上进行路径表达式简化,在保证检测点可达和检测表达式具有相同构造形式的前提下,简化检测表达式,减少分析路径的数量.对7款恶意软件的分析实验结果表明,该方法提高了分析效率和准确性

research on network-warning model based on dynamic peer-to-peer overlay hierarchy

借助恶意代码快速传播搭建的分布式平台对互联网实施大规模入侵,已经成为网络安全领域的热点问题."协同安全"是应对恶意代码分布式攻击的必然趋势,因此提出了一个基于动态对等网层次结构的网络预警模型.该模型的体系结构包含自上而下的两层对等覆盖网和4类节点角色,可以有效地整合网络中各种异构安全防护设施的数据和资源,并且使网络安全防护体系具备了动态自适应调整和跨安全域协作的能力.初步实验表明,该模型不仅可以进行报警消息聚合和关联分析、攻击场景图的生成和实施一定的主动防护,并且具备良好的鲁棒性、扩展性和可管理性

collaborative warning technology against network intrusions based on cloud computing architecture

目前主流的网络预警系统普遍存在自适应性差和协同分析能力弱等问题。为此,提出一种基于云计算架构的大规模网络入侵协同预警技术,采用基于分布式哈希表的分布式报警消息存储和查询算法,利用树状对等覆盖网实现入侵关联分析的自适应任务调度。实验结果表明,使用该技术实现报警聚合和关联分析,不仅能使网络预警系统架构具备较好的扩展性,并且可以缩短大规模网络入侵的预警反应时间,同时保证报警关联分析的准确度。国家“863”计划基金资助项目(2009AA01Z435)Current prevalent network warning systems generally lack of ability of self-adaption and collaborarive analysis. A collaborative warning technology against massive network invasions is proposed, which is based on cloud computing architecture. This technology implements the global sharing of network intrusion alerts using distributed hash table, and adopts a tree-structured Peer-to-Peer(P2P) overlay, so that the task scheduling of intrusion correlation can be handled in a self-adaptive way. Experimental results based on a proof-of-concept prototype system demonstrate that, the alert aggregation and correlation through this technology, not only make the architechture of network warning system highly scalable, but also remarkably reduce the reaction time of warning against massive network intrusions without degradation in accuracy

a technique for detecting malicious documents based on calculation of vector spaces

通过对恶意文档的攻击方式、组成结构和攻击代码的全面分析,提出了一种基于空间向量计算的检测方法,针对典型的变形手段提出了有针对性的改进.对119个文档进行了检测,结果表明,与传统检测软件相比,该算法对恶意文档检测在漏报率和误报率上均具备一定优势