-
题名动态指令流差分分析在恶意软件分析中的应用
被引量:2
- 1
-
-
作者
孙明
谷大武
李卷孺
罗宇皓
-
机构
上海交通大学计算机科学与工程系
-
出处
《计算机应用研究》
CSCD
北大核心
2012年第2期658-660,663,共4页
-
基金
国家自然科学基金资助项目(61073150)
SafeNet东北亚科研计划资助项目
-
文摘
针对静态分析方法已不能满足安全分析的需求,而传统的动态分析技术不能快速定位关键信息,且分析效率不高,提出了一种动态指令流差分分析技术,描述了差分分析模型和分析方法。该分析技术能够高速有效地分析恶意软件的关键数据,识别加密算法,分析混淆代码的功能模块和数据扩散情况。通过实验对其可行性和高效性进行了验证。
-
关键词
恶意软件分析
动态指令流
差分分析
数据流
-
Keywords
malware analysis
dynamic code
differential analysis
dataflow analysis
-
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
-
-
题名基于BERT与自编码器的概念漂移恶意软件分类优化
- 2
-
-
作者
赵浩钧
邹德清
薛文杰
吴月明
金海
-
机构
大数据技术与系统国家地方联合工程研究中心
服务计算技术与系统教育部重点实验室
大数据安全湖北省工程研究中心
集群与网格计算湖北省重点实验室
华中科技大学网络空间安全学院
School of Computing and Data Science
华中科技大学计算机科学与技术学院
-
出处
《软件学报》
北大核心
2025年第8期3709-3725,共17页
-
基金
国家自然科学基金(62172168)。
-
文摘
软件概念漂移指同类型软件的软件结构和组成成分会随着时间的推移而改变.在恶意软件分类领域,发生概念漂移意味着同一家族的恶意样本的结构和组成特征会随时间发生变化,这会导致固定模式的恶意软件分类算法的性能会随时间推移而发生下降.现有的恶意软件静态分类研究方法在面临概念漂移场景时都会有显著的性能下降,因此难以满足实际应用的需求.针对这一问题,鉴于自然语言理解领域与二进制程序字节流分析领域的共性,基于BERT和自定义的自编码器架构提出一种高精度、鲁棒的恶意软件分类方法.该方法首先通过反汇编分析提取执行导向的恶意软件操作码序列,减少冗余信息;然后使用BERT理解序列的上下文语义并进行向量嵌入,有效地理解恶意软件的深层程序语义;再通过几何中位数子空间投影和瓶颈自编码器进行任务相关的有效特征筛选;最后通过全连接层构成的分类器输出分类结果.在普通场景和概念漂移场景中,通过与最先进的9种恶意软件分类方法进行对比实验验证所提方法的实际有效性.实验结果显示:所提方法在普通场景下的分类F1值达到99.49%,高于所有对比方法,且在概念漂移场景中的分类F1值比所有对比方法提高10.78%–43.71%.
-
关键词
恶意软件静态分析
概念漂移
鲁棒性优化
-
Keywords
malware static analysis
concept drift
robust optimization
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名恶意软件网络协议的语法和行为语义分析方法
被引量:23
- 3
-
-
作者
应凌云
杨轶
冯登国
苏璞睿
-
机构
中国科学院软件研究所信息安全国家重点实验室
中国科学院研究生院信息安全国家重点实验室
信息安全共性技术国家工程研究中心
-
出处
《软件学报》
EI
CSCD
北大核心
2011年第7期1676-1689,共14页
-
基金
国家自然科学基金(60703076
61073179)
+1 种基金
国家高技术研究发展计划(863)(2009AA01Z435
2007AA01Z451)
-
文摘
网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.
-
关键词
恶意软件分析
网络协议逆向分析
动态分析
网络安全
-
Keywords
malware analysis
network protocol reverse analysis
dynamic analysis
network security
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名列车控制管理系统网络安全研究综述
- 4
-
-
作者
孙超远
张惟皎
王辉
孙鹏
杨春辉
-
机构
中国铁道科学研究院研究生部
中国铁道科学研究院集团有限公司电子计算技术研究所
-
出处
《中国铁路》
北大核心
2025年第4期132-140,共9页
-
基金
中国国家铁路集团有限公司科技研究开发计划项目(N2024W008)。
-
文摘
随着列车控制管理系统的广泛应用,其面临的网络安全威胁日益复杂和多样化。总结列车控制管理系统的安全研究现状,涵盖物理安全攻击、通信攻击、分布式拒绝服务攻击、数据泄露、恶意软件攻击等主要威胁;通过分析国内外相关研究,梳理当前列车控制网络在安全标准、硬件物理安全、列车通信安全、入侵检测、数据安全、恶意软件分析等方面的研究进展,并提出一些列车控制管理系统的开放性问题,以期为后续相关研究提供思路。
-
关键词
列车控制管理系统
硬件物理安全
列车通信安全
入侵检测系统
数据安全保护
恶意软件分析
-
Keywords
train control and management system
hardware physical security
train communication security
intrusion detection system
data security protection
malware analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
U285.8
[交通运输工程—交通信息工程及控制]
-
-
题名基于特征提取的二进制代码比较技术
被引量:6
- 5
-
-
作者
曾鸣
赵荣彩
姚京松
王小芹
-
机构
中国人民解放军信息工程大学计算机科学与技术系
清华大学计算机科学与技术系
-
出处
《计算机工程与应用》
CSCD
北大核心
2006年第22期8-11,共4页
-
基金
国家863高技术研究发展计划资助项目(编号:2003AA146010)
-
文摘
二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。论文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。
-
关键词
二进制代码比较
函数控制流图
恶意软件分析
-
Keywords
executable comparison,control flow graph,malware analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
