加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同...加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.展开更多
针对随机早期检测(RED:Random Early Detection)对网络时滞、参数设置敏感的问题,提出一种适用于时滞网络的稳定随机早期检测算法(TRED:Time-delay RED)。引入史密斯预估器,以抑制网络时滞对网络性能的影响;采用瞬时队列长度替代平均队...针对随机早期检测(RED:Random Early Detection)对网络时滞、参数设置敏感的问题,提出一种适用于时滞网络的稳定随机早期检测算法(TRED:Time-delay RED)。引入史密斯预估器,以抑制网络时滞对网络性能的影响;采用瞬时队列长度替代平均队列长度作为拥塞指示,加快系统的响应能力;改进RED算法的丢包概率函数为非线性函数,同时自动调整系统参数,以适应网络环境变化。仿真结果表明,TRED算法能成功补偿网络延时,并在不同的时滞环境、不同程度的拥塞环境中保持稳定的队列长度,具有很强的环境适应性,从而保证了良好的网络性能。展开更多
挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检...挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.展开更多
为了提高响应流和非响应流之间的公平性,提出了一种基于速率公平的RED改进算法——RF-RED(ratefairness random early detection).该算法在路由器端计算UDP流的平均速率并与TCP友好流速率进行比较,根据比较结果动态调整UDP流和TCP流的...为了提高响应流和非响应流之间的公平性,提出了一种基于速率公平的RED改进算法——RF-RED(ratefairness random early detection).该算法在路由器端计算UDP流的平均速率并与TCP友好流速率进行比较,根据比较结果动态调整UDP流和TCP流的最大丢包率,最后使用RED算法分别更新UDP流和TCP流的实际丢包率.通过使用RF-RED算法,UDP流在瓶颈链路上成为TCP友好流,同时瓶颈带宽得到了公平利用.仿真结果验证了该算法的有效性.展开更多
文摘加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.
文摘针对随机早期检测(RED:Random Early Detection)对网络时滞、参数设置敏感的问题,提出一种适用于时滞网络的稳定随机早期检测算法(TRED:Time-delay RED)。引入史密斯预估器,以抑制网络时滞对网络性能的影响;采用瞬时队列长度替代平均队列长度作为拥塞指示,加快系统的响应能力;改进RED算法的丢包概率函数为非线性函数,同时自动调整系统参数,以适应网络环境变化。仿真结果表明,TRED算法能成功补偿网络延时,并在不同的时滞环境、不同程度的拥塞环境中保持稳定的队列长度,具有很强的环境适应性,从而保证了良好的网络性能。
文摘挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.
文摘为了提高响应流和非响应流之间的公平性,提出了一种基于速率公平的RED改进算法——RF-RED(ratefairness random early detection).该算法在路由器端计算UDP流的平均速率并与TCP友好流速率进行比较,根据比较结果动态调整UDP流和TCP流的最大丢包率,最后使用RED算法分别更新UDP流和TCP流的实际丢包率.通过使用RF-RED算法,UDP流在瓶颈链路上成为TCP友好流,同时瓶颈带宽得到了公平利用.仿真结果验证了该算法的有效性.
