高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.

基于线程调度的隐藏进程检测技术研究

随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。

基于Probit的犯罪嫌疑人判定方法研究

为了在涉案人群中实现计算机识别犯罪嫌疑人,协助办案并提高办案效率,提出了一种基于Probit模型的犯罪嫌疑人判定技术.采用聚类的分离算法、关联算法以及Probit模型的显著性水平参数发现重要属性,通过对重要属性提取后的数据进行训练得到犯罪风险判定模型.实验结果表明,该方法对嫌疑人判定的平均准确率达到90.5%,平均查全率达到92.7%,判定效果较好.

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法.该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程.实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.

一种高效的攻击树串行建模方法

为克服传统并行结构攻击树效率低、实用性差等问题,通过引入攻击序列,提出一种具有普适性的串行攻击树模型及其构建方法,并对每个叶子节点定义了其权重,从而对攻击单元效能进行量化分析;再利用Dijkstra算法计算攻击树模型中的最优路径,给出最佳攻击策略.通过对具有20个叶子节点的攻击树模型进行建模和分析,结果表明,新模型比传统并行模型具有更大的收益,攻击复杂度比传统模型降低65%.

虚拟化平台构建操作系统函数调用关系方法

针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32位/64位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。

Multiple attacks on virtualization-based security monitoring

Three kinds of vulnerabilities that may exist in some of current virtualization-based security monitoring systems were proposed： page mapping problem,lack of overall protection,and inherent limitations. Aiming at these vulnerabilities,relative attack methods were presented in detail. Our experiments show that the attack methods,such as page mapping attack,data attack,and non-behavior detection attack,can attack simulated or original security monitors successfully. Defenders,who need to effectively strengthen their security monitors,can get an inspiration from these attack methods and find some appropriate solutions.

完善内部控制制度是商业银行稳健经营的前提

1.完善内部控制制度是顺应市场经济发展,深化金融体制改革的客观要求 市场经济体制确立之后,金融作为社会经济体系的重要组成部分,同样面临着生存和发展的客观现实。从一定角度理解,市场经济就是法制经济。依照现行金融法规,商业银行实行“自主经营、自担风险、自负盈亏、自我约束”的经营机制,以“效益性、流动性、安全性”为经营原则,以追求利润最大化为经营目标。因此,切实完善和加强商业银行的内部控制制度,不仅是落实贯彻金融法规的重要内容,也是强化商业银行内部管理,自觉依法经营,维护自身合法权益,适应市场经济运作的前提条件。特别是在当前经济体制改革由计划经济向市场经济转轨的过程中,新的体制还没有真正形成,旧的体制又没有完全摆脱,双重经济体制的摩擦,新旧金融模式的互斥,给金融体制改革带来极大的阻力。