基于IRP特征序列的文件行为监控模型

随着信息技术的广泛应用,要害部门和机构对敏感机密文件的保护也越来越重视。现有的监控技术很难发现具有危害的文件操作行为。在对中间层驱动进行分析的基础上,提出了基于IRP序列的文件行为监控模型,并解决了IRP信息的异步提取、序列跟踪和行为判定方法等关键问题,提高了文件行为监控的覆盖率和判定的准确性。对比实验验证了提出方法的有效性和准确性。

ARS:基于文件行为的勒索软件主动防御技术研究

针对勒索软件(Ransomware)造成的安全威胁问题,本文在分析多种勒索软件家族攻击特点和传统恶意代码检测技术的基础上,提出一种基于文件行为的勒索软件主动防御技术(Anti-Ransomware System,ARS).该技术采用基于文件行为统计异常的方法进行勒索软件检测,通过文件过滤驱动收集正常软件与勒索软件动态文件行为信息用作训练集,使用多种分类算法训练并生成勒索软件检测分类器,用于运行时检测勒索软件.利用写时复制技术动态备份程序运行时修改的文件,根据检测结果决定是否恢复文件.最后,设计实现原型系统并进行了测试.实验结果表明,在确保数据文件安全性的前提下,ARS能够有效地防御勒索软件,减小勒索软件攻击的危害.

安卓沙箱中ELF文件行为检测技术研究

随着安卓的发展和普及,安卓平台恶意软件的功能实现开始由java层向native层转移,因此检测方法也由单一静态转变到动、静态结合。本文在传统的动态检查方法基础上,提出一种新的动态检测方案,通过修改系统内核中断处理函数,在目标程序使用系统调用时,获取其使用的系统调用函数名称、参数、上下文信息、返回值等,通过对这些信息分析处理,判断出程序是否为恶意软件。

基于Windows内核的用户行为收集解决方案

规范企业PC用户的行为使之符合安全性、有用性的要求,借助技术手段收集用户的行为是一种行之有效的方式。分析基于Windows内核技术,实现对用户上网行为、进程操作、文件的读写、删除和重命名进行收集。采用C/S架构,在服务器端文件记录客户端访问的网站信息和进程操作信息,方便对历史记录进行查询,完全基于内核,无进程也无DLL支持,可靠性和安全性高。