基于动静态语义行为增强的APT攻击溯源研究

1

作者 杨秀璋 彭国军 +4 位作者 王晨阳 周逸林 李家琛 武帅 傅建明 《武汉大学学报(理学版)》 北大核心 2026年第1期57-70,共14页

针对高级可持续威胁(Advanced Persistent Threat,APT)溯源未考虑ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)技战术和攻击语义行为增强,未融合动静态两个视角探索和实现攻击行为互补的溯源分析,易被加壳和混淆的... 针对高级可持续威胁(Advanced Persistent Threat,APT)溯源未考虑ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)技战术和攻击语义行为增强,未融合动静态两个视角探索和实现攻击行为互补的溯源分析,易被加壳和混淆的APT恶意软件逃避问题,提出一种基于动静态语义行为增强的APT攻击溯源(Advanced Persistent Threat Eye,APTEye)模型。首先,构建APT组织恶意软件样本集并实施预处理;其次,提取恶意软件的静态行为特征与动态行为特征;再次,设计行为特征语义增强及表征算法,分别利用Attack2Vec将静态API特征和攻击链以及语义行为映射,APISeq2Vec增强动态API序列的时间语义关系,实现低级别行为特征到高级别攻击模式的映射;接着,构建动静态特征对齐和行为语义聚合算法将APT攻击恶意软件的动态静态特征融合;最后,构建图注意力网络模型溯源APT组织。实验结果表明,APTEye模型能有效追踪溯源APT攻击,其精确率、召回率和F1值分别为92.24%、91.85%和92.04%,均优于现有模型。此外,APTEye模型能够有效识别细粒度的动静态API函数及攻击行为,实现与ATT&CK技战术映射,为后续APT攻击的意图推理和攻击阻断提供支撑。 展开更多

关键词 高级可持续威胁 APT攻击溯源 语义行为增强 图注意力网络

原文传递

基于大语言模型的威胁情报高效抽取与攻击推理方法研究

2

作者 彭国军 李家琛 +1 位作者 杨秀璋 吕锦钊 《通信学报》 北大核心 2025年第11期60-72,共13页

针对开源中文网络威胁情报多为非结构化文本、缺乏高效自动化处理手段,提出一种大语言模型与图推理的方法。首先,利用GPT-4o的少样本学习能力构建高质量提示词,实现数据的自动标注;随后引入低秩适配(LoRA)技术对LLaMA3-8B进行参数高效微... 针对开源中文网络威胁情报多为非结构化文本、缺乏高效自动化处理手段,提出一种大语言模型与图推理的方法。首先,利用GPT-4o的少样本学习能力构建高质量提示词,实现数据的自动标注;随后引入低秩适配(LoRA)技术对LLaMA3-8B进行参数高效微调,微调模型在中文实体识别任务中精确率为0.9247、召回率为0.8515、F_(1)值为0.8866,在关系抽取任务中F_(1)值为0.8378;最后,融合图检索增强生成(GraphRAG)与MITRE ATT&CK框架,完成攻击链推理分析。实验结果表明,该方法优于现有方法,具有良好的实用价值。 展开更多

关键词 网络威胁情报 大语言模型 命名实体识别 关系抽取 检索增强生成

在线阅读 下载PDF 职称材料

恶意代码动态分析对抗与反对抗技术综述

3

作者 王晨阳 彭国军 +1 位作者 杨秀璋 周逸林 《网络与信息安全学报》 2025年第6期1-16,共16页

动态分析是恶意代码分析与检测的关键技术,能够刻画样本在运行时的真实行为特征。在攻防博弈的过程中,恶意代码采用动态分析对抗技术逃避分析,安全研究人员则通过反对抗技术提升分析系统应对规避型恶意软件的能力。已有综述大多聚焦于... 动态分析是恶意代码分析与检测的关键技术,能够刻画样本在运行时的真实行为特征。在攻防博弈的过程中,恶意代码采用动态分析对抗技术逃避分析,安全研究人员则通过反对抗技术提升分析系统应对规避型恶意软件的能力。已有综述大多聚焦于攻防技术的设计与实现,缺乏对其与恶意代码动态分析各核心环节之间关联的系统梳理。为此,该研究以恶意代码动态分析的工作流程为主线,从攻防对抗的视角出发,对相关技术进行了系统综述。首先,介绍了动态分析的典型工作流程;其次,总结了对抗技术的设计与实现方式,包括恶意载荷隐藏、分析环境感知、行为捕获逃避及分析模型欺骗技术,剖析其规避机制;再次,整理与归纳了相应的反对抗技术,包括恶意载荷捕获、环境感知规避、行为触发与监控增强及分析模型增强技术,揭示动态分析系统演变背后的攻防对抗逻辑;最后,探讨了恶意代码动态分析领域未来的发展趋势与重点研究方向,以期为恶意代码分析与检测研究提供参考。 展开更多

关键词 恶意代码 动态分析 调试器 沙箱 对抗与反对抗

在线阅读 下载PDF 职称材料

PtrProxy:Efficient Code Re-Randomization on AArch64 Platform

4

作者 Luo Chenke Fu Jianming +2 位作者 Ming Jiang Xie Mengfei peng guojun 《China Communications》 2025年第6期64-82,共19页

Memory-unsafe programming languages,such as C/C++,are often used to develop system programs,rendering the programs susceptible to a variety of memory corruption attacks.Among these threats,just-in-time return-oriented... Memory-unsafe programming languages,such as C/C++,are often used to develop system programs,rendering the programs susceptible to a variety of memory corruption attacks.Among these threats,just-in-time return-oriented programming(JIT-ROP)stands out as an advanced method for conducting code-reuse attacks,effectively circumventing code randomization safeguards.JIT-ROP leverages memory disclosure vulnerabilities to obtain reusable code fragments dynamically and assemble malicious payloads dynamically.In response to JIT-ROP attacks,several re-randomization implementations have been developed to prevent the use of disclosed code.However,existing re-randomization methods require recurrent re-randomization during program runtime according to fixed time windows or specific events such as system calls,incurring significant runtime overhead.In this paper,we present the design and implementation of PtrProxy,an efficient re-randomization approach on the AArch64 platform.Unlike previous methods that necessitate frequent runtime rerandomization or reply on unreliable triggering conditions,this approach triggers the re-randomization process by detecting the code page harvest operation,which is a fundamental operation of the JIT-ROP at-tacks,making our method more efficient and reliable than previous approaches.We evaluate PtrProxy on benchmarks and real-world applications.The evaluation results show that our approach can effectively protect programs from JIT-ROP attacks while introducing marginal runtime overhead. 展开更多

关键词 code reuse attacks re-randomization return-oriented programming security and privacy software security

在线阅读 下载PDF 职称材料

A Survey on Intelligent Detection for APT Attacks

5

作者 Yang Xiuzhang peng guojun +4 位作者 Liu Side Zhang Dongni Li Chenguang Liu Xinyi Fu Jianming 《China Communications》 2025年第11期103-131,共29页

Advanced persistent threat(APT)can use malware,vulnerabilities,and obfuscation countermeasures to launch cyber attacks against specific targets,spy and steal core information,and penetrate and damage critical infrastr... Advanced persistent threat(APT)can use malware,vulnerabilities,and obfuscation countermeasures to launch cyber attacks against specific targets,spy and steal core information,and penetrate and damage critical infrastructure and target systems.Also,the APT attack has caused a catastrophic impact on global network security.Traditional APT attack detection is achieved by constructing rules or manual reverse analysis using expert experience,with poor intelligence and robustness.However,current research lacks a comprehensive effort to sort out the intelligent methods of APT attack detection.To this end,we summarize and review the research on intelligent detection methods for APT attacks.Firstly,we propose two APT attack intelligent detection frameworks for endpoint samples and malware,and for malwaregenerated audit logs.Secondly,this paper divides APT attack detection into four critical tasks:malicious attack detection,malicious family detection,malicious behavior identification,and malicious code location.In addition,we further analyze and summarize the strategies and characteristics of existing intelligent methods for each task.Finally,we look forward to the forefront of research and potential directions of APT attack detection,which can promote the development of intelligent defense against APT attacks. 展开更多

关键词 advanced persistent threat artificial intelligence attack detection MALWARE network security

在线阅读 下载PDF 职称材料

面向用户交互场景的信息欺骗分类及其威胁抑制机制 被引量：2

6

作者 刘秀文 傅建明 +2 位作者 黎琳 彭国军 黄凯 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2019年第2期126-138,共13页

在信息安全中,用户被视为信息安全的"薄弱环节"。攻击者在用户端系统不断升级软件、安全加固的情况下,仍能充分利用用户的脆弱性,使用户在攻击策略的误导下泄露密码,打开恶意邮件附件或是访问恶意网站,即使是最健壮的系统安... 在信息安全中,用户被视为信息安全的"薄弱环节"。攻击者在用户端系统不断升级软件、安全加固的情况下,仍能充分利用用户的脆弱性,使用户在攻击策略的误导下泄露密码,打开恶意邮件附件或是访问恶意网站,即使是最健壮的系统安全防护机制对此也束手无策。为深入研究这种攻击,本文提出"信息欺骗攻击"的概念,即攻击者操纵用户与桌面及移动端的交互接口,欺骗用户以建立虚假信任,误导用户操作以绕过防御技术,最终危害个人和组织的安全。从信息欺骗攻击的基本模型出发,介绍了社交网络欺骗、网站欺骗、应用欺骗、邮件欺骗4类攻击场景的攻击特征,并揭示了特定场景的攻击与用户交互模式的密切关系;分析了面向不同欺骗场景的威胁抑制机制,总结了其针对不同攻击特征的防御作用。现有威胁抑制方法无法突破用户感知的信息局部性、不对称性以及场景的封闭性。为此,希望从攻击案例数据出发,评估用户交互操作的风险,构建面向特定场景的信息欺骗威胁抑制机制,抑制攻击。 展开更多

关键词 社会工程学 信息欺骗攻击 用户交互场景 威胁抑制机制

原文传递

基于RASP技术的Java Web框架漏洞通用检测与定位方案 被引量：22

7

作者 邱若男 胡岸琪 +1 位作者 彭国军 张焕国 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2020年第3期285-296,共12页

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)... 针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88.2%,且该方案性能消耗小。 展开更多

关键词 运行时应用自我保护 漏洞定位 攻击检测 Java Web

原文传递

混合加密型勒索软件密文还原方法研究 被引量：10

8

作者 于慧 彭国军 蔡凯峰 《计算机工程与应用》 CSCD 北大核心 2019年第10期96-102,178,共8页

以混合加密型勒索软件为研究对象,将设置诱饵文件和文件操作监控方法相结合,获取勒索软件文件加密过程中采用的加密密钥、加密算法、密文起始字段和密文长度等相关信息,并提出了被加密文件的还原方法。针对8个流行的勒索软件家族进行密... 以混合加密型勒索软件为研究对象,将设置诱饵文件和文件操作监控方法相结合,获取勒索软件文件加密过程中采用的加密密钥、加密算法、密文起始字段和密文长度等相关信息,并提出了被加密文件的还原方法。针对8个流行的勒索软件家族进行密文还原测试,测试结果表明了提出的还原方法的有效性。该密文还原方法适用于混合加密勒索软件密文还原,是现行勒索软件防御策略的有效补充。 展开更多

关键词 勒索软件 混合加密 诱饵文件 文件操作监控 密文还原

在线阅读 下载PDF 职称材料

智能家居攻击与防御方法综述 被引量：6

9

作者 严寒 彭国军 +1 位作者 罗元 刘思德 《信息安全学报》 CSCD 2021年第4期1-27,共27页

智能家居是物联网的一大发展方向,但其在安全方面表现得不如人意,近年来频频爆发网络安全事件。智能家居相较于传统的嵌入式设备,引入了移动应用程序和云平台服务,使得其暴露出了更多的攻击面。本文围绕智能家居终端设备、云平台、移动... 智能家居是物联网的一大发展方向,但其在安全方面表现得不如人意,近年来频频爆发网络安全事件。智能家居相较于传统的嵌入式设备,引入了移动应用程序和云平台服务,使得其暴露出了更多的攻击面。本文围绕智能家居终端设备、云平台、移动应用程序及通信等四个方面,综述针对智能家居的攻击方法和防御措施,并针对性的梳理了目前学术界及工业界关注的研究热点与难点。最后,本文针对现有智能家居设备自动化漏洞挖掘技术与防御监控能力的不足进行了讨论,并提出了基于Docker集群部署的端侧自动化威胁模型系统设计思路。 展开更多

关键词 物联网 智能家居 攻击 防御 漏洞

在线阅读 下载PDF 职称材料

基于Bert和BiLSTM-CRF的APT攻击实体识别及对齐研究 被引量：21

10

作者 杨秀璋 彭国军 +3 位作者 李子川 吕杨琦 刘思德 李晨光 《通信学报》 EI CSCD 北大核心 2022年第6期58-70,共13页

针对高级可持续威胁(APT)分析报告未被有效利用,缺乏自动化方法生成结构化知识并形成黑客组织特征画像问题,提出一种融合实体识别和实体对齐的APT攻击知识自动抽取方法。首先,结合APT攻击特点设计12种实体类别;其次,构建融合Bert、双向... 针对高级可持续威胁(APT)分析报告未被有效利用,缺乏自动化方法生成结构化知识并形成黑客组织特征画像问题,提出一种融合实体识别和实体对齐的APT攻击知识自动抽取方法。首先,结合APT攻击特点设计12种实体类别;其次,构建融合Bert、双向长短期记忆(BiLSTM)网络和条件随机场(CRF)的APT攻击实体识别模型,利用Bert预训练标注语料,BiLSTM学习上下文语义信息,注意力机制突出关键特征,再由CRF识别实体;最后,结合实体对齐方法来生成不同APT组织的结构化知识。实验结果表明,所提方法能有效识别APT攻击实体,其精确率、召回率和F1值分别为0.9296、0.8733和0.9006,均优于现有模型。此外,所提方法能在少量样本标注的情况下自动抽取高级可持续威胁知识,通过实体对齐能生成常见APT组织的结构化特征画像,从而为后续APT攻击知识图谱构建和攻击溯源提供支撑。 展开更多

关键词 高级可持续威胁 威胁情报抽取 实体识别 实体对齐 深度学习

在线阅读 下载PDF 职称材料

面向多样化编译环境的恶意代码同源性分析 被引量：2

11

作者 刘昕仪 彭国军 +2 位作者 刘思德 杨秀璋 傅建明 《信息安全学报》 CSCD 2024年第6期28-42,共15页

随着恶意样本数量的急剧增加,为减少人工溯源的工作量,恶意代码同源性分析研究的重要性日益凸显。然而,攻击者在复用恶意代码时,需针对不同的攻击场景设置特定的编译环境,这会造成同源二进制在语法和结构层面存在很大差异,降低恶意代码... 随着恶意样本数量的急剧增加,为减少人工溯源的工作量,恶意代码同源性分析研究的重要性日益凸显。然而,攻击者在复用恶意代码时,需针对不同的攻击场景设置特定的编译环境,这会造成同源二进制在语法和结构层面存在很大差异,降低恶意代码同源性分析的准确率。为解决此问题,本文通过分析编译环境对二进制生成带来的影响,实现了一个准确、无监督、高效的恶意代码同源性分析方案。本文采用二进制提升与重优化技术将其统一到中间表示层,一定程度上消除语法、结构层面的改变。针对传统CBOW模型学习代码单词语义的不足,提出指令级的上下文语义学习方案,并考虑到出现上下文无关指令的小概率事件,结合SIF模型计算基本块特征向量。此外,针对恶意代码中库函数和字符串包含敏感信息更丰富的特点,本文提出基本块初始匹配集合的建立算法,在K-Hop贪心匹配算法和线性匹配算法的基础上,进一步提高了恶意代码同源性分析的准确率。实验表明,对于开源恶意代码Mirai,本方案相较于现有的无监督模型和预训练模型,在分析准确性和运行开销两个方面的综合表现更优。同时,对于其他类型的恶意代码,本方案输出的同源性指数均高于本文预先设立的同源性判定阈值,进一步证明其有效性。 展开更多

关键词 恶意代码同源性 编译环境 语义学习

在线阅读 下载PDF 职称材料

基于权限验证图的Web应用访问控制漏洞检测 被引量：5

12

作者 夏志坚 彭国军 胡鸿富 《计算机工程与应用》 CSCD 北大核心 2018年第12期63-68,共6页

针对Web应用中的访问控制漏洞缺乏有效检测手段的问题,提出了一种基于权限验证图的检测算法。首先,在程序控制流图(CFG)的基础上,识别权限验证节点和资源节点,通过T和F边将节点连成权限验证图。然后,遍历资源节点对应的所有权限验证路径... 针对Web应用中的访问控制漏洞缺乏有效检测手段的问题,提出了一种基于权限验证图的检测算法。首先,在程序控制流图(CFG)的基础上,识别权限验证节点和资源节点,通过T和F边将节点连成权限验证图。然后,遍历资源节点对应的所有权限验证路径,计算路径验证权限,与资源节点访问权限比较,检测是否存在访问控制漏洞。实验结果表明,在7个Web应用中,发现了8个已知和未知漏洞,相比较于已有的访问控制漏洞检测算法,该算法可以有效检测4种访问控制漏洞,扩大了漏洞检测范围。 展开更多

关键词 WEB应用 权限控制 权限验证图 漏洞检测

在线阅读 下载PDF 职称材料

基于深度学习的PowerShell恶意代码家族分类研究 被引量：5

13

作者 高宇航 彭国军 +2 位作者 杨秀璋 宋文纳 吕杨琦 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2022年第1期8-16,共9页

由于PowerShell具备隐蔽性高、易用性好、运行环境简单等特点,近年来已被广泛应用于高级持续性威胁攻击中。对PowerShell恶意代码进行基于功能的家族分类是检测其新型变异代码的关键。针对已有工作主要集中于PowerShell代码的恶意性检测... 由于PowerShell具备隐蔽性高、易用性好、运行环境简单等特点,近年来已被广泛应用于高级持续性威胁攻击中。对PowerShell恶意代码进行基于功能的家族分类是检测其新型变异代码的关键。针对已有工作主要集中于PowerShell代码的恶意性检测,缺乏对其功能层面深入挖掘的问题,提出了一种基于功能类型的PowerShell恶意代码家族分类方法。该方法通过构建双向门控循环网络与注意力机制提取PowerShell恶意代码的上下文语义信息,利用PowerShell恶意代码的语义特征实现家族分类。实验结果表明该方法具备高精确率、高召回率以及耗时少等优点,在真实数据集上各项指标均高于96%,分类效果良好。 展开更多

关键词 POWERSHELL 恶意代码 家族分类 深度学习

原文传递

一种基于预警信息的漏洞自动化快速防护方法 被引量：1

14

作者 徐其望 陈震杭 +1 位作者 彭国军 张焕国 《信息安全学报》 CSCD 2020年第1期74-82,共9页

针对当前Web应用防护方法无法有效应对未知漏洞攻击、性能损耗高、响应速度慢的问题,本文从漏洞预警公告中快速提取漏洞影响范围和细节,然后对目标系统存在风险的访问请求与缺陷文件和函数调用关系进行自动化定位,构建正常访问模型,从... 针对当前Web应用防护方法无法有效应对未知漏洞攻击、性能损耗高、响应速度慢的问题,本文从漏洞预警公告中快速提取漏洞影响范围和细节,然后对目标系统存在风险的访问请求与缺陷文件和函数调用关系进行自动化定位,构建正常访问模型,从而形成动态可信验证机制,提出并实现了基于预警信息的漏洞自动化快速防护方法,最后以流行PHPWeb应用的多个高危漏洞对本文方法进行验证测试,结果表明本文方法能够自动化快速成功阻止最新漏洞攻击,平均性能损耗仅为5.31%。 展开更多

关键词 漏洞预警 漏洞防护 动态可信 调用分析 WEB安全

在线阅读 下载PDF 职称材料

糖皮质激素对川崎病患儿急性期治疗效果的影响 被引量：1

15

作者 王远玲 彭国军 +3 位作者 郑申健 朱婷 彭琦 陈林 《西部医学》 2024年第9期1346-1349,1354,共5页

目的研究糖皮质激素对川崎病患儿急性期治疗效果的影响。方法纳入2018年1月—2023年1月期间孝感市中心医院收治的92例川崎病(KD)患儿,随机分为常规组与联合组各46例,常规组实施人免疫球蛋白+阿司匹林治疗,联合组在常规组基础上联合糖皮... 目的研究糖皮质激素对川崎病患儿急性期治疗效果的影响。方法纳入2018年1月—2023年1月期间孝感市中心医院收治的92例川崎病(KD)患儿,随机分为常规组与联合组各46例,常规组实施人免疫球蛋白+阿司匹林治疗,联合组在常规组基础上联合糖皮质激素治疗,两组患者均治疗两周。比较两组KD患儿用药后临床症状消失时间[发热、黏膜充血、四肢肿胀]。比较两组KD患儿治疗前后抗血小板聚集相关因子水平[血小板计数(PLT)、白细胞计数(WBC)、红细胞沉降率(ESR)]、炎症因子[生长分化因子-15(GDF-15)、巨噬细胞移动抑制因子(MIF)、血清高迁移率族蛋白B1(HMGB1)]、免疫功能[CD4^(+)、CD8^(+)]、冠状动脉内径。比较两组KD患儿治疗期间药物不良反应发生情况。结果联合组KD患儿发热、黏膜充血、四肢肿胀等临床症状消失时间显著低于常规组(P<0.05)。治疗两周后,两组患儿PLT、WBC、ESR、GDF-15、MIF、HMGB1、CD4^(+)水平显著低于治疗前,且联合组显著低于常规组(P<0.05);两组KD患儿CD8^(+)水平显著高于治疗前,且联合组显著高于常规组(P<0.05)。治疗后两组患儿冠状动脉内径较治疗前显著减小,但两组间冠状动脉内径比较差异无统计学意义(P>0.05)。两组患儿不良反应总发生率比较差异无统计学意义(P>0.05)。结论糖皮质激素联合人免疫球蛋白治疗KD患儿可促进其临床症状消失,并有利于提高其抗血小板聚集能力,降低炎症反应。 展开更多

关键词 糖皮质激素 人免疫球蛋白 川崎病 临床症状消失时间 抗血小板聚集

暂未订购

基于多层次行为差异的沙箱逃逸检测及其实现 被引量：2

16

作者 张翔飞 彭国军 朱泽瑾 《计算机工程与应用》 CSCD 北大核心 2018年第13期111-116,共6页

针对单一沙箱检测模式较为固定、易被恶意样本逃逸的问题,分析了当前恶意软件沙箱逃逸典型技术,提出了一种恶意样本逃逸行为检测框架。对恶意样本在不同层次的沙箱以及真实环境中生成的文件操作、网络通信、进程操作、注册表操作等行为... 针对单一沙箱检测模式较为固定、易被恶意样本逃逸的问题,分析了当前恶意软件沙箱逃逸典型技术,提出了一种恶意样本逃逸行为检测框架。对恶意样本在不同层次的沙箱以及真实环境中生成的文件操作、网络通信、进程操作、注册表操作等行为进行记录,进行特征筛选以及标准化处理,通过Jaccard相似度算法来比较行为之间的相似度差异,进行层次划分并判定恶意样本逃逸行为。实验结果显示,整体准确率为95.6%,检出率为90.1%,同时误报率低于5%,可以检测多种已知和未知逃逸行为,通过进一步分析可定位到样本具体逃逸行为。 展开更多

关键词 沙箱检测 动态分析 行为逃逸 层次差异

在线阅读 下载PDF 职称材料

针对未知PHP反序列化漏洞利用的检测拦截系统研究 被引量：3

17

作者 陈震杭 王张宜 +1 位作者 彭国军 夏志坚 《信息网络安全》 CSCD 北大核心 2018年第4期47-55,共9页

针对大部分Web应用在反序列化漏洞防护措施上存在不足,只能在漏洞公开后实行应急措施,无法应对未公开的漏洞攻击的问题,文章通过对PHP反序列化机制的研究,将PHP的敏感函数调用栈作为研究出发点,以Web应用正常运行时的函数调用栈作为判... 针对大部分Web应用在反序列化漏洞防护措施上存在不足,只能在漏洞公开后实行应急措施,无法应对未公开的漏洞攻击的问题,文章通过对PHP反序列化机制的研究,将PHP的敏感函数调用栈作为研究出发点,以Web应用正常运行时的函数调用栈作为判定依据,实现了一个基于敏感函数调用栈的未知反序列化漏洞动态检测与拦截系统。通过对4个PHPWeb应用的6个反序列化漏洞的实验测试可知,该系统可成功拦截当前所有PHP反序列化漏洞攻击,并能够提取或回溯漏洞攻击所构造的POP攻击链,实现零误报。系统平均性能消耗为3.67%。 展开更多

关键词 PHP反序列化漏洞 函数调用栈 安全防护

在线阅读 下载PDF 职称材料

基于二进制重构的恶意函数异常检测方法 被引量：1

18

作者 田杨 彭国军 +1 位作者 杨秀璋 刘思德 《武汉大学学报(理学版)》 CAS CSCD 北大核心 2024年第4期463-472,共10页

近年来,恶意软件检测方面的工作不断取得进展,但缺乏深入检测恶意软件内部恶意组件的方法。传统的基于人工签名与基于机器学习的检测方法难以生效,分析人员需对恶意样本进行漫长的人工逆向分析,再定位恶意组件。为提高逆向分析人员的工... 近年来,恶意软件检测方面的工作不断取得进展,但缺乏深入检测恶意软件内部恶意组件的方法。传统的基于人工签名与基于机器学习的检测方法难以生效,分析人员需对恶意样本进行漫长的人工逆向分析,再定位恶意组件。为提高逆向分析人员的工作效率,以恶意软件内部具有潜在恶意行为的函数为检测目标,提出一种基于二进制重构的恶意函数异常检测方法:MalMiner。对样本生成过程间控制流程图,根据图中函数具备的统计特点、结构特点和恶意特点提取能够表征该函数的特征。利用无监督的自编码器模型压缩重构的特点,学习正常软件函数的数据特征,并以重构误差为异常分数检测恶意函数。实验结果表明,MalMiner在真实数据集上召回率为0.8010时准确率达到了0.8484;与DeepReflect相比,召回率相同而误报率降低了0.1578,准确率提升了0.1457;与CAPA相比召回率提高了0.1071,准确率提升了0.0942,验证了MalMiner方法的有效性。 展开更多

关键词 恶意软件检测 恶意代码 逆向分析 深度学习 二进制重构

原文传递

Research on Android Malware Detection and Interception Based on Behavior Monitoring 被引量：5

19

作者 peng guojun SHAO Yuru +2 位作者 WANG Taige ZHAN Xian ZHANG Huanguo 《Wuhan University Journal of Natural Sciences》 CAS 2012年第5期421-427,共7页

Focusing on the sensitive behaviors of malware, such as privacy stealing and money costing, this paper proposes a new method to monitor software behaviors and detect malicious applications on Android platform. Accordi... Focusing on the sensitive behaviors of malware, such as privacy stealing and money costing, this paper proposes a new method to monitor software behaviors and detect malicious applications on Android platform. According to the theory and implementation of Android Binder interprocess communication mechanism, a prototype system that integrates behavior monitoring and intercepting, malware detection, and identification is built in this work. There are 50 different kinds of samples used in the experiment of malware detection, including 40 normal samples and 10 malicious samples. The theoretical analysis and experimental result demonstrate that this system is effective in malware detection and interception, with a true positive rate equal to 100% and a false positive rate less than 3%. 展开更多

关键词 ANDROID software behavior smartphone security malware detection

原文传递

一种基于手机传感器的定位伪造检测方案

20

作者 姚维芊 彭国军 +1 位作者 傅建明 罗元 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2019年第2期165-177,共13页

针对移动设备上用户伪造定位的情况,提出一种基于手机传感器的定位伪造检测方案。该方案通过采集设备中多个传感器数据并结合易获取的公共地图信息,分析用户轨迹,并与用户提交的地理位置信息进行匹配,从而鉴别用户定位是否存在篡改。实... 针对移动设备上用户伪造定位的情况,提出一种基于手机传感器的定位伪造检测方案。该方案通过采集设备中多个传感器数据并结合易获取的公共地图信息,分析用户轨迹,并与用户提交的地理位置信息进行匹配,从而鉴别用户定位是否存在篡改。实验结果表明,本文方案准确性高,可检测多种不同的定位伪造场景。该方案无需任何额外权限即可利用传感器定位,在保证实验结果可靠性的前提下,较低的采样频率不会影响手机正常使用,且额外耗电量较低。 展开更多

关键词 手机 传感器 定位篡改 伪造检测

原文传递