严寒冰
- 作品数:34 被引量:123H指数:7
- 供职机构:国家互联网应急中心更多>>
- 发文基金:国家自然科学基金国家科技重大专项国家科技支撑计划更多>>
- 相关领域:自动化与计算机技术政治法律经济管理电子电信更多>>
- 美国关键基础设施网络防御路线发展与调整被引量:2
- 2022年
- 关键基础设施防御是国家网络安全工作的焦点问题之一,在国家安全中扮演着越来越重要的角色。美国是最早体系化开展关键基础设施网络安全防御的国家,其关键基础设施防御思想一直引领全球,并不断发展、演变。对于美国在关键基础设施网络防御方面的经验和做法,国内学者做过大量研究和分析。本文重点关注美国关键基础设施网络防御能力中的缺陷和不足,以及2013年以来美国关键基础设施防御思想和技术路线发生的重大调整。这种变化至今仍在持续发展,值得关注。
- 严寒冰张宇鹏
- 关键词:网络防御网络安全防御国家网络安全国内学者防御能力
- 基于异质信息网络的恶意代码检测被引量:3
- 2022年
- 恶意代码对网络安全、信息安全造成了严重威胁。如何快速检测恶意代码,阻止和降低恶意代码产生的危害一直是亟需解决的问题。通过获取恶意应用的动态信息、构造异质信息网络(HIN),提出了描述恶意代码动态特征的方法,实现了恶意代码检测与分类。构建了FILE、API、DLL三类对象的4种元图,刻画了恶意代码HIN的网络模式。经过改进的随机游走策略,尽可能多地获取元图中对象节点的上下文信息,将其作为连续词包(CBOW)模型的输入,从而得到词向量的网络嵌入。通过投票方法改进主角度分析模型,得到多元图特征融合的分类结果。在仅可获得有限信息的情况下,大大提高了基于单元图特征的恶意样本分类准确率。
- 刘亚姝侯跃然严寒冰
- 关键词:恶意代码随机游走
- 基于流量行为图的攻击检测方法被引量:5
- 2022年
- 传统基于流的攻击检测无法完全捕获网络通信模式,难以对网络中的攻击事件进行有效检测,而流量行为图中包含的信息可以有效反映主机的真实情况。文章针对多类型网络攻击检测问题,提出了基于流量行为图的攻击检测方法,实现了基于流量行为图的攻击检测。检测方法基于聚类和生成学习模型,包含两个阶段,第一阶段通过聚类算法尽可能地过滤良性节点,第二阶段应用生成学习模型检测多种不同攻击事件。在公开数据集上的实验结果表明,文章提出的攻击检测方法可以有效检测出网络中存在的多种不同攻击事件。此外,系统使用基于Apache Spark的分布式处理框架,可以有效进行大规模数据处理。
- 张东鑫郎波严寒冰
- 关键词:聚类攻击检测SPARK
- 一种基于深度学习的恶意代码克隆检测技术被引量:7
- 2022年
- 恶意代码克隆检测已经成为恶意代码同源分析及高级持续性威胁(APT)攻击溯源的有效方式。从公共威胁情报中收集了不同APT组织的样本,并提出了一种基于深度学习的恶意代码克隆检测框架,目的是检测新发现的恶意代码中的函数与已知APT组织资源库中的恶意代码的相似性,以此高效地对恶意软件进行分析,进而快速判别APT攻击来源。通过反汇编技术对恶意代码进行静态分析,并利用其关键系统函数调用图及反汇编代码作为该恶意代码的特征。根据神经网络模型对APT组织资源库中的恶意代码进行分类。通过广泛评估和与MCrab模型的对比可知,改进模型优于MCrab模型,可以有效地进行恶意代码克隆检测与分类,且获得了较高的检测率。
- 沈元严寒冰夏春和韩志辉
- 关键词:克隆检测
- 多边形简化算法及比较被引量:7
- 2009年
- 用多边形简化提高工程分析效率,利用图形学中三维模型简化的相关思想,从顶点删除和边收缩2个角度,提出3种多边形简化算法,并对其简化效果进行比较。实验结果表明,该算法在对多边形进行简化的同时能够有效保持多边形的形状,已应用于地质高程分析软件中。
- 刘亚姝严寒冰范友贵
- 关键词:多边形边收缩
- 基于二维离散傅里叶变换的恶意代码检测被引量:1
- 2025年
- 恶意代码数量越来越庞大,恶意代码分类检测技术也面临着越来越大的挑战。针对这个问题,一种新的恶意代码分类检测框架MGFG(malware gray image Fourier transform gist)模型被提出,其将恶意代码可执行(portable executable,PE)文件转换为灰度图像,应用二维离散傅里叶变换对恶意代码的灰度图像进行处理,得到其频谱图。通过对频谱图频率的处理,达到恶意代码图像去噪的效果。最后,提取全局特征(gist)并实现恶意代码的检测与分类。实验结果表明,在多个数据集上,MGFG模型对于加壳的、采用了混淆技术的恶意代码分类问题都具有更好的鲁棒性和更高的分类准确率。
- 刘亚姝邱晓华孙世淼赵潇逸严寒冰
- 关键词:恶意代码灰度图像傅里叶变换GIST
- 一种基于时间序列分解的数据窃密事件检测方法研究被引量:3
- 2017年
- 在网络安全领域中,数据窃密检测是重要的研究内容。文章提出一种应用在网络流量场景下的时间序列分解算法,将时间序列分解为季节性数据、趋势数据、残差数据3部分,采用滑动窗口内的中位数来更好地拟合趋势数据,并且针对离散单点进行了过滤。同时,将异常点所在时间范围作为算法的最后输出形式。文章提出利用信息熵工具有助于发现隐蔽性较高的数据窃密行为。文中将本文算法和Piecewise Median算法、STL算法进行对比,并在经信息熵处理后的时间序列上应用本文算法进行检测。实验表明,本文算法相对于Piecewise Median算法、STL算法有较大幅度的性能提升,数据窃密检测效果良好。
- 安冉朱小波严寒冰
- 关键词:大型服务器时间序列分解
- 上下文感知的安卓应用程序漏洞检测研究被引量:7
- 2021年
- 针对基于学习的安卓应用程序的漏洞检测模型对源程序的特征提取结果欠缺语义信息,且提取的特征化结果包含与漏洞信息无关的噪声数据,导致漏洞检测模型的准确率下降的问题,提出了一种基于代码切片(CIS)的程序特征提取方法。该方法和抽象语法树(AST)特征方法相比可以更加精确地提取和漏洞存在直接关系的变量信息,避免引入过多噪声数据,同时可以体现漏洞的语义信息。利用CIS,基于Bi-LSTM和注意力机制提出了一个上下文感知的安卓应用程序漏洞检测模型VulDGArcher;针对安卓漏洞数据集不易获得的问题,构建了一个包含隐式Intent通信漏洞和Pending Intent权限绕过漏洞的41812个代码片段的数据集,其中漏洞代码片段有16218个。在这个数据集上,VulDGArcher检测准确率可以达到96%,高于基于AST特征和未进行处理的APP源码特征的深度学习漏洞检测模型。
- 秦佳伟张华严寒冰何能强涂腾飞
- 2017年10月网络安全监测数据发布被引量:1
- 2017年
- 1木马僵尸监测数据分析
1.1境内木马或僵尸程序受控主机分析
2017年10月,中国境内(以下简称境内)84万余个IP地址对应的主机被木马或僵尸程序控制,与9月的105万余个相比下降19.9%.2016年11月至2017年10月,境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示.
- 严寒冰吕志泉
- 关键词:安全监测数据发布程序控制数据分析IP地址木马
- 二进制代码切片技术在恶意代码检测中的应用研究被引量:7
- 2021年
- 恶意代码检测技术作为网络空间安全的重要研究问题之一,无论是传统的基于规则的恶意代码检测方法,还是基于机器学习的启发式恶意代码检测方法,首先都需要自动化或人工方式提取恶意代码的结构、功能和行为特征。随着网络攻防的博弈,恶意代码呈现出隐形化、多态化、多歧化特点,如何正确而有效的理解恶意代码并提取其中的关键恶意特征是恶意代码检测技术的主要目标。程序切片作为一种重要的程序理解方法,通过运用“分解”的思想对程序代码进行分析,进而提取分析人员感兴趣的代码片段。由于经典程序切片技术主要面向高级语言,而恶意代码通常不提供源代码,仅能够获取反汇编后的二进制代码,因此二进制代码切片技术在恶意代码检测技术中的应用面临如下挑战:(1)传统的面向高级语言的程序切片算法如何准确而有效的应用到二进制代码切片中;(2)针对恶意代码如何尽可能完整的提取能够表征关键恶意特征的程序切片。本文通过对经典程序切片算法的改进,有效改善了二进制代码过程间切片和切片粒度问题,并通过人工分析典型恶意代码,提取了42条有效表征恶意代码关键恶意特征的切片准则。实验表明,本文提出的方法可以提升恶意代码同源性检测的精度和效率。
- 梅瑞严寒冰沈元韩志辉
- 关键词:程序切片恶意代码检测
