韩伟涛
- 作品数:2 被引量:1H指数:1
- 供职机构:中国人民解放军信息工程大学更多>>
- 发文基金:国家自然科学基金更多>>
- 相关领域:理学自动化与计算机技术更多>>
- 基于全局行为特征的未知恶意文档检测
- 2023年
- 相比于基于宏的恶意办公文档,基于漏洞利用的恶意办公文档在攻击过程中往往不需要目标交互,能在目标无感的情况下完成攻击,已经成为APT攻击的重要手段,因此检测基于漏洞利用特别是未知漏洞利用的恶意文档对于发现APT攻击具有重要作用。当前的恶意文档检测方法主要围绕PDF文档展开,分为静态检测和动态检测两类,静态检测方法容易被攻击者规避,且无法发现基于远程载荷触发的漏洞利用,动态检测方法仅考虑PDF中JavaScript脚本或文档阅读器进程的行为特征,忽视了针对系统其他进程程序的间接攻击,存在检测盲区。针对上述问题,本文分析了恶意办公文档的攻击面,提出恶意文档威胁模型,并进一步实现一种基于全局行为特征的未知恶意文档检测方法,在文档处理过程中提取全系统行为特征,仅训练良性文档样本形成行为特征库用于恶意文档检测,并引入敏感行为特征用于降低检测误报率。本文在包含DOCX、RTF、DOC三种类型共计522个良性文档上进行训练获取行为特征库,然后在2088个良性文档样本和211个恶意文档样本上进行了测试,其中10个恶意样本为手动构造用于模拟几种典型的攻击场景。实验结果表明该方法在极低误报率(0.14%)的情况下能够检测出所有的恶意样本,具备检测利用未知漏洞的恶意文档的能力,进一步实验表明该方法也能够用于检测针对WPS Office软件进行漏洞利用的恶意文档。
- 陈祥伊鹏白冰韩伟涛
- 关键词:漏洞利用
- 相互依赖复杂网络鲁棒性研究
- 进入新世纪以来,网络科学引起了学术界广泛关注,现实世界中诸多关于复杂系统的物理现象都可用网络科学做出一定解释。随着复杂网络研究进一步深入,学者们发现部分现实网络之间存在相互依赖关系,这种关系会使网络变得脆弱,因此相互依赖...
- 韩伟涛
- 关键词:复杂网络鲁棒性级联失效相变
- 文献传递
