闫广禄
- 作品数:12 被引量:21H指数:3
- 供职机构:北京理工大学更多>>
- 发文基金:国家242信息安全计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于线程调度的隐藏进程检测技术研究被引量:7
- 2013年
- 随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。
- 闫广禄罗森林
- 高可靠In-VM隐藏进程对抗检测方法被引量:2
- 2018年
- 通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.
- 闫广禄罗森林刘望桐潘丽敏
- 关键词:虚拟化ROOTKIT
- 基于多维交叉视图的rootkit行为辨识方法
- 本发明涉及一种基于多维交叉视图的rootkit行为辨识方法,属于计算机与信息科学技术领域。本发明首先利用多种rootkit检测方法对操作系统进行检测,构造相应维数的检测视图,每一维视图代表相应的检测结果;若某几维视图未出...
- 罗森林闫广禄潘丽敏郭亮张驰
- 文献传递
- 一种Windows操作系统内核函数遍历方法
- 本发明涉及一种Windows操作系统内核函数遍历方法,属于计算机与信息科学技术领域。本发明首先找到操作系统中的函数起始点,包括:快速系统调用函数、系统服务描述符表中的函数、中断处理函数等函数地址等;然后以这些函数为起点向...
- 罗森林焦龙龙潘丽敏闫广禄刘望桐
- 文献传递
- 虚拟化平台构建操作系统函数调用关系方法
- 2019年
- 针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32位/64位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。
- 刘望桐罗森林闫广禄潘丽敏QAMAS GUL KHAN SAFI
- 关键词:操作系统内核硬件虚拟化
- 虚拟化平台操作系统内核级Rootkits防护方法研究
- 随着信息技术的发展,社会对信息安全的需求日益迫切,信息安全已经成为一个不容忽视的问题。而操作系统作为信息系统的基础要素之一,其安全问题会威胁到整个信息系统,其内核的安全是操作系统安全防护的主要内容,一旦遭到威胁则可能影响...
- 闫广禄
- 关键词:虚拟化操作系统内核ROOTKITS
- 文献传递
- 一种网络协议漏洞挖掘方法
- 本发明公开了一种针对网络协议的漏洞挖掘方法,其步骤包括:1构造一个具有特征码的正常数据并输入到目标客户端。2劫持系统调用,挂起目标客户端进程,记录特征数据的偏移位置。3对内存中的特征数据,进行动态变异。4继续执行目标客户...
- 罗森林郭亮潘丽敏闫广禄张弛
- 文献传递
- 一种高效的攻击树串行建模方法被引量:3
- 2013年
- 为克服传统并行结构攻击树效率低、实用性差等问题,通过引入攻击序列,提出一种具有普适性的串行攻击树模型及其构建方法,并对每个叶子节点定义了其权重,从而对攻击单元效能进行量化分析;再利用Dijkstra算法计算攻击树模型中的最优路径,给出最佳攻击策略.通过对具有20个叶子节点的攻击树模型进行建模和分析,结果表明,新模型比传统并行模型具有更大的收益,攻击复杂度比传统模型降低65%.
- 罗森林张蕾郭亮闫广禄刘峥赵燕萍
- 关键词:攻击树
- 基于劫持内核入口点的隐藏进程检测方法被引量:3
- 2015年
- 针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法.该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程.实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.
- 罗森林闫广禄潘丽敏冯帆刘昊辰
- 关键词:交叉视图ROOTKIT
- 基于Probit的犯罪嫌疑人判定方法研究被引量:6
- 2011年
- 为了在涉案人群中实现计算机识别犯罪嫌疑人,协助办案并提高办案效率,提出了一种基于Probit模型的犯罪嫌疑人判定技术.采用聚类的分离算法、关联算法以及Probit模型的显著性水平参数发现重要属性,通过对重要属性提取后的数据进行训练得到犯罪风险判定模型.实验结果表明,该方法对嫌疑人判定的平均准确率达到90.5%,平均查全率达到92.7%,判定效果较好.
- 罗森林刘峥郭亮闫广禄张蕾
- 关键词:PROBIT模型聚类
