科学研究

国家自然科学基金资助项目 《计算机病毒应急响应关键技术研究》简介

发表时间:2019-03-05

 一、项目简况(项目号:61471169)

QQ图片20190305101847.png


二、摘要:

本项目致力于研究计算机病毒应急响应的完整处置过程所涉及的关键技术,围绕以下主题开展了相关研究:1)程序恶意行为检测判定方法研究。设计基于Bayes方法的病毒自动检测系统;探讨以API函数调用短序为特征空间的病毒自动检测方法;研究从程序二进制数据流中静态抽取的N-gram信息为特征,通过统计方法找出正常程序与异常程序的差异性,实现病毒的自动检测;研究集成神经网络作为模式识别器在病毒自动检测中的应用;提出一种基于D-S证据理论的将动态检测与静态检测两种技术融合起来的病毒检测方法,有效提高检测准确率。2) 安卓恶意应用检测方法研究。针对Android恶意应用研究了基于HTTP流的自动网络流量行为生成与特征提取的方法。提出一种基于深度信念网络模型(DBNSel)的Android恶意应用检测方法,检测准确率达到 99.4%。3)病毒传播情境下的网络风险量化评估方法研究。提出了基于隐马尔可夫模型(Hidden Markov Model)的实时网络安全风险量化评估方法。提出基于隐半马尔可夫模型(Hidden Semi-Markov Model)的安全风险量化评估方法。提出一种基于随机博弈模型的网络安全风险量化评估方法。4)基于网络划分的病毒传播抑制方法研究。5)开发计算机病毒应急响应管理系统的原型系统,申请“多引擎病毒检测系统”“恶意代码行为自动分析系统”等3项软件著作权及2项专利授权。研究结果形成论文公开发表共26篇,出版专著1部,申请专利2项,软件著作权3项,完成预期研究目标。

关键词:计算机病毒;恶意代码;病毒检测;病毒传播;风险评估.

 

三、Abstract

 

This project is devoted to the research on the key technologies involved in the complete process of computer virus emergency response. The research is carried out based on the following topics:

 1) Research on the method of detecting malicious behavior detection. The automatic virus detection system based on Bayes method is designed. The automatic virus detection method based on API function call short sequence is discussed. The N-gram information statically extracted from the program binary data stream is studied as a feature, and the normal program is found through statistical methods. The difference between the abnormal program and the automatic detection of virus; the application of integrated neural network as the pattern recognizer in the automatic detection of virus; a virus based on D-S evidence theory that combines the two technologies of dynamic detection and static detection The detection method effectively improves the detection accuracy.

2) Research on Android malicious application detection methods. A method for automatic network traffic behavior generation and feature extraction based on HTTP flow is studied for Android malicious applications. An Android malicious application detection method based on deep belief network model (DBNSel) is proposed, and the detection accuracy reaches 99.4%.

3) Research on quantitative assessment methods of network risks in the context of viral transmission. A real-time cyber security risk quantitative evaluation method based on Hidden Markov Model is proposed. A quantitative risk assessment method based on Hidden Semi-Markov Model is proposed. A method for quantitative assessment of network security risk based on stochastic game model is proposed.

4) Research on virus propagation suppression methods based on network partitioning.

5) Develop a prototype system for the computer virus emergency response management system, and apply for three software copyrights and two patent licenses, such as “multi-engine virus detection system” and “progam code behavior automatic analysis system”.

The research results formed a total of 26 papers published, 1 monograph, 2 patents, 3 software copyrights, and completed the expected research goals.

 

Key words:Computer virus; malicious code; virus detection; virus transmission; risk assessment.

 

四、正文

(一)结题部分

1. 研究计划执行情况概述。

(1)按计划执行情况。

根据项目批准通知要求,本项目研究起止时间为2015年1月至2018年12月。项目研究小组及时编制了资助项目计划书并报基金委批准,研究过程中严格按计划实施本项目。项目组分别于2015年1月、2016年1月、2017年1月及时向基金委上报了项目年度进展报告,并获审核通过。于2018年12月汇总研究成果和各阶段技术报告,撰写总结报告。各阶段主要工作如下:

1)2015年度主要工作:

(a) 搭建病毒分析实验仿真平台;

(b) 对恶意代码检测技术进行研究。主要包括:恶意代码关于虚拟分析与调试平台的感知行为及其对抗方法研究;程序恶意行为自动检测判定方法研究。

本年度项目组成员发表论文4篇,其中EI收录3篇。

2)2016年度主要工作:

(a) 病毒分析实验环境建设,收集海量病毒样本,容量>100G Byte;

(b) 基于网络划分的病毒传播抑制研究;

(c) 病毒行为分析与特征提取、特征降维研究。

项目组成员发表论文9篇,其中SCIE收录2篇,EI收录3篇。

3)2017年度主要工作:

(a)病毒分析平台开发:研发“在线多病毒扫描系统"软件;

(b)病毒风险量化评估研究: 研究了病毒攻击情境下的网络安全评估指标的选择方法; 研究病毒攻击情境下的网络安全风险量化分评估方法。

(c)Android恶意软件检测分析研究。

项目组成员发表学术论文4篇其中SCI收录1篇、EI收录2篇,申请软件著作权1项,出版专著1部。

4)2018年度主要工作:

(a) 开发“恶意代码行为自动分析”软件和“计算机病毒应急响应管理”原型系统;(b) 原型系统部署与应用推广;(c) 收集资料,准备项目验收。

项目组成员发表学术论文9篇,其中SCI收录5篇、EI收录2篇,申请软件著作权2项,专利2项。

 

(2)研究目标完成情况。

本项目致力于研究计算机病毒应急响应的完整处置过程所涉及的关键技术问题,对以下问题进行了研究:1)程序恶意行为自动判定方法;2)Android平台下恶意应用行为分析与检测;3)病毒攻击情境下的网络量化风险评估模型;4)建立计算机病毒传播抑制模型; 5)开发计算机病毒应急响应软件系统。

项目研究小组目前已公开发表学术论文26篇,出版专著1部,申请专利2项,软件著作权3项,达到预期研究成果目标。

 

2. 研究工作主要进展、结果和影响。

(1)主要研究内容

1) 程序恶意行为检测判定方法研究

由于程序的行为非常复杂,具体的行为需要根据实际情况而定,混淆、变形等程序变换技术广泛应用于病毒编写过程中,这使得对病毒进行分析与判定更加困难。由于没有源代码可供分析,因此只能从二进制文件开始进行研究,或者通过观测程序的外部行为并用于程序恶意性判定,这就使得用于判定程序恶意性的知识具有局部性与暂时合理性,同时支持算法判定推理所涉及的概念也具有模糊性和不确定性,为了应对这种局面,提出以统计学习理论为指导,以病毒的判定自动化为目的,对病毒的检测分析技术行了研究。

2)恶意代码关于虚拟分析与调试平台的感知行为及其对抗方法研究

恶意代码的执行环境检测方法与分析者的反检测方法持续对抗,恶意代码的编写者不断提出新的执行环境感知方法以逃避分析,分析者也不断改进已有的对抗方法,并提出新的对抗方法。项目组对面向虚拟分析与调试环境感知行为的对抗方法进行了研究。

3)安卓恶意软件检测方法研究

研究了基于HTTP流量的Android恶意应用行为生成与特征自动提取方法。使用自动方式执行恶意应用。采集所生成的网络流量,然后从所生成的网络流量中提取基于HTTP的行为特征,最后将得到的网络行为特征用于恶意应用检测。

设计了基于深度信念网络的Android恶意应用检测方法。结合了静态分析和深度信念网络算法有效地实现了对Android恶意应用进行检测。

4)恶意代码网络传播抑制技术研究

研究了基于网络划分的的病毒传播抑制方法。对网络进行分割以减小网络规模,在划分边界上对病毒进行隔离,从而达到有效的抑制病毒的传播的目标。

5)病毒风险量化评估研究

病毒对网络资产造成了巨大破坏,对被病毒攻击下的网络系统进行安全风险量化评估是一个重要的课题,它是对病毒破坏能力的综合度量,也是病毒疫情报告的重要内容。(a) 研究了病毒攻击情境下的网络安全评估指标的选择方法。采用模糊综合评判等方法综合计算多种系统特征行为下网络相关因素的重要程度,从而确定网络安全事件主要的安全评估指标。(b) 研究病毒攻击情境下的网络安全风险量化评估方法。a) 提出了基于马尔可夫模型(HMM)的实时网络风险评估方法; b) 提出了基于隐半马尔可夫模型(HsMM)实时网络风险评估方法;c) 提出了一种基于随机博弈模型的网络安全风险量化评估方法。

 

(2)取得的主要研究进展、重要结果、关键数据等及其科学意义或应用前景。

    1)程序恶意行为检测判定方法研究

    (a)为了达到自动检测未知计算机病毒的目的,设计了基于Bayes方法的病毒自动检测系统,检测引擎采用贝叶斯分类算法实现。基于Bayes方法的病毒检测方法在检测过程中无需反病毒专家事先人工对病毒样本分析,系统对样本集进行学习后可以自动对可疑程序进行分类检测。为了有效的对抗目前日益流行的变形病毒,我们采用的是动态分析技术,在虚拟机中对可疑程序的行为进行监控,记录程序在运行时与操作系统交互过程中所调用的API函数相关信息,并以选择的API函数调用作为分类特征输入检测器。我们在所收集的数据集上分别用朴素Bayes方法与多重Bayes方法进行了实验测试。结果表明,多重Bayes方法的分类精度要稍好于朴素Bayes分类器。通过实验测试发现要达到较好的分类精确率,Bayes分类方法需要较多的样本进行学习。

(b)在病毒检测领域中能够获得的数据常常呈现出多变性、小样本和高维性,而支持向量机正好非常适合解决此类难题。SVM方法对数据的维数和多变性不敏感,由有限的训练集样本得到小的误差仍然能够保证对独立的测试集保持小的误差。将支持向量机应用到病毒检测中,可以保证在先验知识不足的情况下,仍然有较好的分类正确率,这在较难获得大量病毒样本的情况下十分有利。

我们观察到正常程序的API调用序列具有局部连续性的性质,由此探讨了以API函数调用短序为特征空间的病毒自动检测方法。实验表明该模型能非常有效地将正常和异常程序区分开来,只需要较少的病毒样本数据做训练,就能得到较高的检测精确率。由于我们在检测过程中提取的是程序的行为信息,可以有效地对抗病毒的加密、迷惑化(Obfuscated Code)和动态库加载技术(Dynamic Load Library)。 实验结果显示SVM检测器的检测准确率达到了95.25%。

上述结果启发我们可以进一步对API函数调用信息进行深入挖掘,如可以将API调用过程用到的输入参数和返回值进行处理,应用于分类器可能会取得更好的分类结果。另外,对于调用序列进行语义分析,寻找正常程序与病毒程序的差异性,以此进行病毒的检测也是一种新思路。

(c)提出一种计算机病毒静态检测方法,该法以程序二进制数据流中静态抽取的n-gram信息为特征,通过统计方法找出正常程序与异常程序的差异性,最后使用SVM和KNN分类器实现病毒的自动检测。系统在病毒检测过程中不需人工专家事先提取病毒的特征码,它通过自学习的方式实现病毒的自动检测。与基于程序行为的病毒检测方法相比较,静态检测方法不会对系统造成不可预料的破坏,由于无需配置虚拟机,故其运行速度快。

为了提高检测系统的响应速度,我们应用粗糙集相关理论对特征空间进行了降维处理,考虑到经典属性约简算法的时间开销较大,我们在实验中使用的是基于核的属性约简方法,并对其做了优化,实验结果表明,优化后的约简算法时间开销远小于QUICKREDUCT算法,这为病毒实时检测提供了可能性。

因为我们选择的特征向量是对程序代码静态分析得来的,故对加密多态病毒的检测无效。注意到加密病毒执行前必须解密才能执行这一特点,一种解决方案是在检测系统中加上解密模块,将加密代码还原后再执行检测过程。此外,我们将在后续研究中考虑基于程序行为分析与静态检测相结合的方法来实现计算机病毒的深度检测。

    (d)研究了集成神经网络作为模式识别器在病毒自动检测中的应用。在Bagging算法的基础上,提出了IG-Bagging集成方法。IG-Bagging方法将基于信息增益的特征选择技术引入集成神经网络的构建中,同时扰动训练数据和扰动输入属性,使得生成的个体网络差异度大。实验结果表明,IG-Bagging的泛化能力比Bagging强,与Attribute Bagging方法相近或相当,但其效率远优于Attribute Bagging方法。提出的病毒检测方法并不针对某一特定病毒,是一种通用的病毒检测器。实验表明提出的检测方法具有较强的泛化能力和较高的精确率。

(e)认识到病毒的动态检测与静态检测技术都有各自的优点和不足,提出一种将两种检测技术融合起来的方法。因为系统中不同的成员分类器本质上是异构的,不太适合用传统的投票法组合,故我们采用D-S证据理论对不同检测器的结果进行融合。融合后的检测器在训练成员分类器时使用了不同类型的特征向量,能尽量扩大成员分类器的不相关性与差异性,在组合成员分类器时充分考虑到了分类器对不同类别的分类性能各异的性质,因而集成分类器的检测准确率得到了有效提高。

同时我们注意到相对某分类器,在对实际问题建模时,都要尽力扩大类之间的距离,其类可分性强,则其分类结果越好。据此我们研究了基于类间距离测度的证据信度值分配方法,该法合理地体现了各成员分类器对最后决策的影响,实验表明该法具有较好的性能。

已知Dempster组合规则复杂度是P-complete,但在我们的具体研究环境下,我们证明可以得到一种计算时间代价为O(N)的计算方法。系统的开销主要在特征的提取过程,在实际应用中我们可以进行离线预处理,以节约运行时间。最后我们测试了组合后的分类器对变形病毒的检测效果。实验表明,提出的病毒检测方法克服了传统病毒扫描器的不足,对未知病毒和变形病毒都具有良好的检测效果,其性能优于流行的商用反病毒工具软件。

 

    2)安卓恶意应用检测方法研究

(a)针对Android恶意应用研究了基于HTTP流的自动网络流量行为生成与特征提取的方法。首先设计自动执行 Android 恶意应用的方法来解决手动执行方法中存在的耗时耗精力的不足;其次, 通过对捕获到的网络流量进行流量解析、聚类,特征生成和合并等操作,提取到基于HTTP流的 Android恶意应用行为特征。在实验阶段,使用两类不同的数据集对所设计的提取方法进行验证。实验结果表明,所提出的方法不仅有效地提取Android恶意应用的HTTP流量的行为特征, 并且所提取的特征可以准确地识别未知的Android恶意应用。

(b)传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的 Android恶意应用进行检测。为了解决这个问题,提出一种基于深度信念网络模型(DBNSel)的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从 Android应用中提取 5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的 Android恶意应用进行检测。在实验阶段,使用一个由3986个 Android正常应用和3986个Android恶意应用组成的数据集来验证 DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到 99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的 Android恶意应用检测。

 

    3)病毒传播情境下的网络风险量化评估方法研究

(a)提出了基于隐马尔可夫模型(Hidden Markov Model,HMM)的实时网络安全风险量化评估方法。一般情况下,病毒攻击通常由多个步骤组成,而且下一个攻击步骤的实施仅依赖于前一个攻击步骤的结果,这与马尔可夫模型中的状态转移特性相对应。当病毒进行某步攻击时,必会产生相应的报警事件,不同的攻击步骤产生的报警事件之间是相互独立的,这与马尔可夫模型中状态所产生的观察符号相对应, 马尔可夫模型中不同状态产生的观察符号是相互独立的。因此,攻击过程可以采用马尔可夫模型进行刻画,每个攻击步骤对应于马尔可夫模型的状态,攻击步骤的转移对应于状态的转换,而攻击的检测结果即报警事件则对应于马尔可夫模型中的可观察符号。将系统的安全状态、报警事件分别与HMM的状态和观察符号相对应,给出了一种基于HMM的网络风险评估模型。该模型通过关联分析网络防护设备产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单,速度快,实验结果表明,该模型能够有效对网络系统的安全状态进行定量评估。

利用HMM来量化网络安全风险,具有以下三个优势:1) 易于量化。可以给主机的每个状态确定一个风险代价,再综合每个状态的概率,得到当前主机一个明确的风险值,并且由这个风险值的高低可以直观的看到安全事件的严重程度,并观察到细微的变化。2) 随着系统受到不同的病毒攻击,可以实时反映系统的风险。而对于被边界病毒防火墙或者IPS阻隔的攻击,不会对内部网络造成影响,所以即使内部网络存在某些漏洞也不会产生风险,这样更加准确的体现了风险的含义。3) 参数可配置。通过对不同网络采用不同的初始状态矩阵、Trans矩阵、Obs矩阵和风险代价向量会得到不同的风险评估结果,对于不同的网络环境有很好的适应性。

将HMM方法与其他现有的量化评估方法进行简单比较,如:层次化的风险评估方法在评估整个网络络系统的风险时具有优势,但其风险计算原理本质上还是采用风险累积算法在该算法中风险值只增不减,所以风险值很容易达到最大值;基于免疫的风险评估方法在参数如何合理配置的问题上还有待研究,另外该方法计算量较大,在实际网络中进行风险评估的有效性还有待验证;基于攻击模型的评估方法只能根据模型特征来评估攻击的成功执行概率等因素,不能反映网络攻击与主机安全态势之间的概率关系;TANDI方法虽然在建立了准确的攻击模型的基础上,能够有效评估攻击的风险,但是其模型的构建需要大量人工干预。相比其它方法,HMM方法具有简单、准确、可配置程度高的优点。

    (b)提出用隐半马尔可夫模型(Hidden Semi-Markov Model,HSMM)来模拟网络系统的实际运行,以病毒防火墙等防护设备捕获的报警数据作为数据源,实现对网络安全风险量化评估。因为实际收集到的观测数据可能在同一个状态上发生无规律的驻留,HSMM修改了HMM模型关于系统在某个状态的驻留时间服从指数分布的假定,更适合于描述网络系统运行的实际情况。我们针对系统驻留时间的不同概率分布情况,分别选取了对数分布、负二项分布、几何分布)和泊松分布进行了实验测试。其中系统状态驻留时间呈泊松分布时的安全态势评估结果它反映了网络攻击的真实情况,病毒发起攻击前先进行探测,经过一段时间的休战,再进行攻击尝试,在病毒的持续攻击下,系统被攻破,实验结果与实际观测结果相吻合。同时,结合HSMM的前向-后向算法,给出了部分观测条件下的HSMM系统状态预测算法,将其应用于Honeynet网络安全态势评估中,得到了较好的评估效果。实验结果表明,由于HSMM可以对系统状态的驻留时间进行建模,非常适合于病毒攻击情况复杂多变的网络系统的安全评估。

(c)从博弈论(Game theory)的观点来看,病毒攻击情境下的信息安全实际上是信息保护者(防火墙)与入侵者(病毒)之间的博弈。提出了一种基于随机博弈模型的网络安全风险量化评估算法。首先从博弈论的视角研究病毒攻击与防范问题,建立了攻防博弈模型,确定博弈参数,进行纳什均衡(Nash Equilibrium)分析,求得攻防双方的纳什策略(Nash Policy),从而获知网络处于不同安全状态的概率分布,最后可求出网络安全风险量化评估结果。博弈论指出,攻防双方为获得最佳收益,会理性地坚持自己的Nash策略,而传统的网络安全评估算法则假定攻击者会选择攻击成功概率最大的行为,忽略了防御方对网络的防护行为以及攻击者在攻击成功的收益与攻击代价之间的权衡,导致其给出的结果与现实网络安全状况有出入。我们提出的攻防双方的博弈模型,为解决现实中的病毒疫情研判提供了一种新的思路。

 

    4)基于网络划分的病毒传播抑制方法

对网络进行划分将一个大规模网络划分为若干个规模较小的网络能够极为有效的遏制病毒的传播与蔓延。在划分的子网数目一定的情况下,则将网络划分的越均匀,对病毒的传播抑制的效果越好。如果在病毒开始传播的时刻对网络进行划分,则病毒传播达到相同的覆盖率时所需要的时间与网络划分的份数的平方成正比。

网络被划分的份数会直接影响到病毒传播的趋势。然而,网络的划分是动态的,不可能在平时也将网络置于被划分的状态。如果网络始终被划分,网络本身也就失去了意义。囚此,在病毒一开始传播时就进行网络的分割是一种理想情况。更为客观的做法则是,网络正常工作,当病毒被预警系统发现时,开始运行网络的划分,即网络划分时间为病毒预警系统的反应时间。

采用当前流行RedCodeII的数据作为参考,对网络划分对病毒的抑制作用进行评估。实验结果表明,只要在一定限度的时间内发现病毒,即使不是第一时刻发现病毒的传播,通过网络划分的方法也能够很好的遏制病毒。

网络越早的划分,则对病毒的遏制效果越好。而目前还不能有效而迅速的发现网络中的病毒。如果发现病毒的时间太晚,那时候再进行网络划分,则对病毒的传播抑制的效果大打折扣;而如果发现的很迅速,则能及时有效的将病毒遏制在萌芽状态。由于在实际中,将网络划分为更多的份数是一件相对比较容易的事;而将预警时间大幅提高则非常困难。因此可以通过增加网络划分的份数,来弥补分害割网络在时间上的迟缓。

图的划分本质上是一个满足相关约束条件的多目标的整数优化问题,它是一个NP难问题,通常只能通过某种启发式算法得到一定程度上的近似解。当前,关于图的划分的自由软件为数众多,可以用来完成非结构网格的有效划分。

在病毒爆发的时候,我们可以在划分得到的边界上对病毒进行隔离。网络的隔离并不是把网络永久的划分开来,并不一定是物理上的隔离,也可以是逻辑上的。如隔离的方法既可以采用地址过滤,也可以采用基于病毒特征的过滤。    网络在完成划分以后,当病毒袭来时,应该在最短的时间内完成网络的隔离与阻断。平常应该能够将管理系统与网络设备联动,将网络划分时的各种方案备齐,病毒爆发时,由管理系统发出指令,按照划分方案,自动将网络划分开来,从而及时地将病毒隔离,减小网络的损失。

 

5)原型系统开发与实现

设计和实现了计算机病毒应急响应管理系统的原型系统。申请了“多引擎病毒检测系统”“恶意代码行为自动分析系统”等3项软件著作权及2项专利授权,并已在湖南省鉴真司法鉴定中心和湖南省公安厅网监部门实际使用。

 

3. 研究人员的合作与分工

项目组主要研究人员从事的工作如下:

(1)张明键,1972-09-13, 男,湖南警察学院副教授, 博士, 在项目研究中负责部分行政事务和项目日常管理,研究工作主要为:病毒特征分析和提取,基于监督学习的智能检测算法设计与实现。

(2)周建华,1974-02-25, 男,湖南警察学院副教授, 硕士, 在项目研究中负责程序恶意网络行为特征提取分析研究。

(3)鄢喜爱,1972-11-23, 男,湖南警察学院  教授, 硕士, 在项目研究中负责网络划分、网络编码和纠错算法研究。

(4)范  强,1972-09-13, 男,湖南警察学院副教授, 硕士, 在项目研究中负责病网络攻击检测和取证工作。

(5)段丹青,1968-06-13, 女,湖南警察学院副教授, 博士, 在项目研究中负责病毒传播抑制研究。

(6)肖自红,1979-08-21, 男,湖南警察学院副教授, 硕士, 在项目研究中负责病毒传播及风险评估研究。

(7)唐德权,1979-05-25, 男,湖南警察学院讲  师, 硕士, 在项目研究中负责模型软件系统开发和实验样本数据采集,带领项目组学生邓运江和陈彬等进行软件开发,完成了项目软件著作权申报。

2016年开始项目组新增加两位研究人员:

(1)苏欣,男,博士,湖南警察学院讲师,在项目研究中负责Android平台恶意软件行为分析工作。

(2)赵薇,女,博士生,湖南警察学院讲师,在项目研究中负责Android平台恶意软件检测工作。

 

4. 国内外学术合作交流等情况

(1) 2015年度学术交流情况:

6月11日邀请中国人民公安大学信息安全工程系网络安全保卫学院王斌君教授来校进行学术讲座。

6月25日,邀请深圳腾讯公司安全管理部总监黄晟高级工程师做学术讲座。

7月15北京冠群金辰软件有限公司KILL防病毒系统技术顾问杨光辉高工来项目组进行交流。

12月17日邀请公安部第三研究所首席科学家金波研究员来院进行技术指导和合作交流。

12日23日,邀请美国密苏里州立大学刘蕙博士、副教授来院进行学术讲座。

项目组成员参加的国际国内学术会议:

ICIC2015:August 20-23, 2015,Fuzhou, China

ICNC-FSKD 2015: 15-17 August, 2015, Zhangjiajie,China

ICEEM2015:Dec 20-21,2015, Phuket, Thailand.

第八届中国信息安全博士论坛(China Information Security Doctor Conference, CISD2015),2015年10月,福州

(2) 2016年度学术交流情况:

5月邀请中国人民公安大学信息安全工程系网络安全保卫学院徐云峰教授来校进行学术讲座。12月邀请信息安全专家中国刑警学院秦玉海教授院进行学术讲座。2016.5-2017.5 派出项目组成员张明键博士到美国State University of New York at Binghamton做访问学者。

项目组人员参加了以下学术会议:

2016 IEEE TrustCom/BigDataSE/ISPA:Tianjin, 23-26 August 2016.

ICIC2016:Lanzhou,2-5,August 2016.

ICNC-FSKD2016: Changsha, 13-15 August 2016.

GlobalISP 2016:,Greater Washington, D.C., USA, December 7–9, 2016

中国互联网安全大会(北京,ISC 2016,815-18,2016)

2016网络安全湖南峰会(长沙,2016.11)

项目组成员参加的国际合作:2016年11月,项目组成员为香港纪律部队国情研修班(第78期)学员讲授《网络犯罪侦查技术》;为老挝警察讲授《网络犯罪侦查技术》、《电子数据取证技术》、《电子数据恢复技术》,并对《打击网络犯罪》两国交流与合作内容进行深入沟通与探讨。

(3) 2017年学术交流情况:

邀请北京警察学院佟晖教授来校做学术讲座;邀请湖南省公安厅科信总队总队长、湖南省科技重大专项项目负责人周杰来校交流“智慧警务云大数据平台安全保护技术”;

项目组成员张明键博士到美国State University of New York at Binghamton做访问学者(2016.5-2017.5);

项目组人员参加了以下学术会议

PaCCS 2017 : The 10th International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage. Guangzhou,ChinaDec 12, 2017 - Dec 15, 2017

ISCTT2017:Proceedings of The 2nd International Conference on Information Science,Computer Technology and Transportation.2017,OCT 27-29,Haikou,China

ICCCS 2017 : The 3rd International Conference on Cloud Computing and Security.Nanjing,China,Jun 16, 2017 - Jun 18, 2017

ISC 2017:中国互联网安全大会, 北京,9.11-13,2017

CISS2017: Conference on Information Sciences and Systems Baltimore,  Maryland,USA, March 22-24, 2017.

项目组成员参加的国际交流讲座:

2017年6月17日,由公安部主办、湖南警察学院承办的“老挝打击网络犯罪培训班”开班。项目组成员为培训班讲授《电子数据取证技术》和《网络犯罪侦查》两个专题。2017年7月17日,由公安部主办、湖南警察学院承办的“柬埔寨移民官员培训班”开班。项目组成员为培训班讲授《跨国电信网络诈骗取证》专题。

(4) 2018年学术交流情况:

邀请台湾彰化师范大学王智弘教授、湖南大学高中教授和国防科学技术大学祝恩教授来校做学术报告;

依托公安部外警培训基地,项目组成员为波黑、泰国、老挝、印度尼西亚等4国警察讲授《智慧警务》、《网络犯罪侦查》等课程,得到较高评价。

项目组成员参加了一系列国际学术会议:

ICIC2018:2018 International Conference on Intelligent Computing  August 15-18,2018. Wuhan

ICCCS 2018:International Conference on Cloud Computing and Security ,June 8-10,2018.Haikou

ICATCI 2018: International Conference on Applications and Techniques in Cyber ntelligence ,June 22-24,2018.Shanghai

 

5. 存在的问题、建议及其他需要说明的情况。

 

(二)成果部分

1. 项目取得成果的总体情况。

(1) 发表论文26篇( 其中期刊论文18篇,会议论文8篇;SCIE收录8篇,EI收录10篇,中文核心4篇);

(2) 出版学术专著 1部;

(3) 申请专利授权2项;

(4) 申请软件著作权3项;

(5) 培养在读硕士2人;

(6) 项目组成员共参加国际学术会议19人次。

 

2. 项目成果转化及应用情况。

申请了“多引擎病毒检测系统”“恶意代码行为自动分析系统”等3项软件著作权及2项专利授权,并已在湖南省鉴真司法鉴定中心和湖南省公安厅网监部门实际使用,应用领域为计算机犯罪侦查和电子取证。

 

3. 人才培养情况。

因项目承担单位无博士点和硕士点,项目组成员张波云、鄢喜爱、张明键分别在湘潭大学兼职硕士生导师。项目组两名本科生邓运江于2017年考入湖南大学信息工程攻读硕士,陈彬于2016年考入中南大学信息工程学院攻读硕士。

 

4. 其他需要说明的成果。

 

5. 项目成果科普性介绍或展示网站。

    http://glx.hnpolice.com/column/kxyj/

 

五、研究成果目录

A.期刊论文

1. 既非第一作者又非通讯作者论文

(1) 赵薇 ; 王楠; 苏欣; 张波云, 基于深度信念网络的Android 恶意应用检测方法, 计算机工程与应用, 2018.03.23,54(18):125~132, 北大中文核心期刊

(2) Su Xin ; Liu Xuchong; Lin Jiuchuang ; He Shiming; Fu Zhangjie; Li Wenjia,De-cloaking Malicious Activities in Smartphones Using HTTP Flow Mining, KSII Transactions on Internet and Information Systems,2017.06.30, 11(6):3230~3253, SCIE

(3) Zhang Mingjian ; Li Xiaohua ; Peng Jun,Using Joint Generalized Eigenvectors of a Set of Covariance Matrix Pencils for Deflationary Blind Source Extraction, IEEE Transactions on Signal Processing, 2018.06.1,66(11):2892~2904, SCIE

(4) 鄢喜爱 ; 张大方; 杨金民; 张波云 , 面向云存储容错系统的RS 再生码, 通信学报, 2016.10.01, 37(10):65~74,EI, 北大中文核心期刊

(5) Yan Xiai ; Zhang Dafang; Zhang Boyun , 基于Bloom Filter的容错纠错码的重复数据删除技术研究, Journal of Computational and Theoretical Nanoscience, 2016.01.31, 13(1):179~185, SCIE, EI

(6) Yan Xiai ; Zhang Dafang; Yang Jinmin, 一种云存储的自适应容错策略, KSII TRANSACTIONS ON INTERNET AND INFORMATION SYSTEMS, 2016.10.30, 10(11):5290~5304, SCIE, EI

(7) 刘绪崇 ; 陆绍飞 ; 赵薇; 张悦, 基于改进模糊C 均值聚类算法的云计算入侵检测方法中南大学学报(自然科学版), 2016.1.1, 47(7):2320~2325, EI

(8) 罗亚玲 ; 黎文伟; 苏欣, Android恶意应用HTTP行为特征生成与提取方法, 电信科学, 2016.08.20, (08):136~145,,其他

(9) 程杰仁 ; 周静荷; 唐湘滟; 史佳昕, 基于时间序列预测模型的分布式拒绝服务攻击检测方法, 网络安全技术与应用,2016.10.15, (10):0~69, 其他

(10) 程杰仁 ; 邓奥蓝; 唐湘滟, 分布式拒绝服务攻击与防御技术综述, 网络安全技术与应用, 2016.10.15,(10):42~45, 其他

(11) Cheng Jieren ; Liu Boyi ; Cai Kuanqi; Tang Xiangyan; Zhang Boyun , ETC Intelligent Navigation Path Planning Method, Journal of Internet Technology, 2018, 19(2):619~631, SCIE

(12) Zhang Wei ; Wang Shu Lin, Inference of Cancer Progression With Probabilistic Graphical Model From Cross-Sectional Mutation Data, IEEE Access, 2018, 6:22889~22898, SCIE

(13) 唐德权 ; 史伟奇; 张波云, 基于多模态信息特征融合的犯罪预测算法研究, 计算机应用与软件, 2018.07.30,35(7):221~225, 北大中文核心期刊

(14) 刘相滨 ; 周治民 ; 张波云 , 一种复杂环境下的人眼定位算法, .湖南师范大学自然科学学报, 2015.07.01,38(4):85~88

(15) Zhang Wei ; Wang Shu Lin ,An efficient strategy for identifying cancer-related key genes based on graph entropy, Computational Biology and Chemistry, 2018.06, 74:142~148, SCIE

(16) Luo Dan ; Wang Shu Lin ; Fang Jianwen; Zhang Wei, MIMPFC: Identifying miRNA mRNA regulatory modules by combining phase-only correlation and improved rough-fuzzy clustering, Journal of Bioinformatics and Computational Biology, 2018.02, 16(1):0~1750028, SCIE, ISTP

(17) 范强 ; 童宇; 谭敏, 网络虚拟社会网格化监管模式新探索, 信息安全与技术, 2016.01.15, 10(1):3~5, 其他

(18) 鄢喜爱 ; 张大方; 张波云 , 基于复制和纠删码自适应切换的云存储容错研究, 电子与信息学报, 2016.11.08,39(2):1~6, 北大中文核心期刊

B.会议论文

1. 第一作者论文

(1) Zhang,BoYun ; Yan,XiAi; Tang,DeQuan, Survey on Malicious Code Intelligent Detection Techniques, 1st International Conference on Advanced Algorithms and Control,  Pingtung, 2018.08.10-2018.08.12, EI

2. 既非第一作者又非通讯作者论文

(1) Xin Su ; Weiqi Shi; Jiuchuan Lin; Xin Wang, Mass Discovery of Android Malware Behavioral Characteristics for Detection Consideration, ICCCS 2018, 海口, 2018.06.08-2018.06.10, EI

(2) Xin Su ; Dafang Zhang; Wenjia Li; Kai Zhao, 基于深度学习的安卓恶意代码特征学习和检测, 2016 IEEE TrustCom/BigDataSE/ISPA, Tianjin, 2016.08.23-2016.08.26, EI

(3) Zhang, Mingjian ; Li, Xiaohua; Peng, Jun, Blind Source Separation Using Joint Canonical Decomposition of Two Higher Order Tensors, 51st Annual Conference on Information Sciences and Systems (CISS),2017.03.22-2017.03.24, EI, ISTP, 其他

(4) Shulin Wang ; Fang Chen; Jian Wen Fang, Spectral Clustering of High-dimensionalData via Nonnegative Matrix Factorization, ,The 2015 International Joint Conference on Neural Networks (IJCNN 2015), 2015.7.12-2015.7.17, EI

(5) Shulin Wang, Jinchao Gu, and Fang Chen ,Clustering High-Dimensional Data viaSpectral Clustering Using Collaborative Representation Coefficients, 2015 International Conference on Intelligent Computing (ICIC2015), 福建省福州市, 2015.8.20-2015.8.23, EI, ISTP

(6) Fang Chen,, Shulin Wang, Jianwen Fang , Spectral Clustering of High-DimensionalData via k-Nearest Neighbor Based Sparse Representation Coefficients, 2015 International Conference on Intelligent Computing (ICIC2015), 福建省福州市, 2015.8.20-2015.8.23, EI, ISTP

(7) Liubo Ouyang ; Yuan Tian ; Hui Tang; Boyun Zhang , Chinese Named Entity Recognition Based on B-LSTM Neural Network with Additional Features, SpaCCS 2017, 2017.12.12-2017.12.15, EI, ISTP

 

学术专著

(1) 张波云 , 基于监督学习的病毒检测技术研究, 武汉大学出版社, 2017.12.28

 

专利

 (1) 中国专利, 周建华 ; 肖勇, 一种电子取证分析设备,授权, 2018.04.03-2028.04.03,ZL 2018 2 0455064.4

(2) 中国专利, 周建华, 一种计算机网络信息安全装置,授权, 2018.04.08-2028.04.08,ZL 2018 2 0482953.X

 

软件著作权

(1) 张波云; 邓运江; 陈彬, 多引擎病毒扫描系统V1.0, 2018SR130350, 原始取得, 全部权利, 2017.12.10

(2) 张波云; 邓运江; 陈彬, 恶意代码行为自动分析系统V1.0, 2018SR816465, 原始取得, 全部权利, 2018.05.07

(3) 周建华, 分布式网络动态实时安全取证系统V1.0, 2018SR581241, 原始取得, 全部权利, 2018.05.17

 

人才培养

1. 出站博士后/毕业博士/毕业硕士/在站博士后/在读博士/在读硕士

(1) 陈彬, 在读硕士, 2015.12-2017.12

(2) 邓运江, 在读硕士, 2015.12-2017.12

 

项目成果应用前景

本项目成果拟应用领域:1、计算机犯罪侦查 2、电子取证 3、网络安全

预计在5年以内推广使用。

 

2.png

3.png