共查询到20条相似文献,搜索用时 62 毫秒
1.
考虑基于SDN架构的网络环境,并针对当前检测隐藏端口的方法的不足,提出一种全新的基于SDN架构的隐藏端口检测方法.利用SDN集中控制的特性,通过内存映射流表项的方法来实时提取主机的连接信息,并结合主机代理的信息进行交叉视图检测,同时在检测过程中引入检测状态机,使得准确检测出部署环境下所有主机的隐藏端口.实验结果表明,该方法能高效地检测主机恶意程序隐藏的端口,并具有良好的兼容性和系统性能. 相似文献
2.
通过研究当今恶意程序的发展趋势,系统比较在通信隐藏和检测方面的诸多技术和方法,综合分析它们存在的不足,提出了一种基于NDIS来进行恶意程序隐藏检测的方法,很好的补充了恶意程序检测体系,实验表明该方法可以检测出当前所有进行通信隐藏的恶意程序。 相似文献
3.
4.
Rootkit木马隐藏技术分析与检测技术综述 总被引:1,自引:0,他引:1
对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。 相似文献
5.
Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。 相似文献
6.
7.
8.
基于代码搬移的PE文件信息隐藏 总被引:2,自引:0,他引:2
根据PE文件代码段的结构特点,对代码段子程序进行了分析,提出了将子程序进行搬移,而将信息隐藏到原来子程序位置处的信息隐藏方案。该方案将信息隐藏在代码段代码之中,使隐藏信息和PE文件原有数据紧密结合。隐藏后信息分散在PE文件各个位置,具有很高的隐蔽性,不易被察觉。和已有的一些方案相比,该方案通过提高隐藏信息的分散性增强了信息的隐蔽性,通过对隐藏信息进行加密,增强了信息的安全性。 相似文献
9.
信息隐藏技术的出现和发展,为信息安全的研究扩展了一个新的领域.编程时采用最低有效位算法(LSB算法)将秘密信息嵌入作为栽体的24位真彩色BMP图像中,并对算法进行了两点改进:将控制信息也当作秘密信息嵌入到BMP文件的图像数据区;嵌入信息时,与载体信息进行了一步运算. 相似文献
10.
孙统计 《电子技术与软件工程》2021,(2):229-230
本文对利用沙盒技术对恶意程序的检测起到重要的作用及应用进行分析,首先对恶意程序做出简要描述,通过对比当前主流的安全检测技术,分析基于沙盒技术的安全检测系统所具有的优势,对基于沙盒技术的安全检测系统做出方案设计,通过测试分析该系统的性能并记录运行的过程,最后得出结论并提出改进方案。 相似文献
11.
当今流行的木马程序开始采用隐蔽通信技术绕过蜜罐系统的检测。首先介绍木马常用的隐蔽通信技术以及越来越流行的内核层Rootkit隐蔽通信技术,并讨论了现阶段客户端蜜罐对于恶意程序的检测方式。针对蜜罐网络通信检测机制的不足,提出了一种有效的改进方案,使用基于NDIS中间层驱动的网络数据检测技术来获取木马通信数据包。该方案能够有效检测基于网络驱动的Rootkit隐蔽通信,提取木马关键通信信息,以进行对木马行为的跟踪和分析。 相似文献
12.
为了提高文件系统监控的准确性和抗攻击能力,设计并实现了一种基于虚拟机监视器的文件系统监控系统,该系统从虚拟机外部透明、实时地监控文件系统操作,获取被监控主机的相关信息,对文件操作进行记录和分析,并保存日志到与被监控主机隔离的安全主机。实验表明,该系统能够有效地监控文件系统操作,保证日志文件安全,检测出恶意代码隐藏文件。 相似文献
13.
木马程序尤其是Rootkit的安全威胁越来越大,如何消除此类威胁成为当今安全研究的重点之一。丈中引入了交叉检测思想,采用了NTFS文件系统磁盘解析技术检测隐藏文件,从而有助于Rootkit类木马程序的检测。在此基础上,给出了完整的设计方案及评估方法,对于加固系统安全具有重要意义。 相似文献
14.
安全厂商普遍使用虚拟环境来分析恶意软件,但是很多恶意软件都使用了检测虚拟机的技术来对抗对其的分析。文章介绍了3种主要的检测虚拟环境方法,给出了相应的对抗措施来防止对虚拟环境的检测。设计了一种新的基于性能比较的检查虚拟机和模拟器的方法,实验结果表明,该方法能够有效地检测出虚拟机和模拟器,如VMware软件和模拟器Qemu。 相似文献
15.
虚拟化技术已被广泛用于恶意软件分析系统,而虚拟机检测技术作为一种反分析技术,对恶意软件作者和安全研究人员都有重要意义。为了描述和探索虚拟机检测方法,给出了虚拟机检测的基本思想并介绍了几种已有检测方法,考虑到检测方法的通用性,提出了基于CPU缓存(Cache)操作模式差异的虚拟机检测方法,通过比较启用CPU缓存和禁用CPU缓存时的指令执行效率来判断当前环境是否为虚拟环境。通过实验发现在真机环境中禁用CPU缓存对指令执行效率有显著影响,而在虚拟环境中禁用CPU缓存对指令执行效率没有显著影响。实验结果表明,利用CPU缓存操作模式在真机环境与虚拟环境中的差异来检测虚拟机是可行的。 相似文献
16.
APT(Advanced Persistent Threat)攻击造成的信息泄漏是目前国家核心部门和大型商业集团面临的最严重的信息安全威胁.通过APT攻击开展的信息窃取行为一般受政治势力或特定利益集团操控,由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击使用的APT木马变化多端,信息窃取行为手段随目标对象的不同而千变万化,常规检测手段和软件难以防范.文中提出一种基于文件、进程(线程)和网络三要素相结合的APT网络信息窃取行为检测模型,为加强对检测结果的自动化判断,作者引入神经网络中的自适应谐振检验方法,实验表明,模型可以对APT木马的信息窃取行为进行有效检测. 相似文献
17.
随着信息存储负担加重,甲骨文(Oracle)数据库架构在诸多机构内被广泛采用,而相应的安全研究尚不全面。基于以往的某些信息隐藏技术尤其是超文本传输协议(Hypertext Transfer Protocol,HTTP)隧道技术,文中提出了一种基于Oracle隐蔽后门的文件传输方式,可用来进行跨网络的文件传输。利用已有的Oracle网络传输协议和自定义的函数或存储过程,可以简单绕过Oracle的安全机制实现对操作系统的直接访问。实验表明,此种文件传输隧道技术的灵活性高,隐蔽性好,不易被防火墙拦截。 相似文献
18.
当前智能手机市场中,Android占有很大的市场份额,又因其他的开源,基于Android系统的智能手机很容易成为攻击者的首选目标。随着对Android恶意软件的快速增长,Android手机用户迫切需要保护自己手机安全的解决方案。为此,对多款Android恶意软件进行静态分析,得出Android恶意软件中存在危险API列表、危险系统调用列表和权限列表,并将这些列表合并,组成Android应用的混合特征集。应用混合特征集,结合主成分分析(PCA)和支持向量机(SVM),建立Android恶意软件的静态检测模型。利用此模型实现仿真实验,实验结果表明,该方法能够快速检测Android应用中恶意软件,且不用运行软件,检测准确率较高。 相似文献
19.
针对Android手机安全受恶意软件威胁越来越严重这一问题,提出一种改进的Android恶意软件检测算法。监控从Android移动设备应用程序获取的多种行为特征值,应用机器学习技术,通过与卡方检验滤波测试结合的方式改进传统的朴素贝叶斯算法,检测Android系统中的恶意软件。通过实验仿真,结果表明在采取朴素贝叶斯分类模型之前,使用卡方检验过滤应用程序的行为特征,可以使基于Android的恶意软件检测技术拥有较低的误报率和较高的精度。 相似文献
20.
蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。 相似文献