采用行为分析的单机木马防护系统设计与实现

针对基于特征代码的静态木马检测技术的不足,通过实时监控程序的可疑行为,运用贝叶斯算法分析程序行为特征进而发现木马程序,并对恶意木马程序的非授权操作进行修复,设计并实现了一个基于行为分析的单机木马防护系统。实验表明：该木马防护系统在对检测率影响较小的前提下,显著降低了误报率。     

基于运动轨迹分析的启发式木马检测系统

针对主动防御技术检测准确率不高的问题,提出了一种基于运动轨迹分析的启发式木马检测系统。提出了两种典型的木马运动轨迹,利用运动轨迹上的行为数据,结合判定规则与算法,实现对可疑文件危险等级的检测。实验结果表明,该系统检测未知木马性能优于传统方法,并且能够检测一些特殊木马。     

基于行为分析的木马检测系统

本文通过对木马及木马检测技术的研究,提出了基于行为分析的木马检测技术。主要对木马的行为特征进行抽象描述,首先根据一定的规则建立一个行为特征数据库,并结合启发式分析器来进一步分析判断被检测的程序是否是木马,同时做相应的处理。实验表明,与传统的木马检测技术相比,该算法准确率高,实时性强,占用系统资源少。     

分布式入侵检测系统的研究与实现

随着计算机网络的迅猛发展,网络安全问题也日益严重,单一的集中式的入侵检测系统已不能满足网络安全发展的需要,分布式入侵检测系统应运而生.实现了一个分布式的入侵检测系统,将反弹木马的反向连接技术应用到客户端与服务器端的通信上,在客户端采用多线程技术捕包,通过系统进程与端口通信相结合检测特洛伊木马.通过管理端对局域网络各个位置的Agent客户端进行统一部署策略和实时监控,加强了校园网络的安全.     

基于安全风险的RTL级硬件木马验证研究

信息时代使得信息安全变得日益重要。攻击方为了获取想要的信息,除了使用软件方面的手段,如病毒、蠕虫、软件木马等,也使用硬件手段来威胁设备、系统和数据的安全,如在芯片中植入硬件木马等。如果将硬件木马植入信息处理的核心--处理器,那将风险更高、危害更大。然而,硬件木马位于信息系统底层核心的层面,难以被检测和发现出来。硬件木马是国内外学术界研究的热点课题,尤其是在设计阶段结合源代码的硬件木马检测问题,是新问题,也是有实际需要的问题。在上述背景下,围绕源代码中硬件木马的检测和验证展开了研究。基于硬件木马危害结果属性,在学术上提出基于安全风险的模型和验证规则,给出相应的描述形式,从理论上说明安全验证规则在减少验证盲目性、缩小可疑代码范围、提高评估效率的作用,实验表明,基于安全风险规则的验证,可以避免验证的盲目性和测试空间向量膨胀的问题,有效验证疑似硬件木马的存在和危害,对源代码安全评估是有一定效果的。     

基于互联网的桌面程序自动部署升级系统设计与实现

针对检测设备生产企业的设备类型多、地域分布广、配套的桌面程序部署困难的特点,设计了一个基于互联网的分布式桌面程序的部署与升级系统.系统分为服务器端和客户端两部分,服务器端提供对设备、程序、升级信息的管理,并提供对客户端的升级服务支持;客户端部署程序根据本地版本信息与服务器端的差异实时更新设备的检测程序.给出了系统的逻辑框架、服务端和客户端的具体功能、客户端实现的技术流程和主要应用的功能函数.     

网页木马机理与防御技术

网页木马是一种以JavaScript,VBScript,CSS等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web的客户端攻击.网页木马的表现形式是一个或一组有内嵌链接关系的页面/脚本,有漏洞的客户端在访问该(组)页面时会“过路式下载”木马等恶意程序.网页木马通过这种被动攻击模式,能隐蔽、有效地将恶意程序植入客户端,这已经成为恶意程序传播的一种重要方式.近年来,围绕网页木马的攻防博弈在持续进行.首先阐述网页木马的机理和特点,然后从检测、特征分析、防范这3个方面对网页木马防御方的研究进行总结和分析,最后对网页木马攻防双方的发展趋势进行讨论.     

基于移动终端的手机投票系统设计

为了解决现有纸质投票系统统计效率低的问题,解决专用投票系统升级困难,使用率不高的问题,本系统设计了以安卓端为客户端,电脑端为服务器端的手机投票系统,该系统实现了在客户端进行登录投票,查询候选列表的信息并且能够有效的防止刷票,服务器端进行活动的发起,制定活动的相关规则,查看投票结果等功能。     

基于Android系统的二维码安全检测系统的设计与实现

随着二维码图像的广泛使用和Android智能设备的进一步普及,本文介绍了一个基于Android系统的二维码安全检测系统。本系统主要包含Android客户端和服务器两个部分,Android客户端实现对二维码图像进行解码和预检测;服务器端对客户端的请求数据进行检测和决策树评估。最后本文实现了二维码安全检测的核心功能。     

面向硬件木马检测的旁路信号特征选择方法

针对基于旁路分析的硬件木马检测中存在的旁路信号冗余以及高维问题,探究特征选择方法在去除冗余、降低旁路信号维数方面的可行性,提出了一种以类内类间距离作为可分性判据的特征选择方法对旁路信号进行预先处理。首先分析了IC芯片旁路信号的特征选择问题,然后阐述了基于类内类间距离的可分性判据以及特征选择搜索算法,最后在FPGA密码芯片中植入硬件木马,并基于K-L方法进行检测实验,通过对旁路信号进行特征选择前后的木马检测效果对比发现,该特征选择方法能有助于分辨出无木马的“金片”与含木马芯片之间旁路信号的统计特征差异,更好地实现硬件木马的检测。     

基于木马的黑客攻击技术

木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机。而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。本文首先介绍了木马的定义,功能和特点,其次介绍了木马的常见植入技术,包括网站挂马,发送超级链接,电子邮件,缓冲区溢出,和其它病毒形态相结合五种。再次阐述了木马的自启动技术,然后是木马的隐藏技术,包括文件隐藏,进程隐藏和通信隐藏。最后是木马的免杀技术,主要包括加壳,修改特征码和加花指令。     

木马攻击原理及防御技术

木马是基于客户／服务器的远程控制黑客程序,具有强大的远程控制功能。本文通过对木马的概念、危害、传播方式、隐藏手段、启动条件等几个方面进行叙述,介绍了木马的原理,对木马可采用的防御技术进行了探讨,最后向读者提出了一些木马防范的建议。     

可扩展的MMORPG游戏框架的设计与实现

MMORPG在运营过程中为了增强游戏的可玩性,增加同时在线人数,不定期要对系统进行更新,这就对整个软件框架设计提出了具有可扩展性的要求。根据MMORPG类游戏的特点,在C/S体系结构理论及先进软件设计原则与设计模式指导下设计系统的整体框架：服务器端综合采用基于Cell和基于服务两种技术,客户端采用五大系统进行划分;最后在OGRE图形引擎和RakNet网络引擎平台下开发了多人在线游戏。实践证明在互联网环境下本游戏框架具有良好的可扩展性。     

木马通信的隐蔽技术

服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。     

KTCPVS实现流程分析

内核TCP虚拟服务器（Kernel TCP Virtual Server,简称KTCPVS）是Linux服务器集群系统的一个子项目,旨在解决客户／服务器模型网络中服务器瓶颈这一问题而提出的。文章介绍了内核TCP虚拟服务器的由来,以及相对于早期TCP网关的优越性;对KTCPVS的体系结构进行了阐述;通过对其源码的阅读研究,分析如何在Linux内核层中实现网络数据在客户和服务器之间的交互。     

恶意弹窗广告攻击检测技术的研究

恶意弹窗广告是一种强迫式的广告,这些广告给投放者带来巨大的利益,但是严重影响了用户体验,侵犯了用户权益,同时也带来很多安全隐患。恶意弹窗广告攻击检测系统采用C/S架构,服务端使用朴素贝叶斯算法根据训练集生成和更新训练结果,并利用训练结果对客户端发送的弹窗截图文本进行分类预测。客户端包括基础拦截、截图拦截以及主动拦截三个模块,主动拦截模块使用OCR技术将可疑弹窗截图转化为文本,然后把此文本传给服务端,服务端加载之前训练集产生的训练结果,利用朴素贝叶斯算法得到此文本的预测结果,客户端根据预测结果确定对此弹窗是否拦截。本系统实现了弹窗识别拦截的智能化,配置方便,交互界面易于使用。     

Linux特洛伊木马关键技术研究

在分析木马几项关键开发技术的基础上,设计实现了基于Linux操作系统的特洛伊木马平台。首先对木马进行了概述,进而对主要关键技术进行了研究。开发了抓屏功能,进行了通信的安全实现,最后完成进程的自启动与隐藏。与传统的针对Windows操作系统的木马不同的是,设计的木马不是单纯的客户端/服务端结构,而是在服务端通过后门程序,完成隐藏的功能。     

Catching Remote Administration Trojans (RATs)

A Remote Administration Trojan (RAT ) allows an attacker to remotely control a computing system and typically consists of a server invisibly running and listening to specific TCP /UDP ports on a victim machine as well as a client acting as the interface between the server and the attacker. The accuracy of host and/or network‐based methods often employed to identify RATs highly depends on the quality of Trojan signatures derived from static patterns appearing in RAT programs and/or their communications. Attackers may also obfuscate such patterns by having RATs use dynamic ports, encrypted messages, and even changing Trojan banners. In this paper, we propose a comprehensive framework termed RAT Catcher, which reliably detects and ultimately blocks RAT malicious activities even when Trojans use multiple evasion techniques. Employing network‐based methods and functioning in inline mode to inspect passing packets in real time, our RAT Catcher collects and maintains status information for every connection and conducts session correlation to greatly improve detection accuracy. The RAT Catcher re‐assembles packets in each data stream and dissects the resulting aggregation according to known Trojan communication protocols, further enhancing its traffic classification. By scanning not only protocol headers but also payloads, RAT Catcher is a truly application‐layer inspector that performs a range of corrective actions on identified traffic including alerting, packet dropping, and connection termination. We show the effectiveness and efficiency of RAT Catcher with experimentation in both laboratory and real‐world settings. Copyright © 2007 John Wiley & Sons, Ltd.