自主式学习的木马检测预防系统的设计与实现

随着黑客攻击技术的不断进步,网络安全面临越来越严重的威胁。由于不能确保系统不被黑客攻击,也无法确定用户操作的文件或程序是否含有恶意的代码,因而,及时发现系统中存在的木马程序或者含有恶意代码的文件,是确保系统信息安全的重要途径。目前的许多木马检测软件仅能对已知的木马进行检测,对未知木马却无可奈何。文章在分析和综合当前木马检测技术的基础上,设计并实现了一个在Windows系统中行之有效的木马检测系统,不仅能有效检测已知的木马,还能对未知的木马进行有效的预防,通过对未知木马的特征进行自主式学习,并应用于检测,从而提高木马检测的功能。     

人工免疫在未知木马检测中的应用研究*

针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。     

基于操作行为的隧道木马检测方法

木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C4.5决策树分类算法对2种会话进行分类。实验结果表明,该方法能检测多种已知的HTTP隧道木马。     

基于网络驱动技术的木马通信检测系统

为提高木马程序的网络通信检测率,在比较各种包截获技术优缺点的基础上,设计并实现一种基于NDIS Hook驱动的木马通信检测系统,给出主要模块和数据结构,提出基于网络通信行为分析技术的木马通信识别模型。测试结果表明,该模型能降低误报率和漏报率,可截获所有网络通信数据包,识别新的木马通信。     

基于特征分析和行为监控的未知木马检测系统研究与实现

木马是以盗取用户个人信息和文件数据,甚至是以远程控制用户计算机为主要目的并尽可能隐藏自身的恶意程序。近年来,随着黑客行为的职业化、利益化和集团化,网络入侵与攻击手段日新月异,木马等恶意代码已成为我国网络安全的重要威胁。现阶段,木马检测通常依赖于病毒软件的检测能力,防病毒软件一般采用特征码比对和行为识别的方式进行木马查杀,这种方式需要防病毒软件拦截木马样本进行分析,提取木马样本,对木马特种库进行升级后对木马进行识别,滞后性很强,无法对新出现的或无已知特征的木马进行查杀。文章对木马反杀毒技术、隐藏技术、突破主动防御技术进行探讨,并以此为基础,提出基于特征分析和行为监控的木马检测技术,完成了未知木马检测系统的设计与实现,能够在一定程度上弥补现有防病毒软件及安全措施只能查杀和监测已知木马而不能识别和查杀未知木马的不足。     

基于行为分析的木马检测系统

本文通过对木马及木马检测技术的研究,提出了基于行为分析的木马检测技术。主要对木马的行为特征进行抽象描述,首先根据一定的规则建立一个行为特征数据库,并结合启发式分析器来进一步分析判断被检测的程序是否是木马,同时做相应的处理。实验表明,与传统的木马检测技术相比,该算法准确率高,实时性强,占用系统资源少。     

硬件木马防护技术研究

对硬件木马防护技术进行了深入研究,提出一种新的硬件木马防护分类方法,系统全面地介绍了近年来主流的预防与检测技术,并通过分析比对,给出各方法的特点和存在的问题。最后,提出新的防护技术设计思路,对未来研究方向和趋势进行了展望,并给出了基于木马库的硬件木马检测技术设计思路。     

木马技术与防治分析

本文以木马为主题,对木马的植入方式、加载技术、隐藏技术等方面进行了综合研究,根据对木马技术的分析,给出了木马预防的方法,以及木马的检测及清除方法。     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

基于MMTD网页挂马响应的研究

当今网络中通过网页来种植木马的现象已很普遍。利用网页来传播木马技术就是将木马的域名隐藏在网页里,用户在浏览网页时,隐藏在网页中的木马就会被种植到用户的系统中。因此如果被访问的网页嵌入了木马的域名,那么当网络用户发出链接请求响应时,网络的响应将变得异常。基于上述原因,本文从链接请求响应次数的角度,来判断网页中是否藏有木马域名。首先简介木马技术,网页挂马技术和中介的基本概念,然后给出检测函数y=f(x)以及MMTD在检测木马上的应用,最后给出具体检测算法。     

用于硬件木马检测的电磁辐射分析方法研究

随着集成电路产业全球化的发展，硬件木马已成为集成电路的主要安全威胁之一。目前能较好权衡检测成本与检测能力的侧信道分析方法越来越受到研究人员的关注，其中，电磁辐射分析方法是研究热点之一。重点分析并验证电磁辐射分析方法对硬件木马的检测能力，并探究限制其检测性能的原因。在现场可编程逻辑门阵列（FPGA）上进行验证实验，实验结果表明，电磁辐射分析方法可以很好地检测电磁辐射频率分布独特的硬件木马电路，但无法适用于电磁辐射频率分布复杂的硬件木马。     

基于心跳行为分析的木马快速检测方法

基于通信行为分析的木马检测算法的计算复杂度较高。为此,提出一种基于心跳行为分析的木马快速检测方法,通过对木马通信中心跳行为的描述,选取2个会话特征对木马通信流与正常通信流进行分类,基于该方法设计一个木马快速检测系统TRDS。实验结果表明,TRDS能够在百兆线速网络中快速有效地检测出木马通信。     

基于模型检测的硬件木马检测技术研究

硬件木马对原始电路的恶意篡改，已成为集成电路面临的核心安全威胁。为了保障集成电路的安全可信，研究人员提出了诸多硬件木马检测方法。其中，模型检测作为一种形式化验证方法，在设计阶段可有效检测出硬件木马。首先，阐述了模型检测的工作原理和应用流程；其次，介绍了基于模型检测的硬件木马检测技术的研究进展；最后，指出了当前该技术所面临的瓶颈，并讨论了潜在的研究方向。     

面向FPGA应用的硬件木马植入与检测技术研究

近年来,FPGA的应用愈加广泛。为确保FPGA中数据安全可信,在基于环形振荡器的硬件木马检测方法之上,提出一种在Altera FPGA中使用增量编译技术实现环形振荡器和木马植入的方法以及使用归一化差值算法发现并定位木马的数据分析方法。设计基于环形振荡器的硬件木马检测电路,根据系统规模共部署6级振荡环,每级环形振荡器由121个与非门构成。根据木马电路类型和功耗来源,在电路中依次植入四种典型硬件木马,使用归一化差值算法分析环形振荡器振荡频率,最终实现所有类型的木马定位与检测。检测结果表明,基于环形振荡器的硬件木马检测方法在FPGA中具有很好的木马检出效果,不仅能够检测具有较大动态功耗的木马,也可以完成对具有很小的静态功耗木马的检测。所提出的方法已经在实际FPGA工程中使用,为及时发现木马提供了一种有效途径。     

基于小波降噪数据预处理的硬件木马检测优化

针对硬件木马检测中数据预处理效果不佳的问题,提出了小波变换的数据降噪预处理的硬件木马检测的优化方法。在对提取的功耗信息进行小波变换数据降噪预处理基础上,利用马氏距离进行硬件木马的判别。对基于FPGA实现的含有木马的ISCAS’89系列的基准电路进行检测,并进行后续的数据处理实验。实验结果表明,采用小波变换的数据降噪预处理的硬件木马检测优化方法,可检测出占母本电路面积为0.24%的硬件木马。     

行为序列灰色模糊判定下计算机木马检测方法分析

计算机木马是隐藏在计算机里的恶意软件,需要进行清除,保证计算机的正常运行以及数据安全。计算机木马的判定比较困难,针对这一问题,提出了行为序列灰色模糊判定下计算机木马检测的方法。探讨具体判定方法,对计算机网络通信、开机启动、隐藏运行以及自我防护方面的木马程序进行检测,实现计算机正常程序和木马程序的有效区分。讨论检测木马的原理,为提高计算机安全性提供保障。     

基于红外光谱分析的硬件木马检测方法

针对传统一维空间硬件木马检测方法中硬件木马产生的信息易被芯片正常工作产生的信息掩盖、二维空间硬件木马检测方法成本较高精度较低的问题,提出了一种基于红外光谱分析的硬件木马检测方法。该方法是一种二维空间硬件木马检测方法,利用红外波波长短以及红外光谱信息损失少的特点可以实现较高的硬件木马检测精度。实验结果表明,通过拟合芯片工作时硬件木马产生的红外光谱并对比参数差异能检测出逻辑能耗量量级为10－3的硬件木马,并在一定程度上识别实现硬件木马功能的逻辑种类。     

一种基于电磁旁路分析的硬件木马检测方法

为探究利用电磁辐射旁路信号检测集成电路芯片中硬件木马的可行性,分析了芯片电磁旁路信号的组成,构建了信号泄漏模型。在阐释霍特林（K-L）变换原理及特点的基础上,提出了利用K-L变换对芯片电磁辐射旁路信号进行信号特征提取的方法,分析含硬件木马芯片（木马芯片）与不含硬件木马芯片（原始芯片）对应特征信号的差异来检测芯片中是否含有硬件木马。通过在针对基于FPGA密码芯片中植入硬件木马并进行对比检测实验的结果表明,利用上述方法能有效分辨出木马芯片与原始芯片所泄漏电磁信号间的差异,达到检测出芯片中硬件木马的目的。