基于行为分析的木马检测技术研究

木马是以获取主机控制权和窃取信息为主要目的恶意程序,对网络安全和信息安全造成极大危害.首先介绍了木马的工作原理,针对传统木马检测技术比较被动这一缺陷,研究了木马检测新技术—行为分析,进而分析了朴素贝叶斯算法在木马检测中的应用,并在此基础上结合监控技术提出了基于行为分析的木马检测模型,采用朴素贝叶斯算法对可疑行为进行分析与判定,可有效检测已知木马的变种及新型木马,提高木马检测的精准度.     

一种基于代码特征的网页木马改良模型研究

鉴于传统的检测方案无法准确地检测复杂多变的网页木马行为,简要介绍了网页木马的原理,结合了传统检测方案的优点,总结了检测网页木马的分析流程,归纳了网页木马的典型特征,以空间向量模型为理论依据,提出了一种改进的基于代码特征的网页木马检测模型,并依据此网页木马模型对网页木马样本进行分析与总结,为有效的检测网页木马提供理论依据、为防止其恶意行为提供新思路。     

工艺偏差下基于功耗与延时的硬件木马检测有效性分析

首先简述了硬件木马以及现有的硬件木马检测方法,之后考虑了工艺偏差对硬件木马检测的影响;工艺偏差的存在对电路功耗和延时等都会造成一定的影响,从而在一定程度上掩盖了硬件木马电路引起的功耗和延时特征变化.实验中针对AES加密核心S-box电路设计植入了一种基于组合电路的功能型硬件木马电路,并在40 nm工艺下利用HSPICE模拟不同大小硬件木马电路下S-box电路功耗轨迹和延时数据,在不同工艺模式下分析基于功耗与延时检测木马的有效性.结果显示,基于延时的硬件木马检测方法在木马规模较小时更能有效实现硬件木马检测.当木马规模增大时,基于功耗的检测方法的优势更明显,其抗工艺偏差干扰的能力会更强.     

Web安全问答（6）

问：什么叫网站挂马？ 答：“挂马”就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,当访问者浏览被挂马页面时,将会被植入木马,黑客便可通过远程控制来实现不可告人的目的。网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其中的木马。     

Web安全问答（7）

问：什么叫网站挂马答：“挂马”就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,当访问者浏览被挂马页面时,将会被植入木马,黑客便可通过远程控制来实现不可告人的目的。网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其中的木马。     

基于木马的计算机远程控制及隐藏技术分析

主要研究基于木马的计算机远程控制与隐藏技术。研究木马是为了更好地查杀木马,同时将木马有价值的功能充分利用起来,保证网络运行安全,保护网络隐私。     

基于旁路分析的集成电路芯片硬件木马检测

针对密码芯片中硬件木马电路检测的困难性,介绍了根据芯片旁路信息进行硬件木马检测的思想．在形式化定义基于旁路分析的硬件木马检测问题的基础上,分析了含硬件木马与不含硬件木马的密码芯片对应旁路信号在主成份分析结果上的差异,并以此对FPGA实现的含硬件木马的DES密码原型芯片进行了检测实验,实验结果表明了基于旁路信号主成份分析在密码芯片硬件木马检测中的效果．     

主流木马技术分析及攻防研究

对当前主流的木马技术原理进行了深入的剖析,对主流木马的基本功能、隐藏机制和传播途径进行了研究,对主流木马使用的两种技术——API HOOK技术和SPI技术进行了细致地分析,根据新型木马实现隐藏的机制,提出了相关检测和清除的技术,探索出了一种新型木马的检测和清除方法。最后总结出了可以对新型木马实施清除的有效方法,实现了利用迭代比较法查杀木马的示例软件。     

Web安全问答（2）

问：什么叫网站挂马 答：“挂马”就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,当访问者浏览被挂马页面时,将会被植入木马,黑客便可通过远程控制来实现不可告人的目的。网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的,但是其缺点是显而易见的,就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。在这种情况下,新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞,在运行的时候没有丝毫提示,因此隐蔽性极高。     

木马防护系统的设计与实现

木马以其隐蔽性强,变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一.文中分析了木马采用的相关技术和传播方式,研究了木马分析与监测的方法与技术,在此基础上设计并实现了一个由基于网络信息流的网关型木马监测预警系统和主机木马检查取证系统组成的木马防护系统.     

用于检测硬件木马延时的线性判别分析算法

针对芯片生产链长、安全性差、可靠性低,导致硬件木马防不胜防的问题,该文提出一种针对旁路信号分析的木马检测方法。首先采集不同电压下电路的延时信号,通过线性判别分析(LDA)分类算法找出延时差异,若延时与干净电路相同,则判定为干净电路,否则判定有木马。然后联合多项式回归算法对木马延时特征进行拟合,基于回归函数建立木马特征库,最终实现硬件木马的准确识别。实验结果表明,提出的LDA联合线性回归(LR)算法可以根据延时特征识别木马电路,其木马检测率优于其他木马检测方法。更有利的是,随着电路规模的增大意味着数据量的增加,这更便于进行数据分析与特征提取,降低了木马检测难度。通过该方法的研究,对未来工艺极限下识别木马电路、提高芯片安全性与可靠性具有重要的指导作用。     

木马的植入与隐藏技术分析

论文首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。     

网上黑客工具——木马探讨（续一）

5木马的危害 木马的危害主要表现在远程控制方面。木马连接建立后，控制端端口和木马端口之间将会出现一条通道。     

新软速递

这是一款集查杀木马和保护网游为一体的安全类软件。它具有扫描木马功能,即通过特征脚本扫描系统中的木马,采用脚本删除木马的同时清理所有痕迹;具有保护游戏功能,从进程保护、     

基于旁路分析的集成电路芯片硬件木马检测分析

本文基于传统密码芯片内检测电路硬件木马的难度较高,鉴于这种状况本课题综合各类芯片旁路信息提出了完善硬件木马检测方案的思路,以形式化定义了件木马检测相关问题,解读含与不含硬件木马的密码芯片相应旁路信号于主成份分析结果上显现出的差别,并通过标准实验检测了含有硬件木马的DES密码原型芯片,实验所得结果证实了芯片硬件木马检测中旁路信号主成份分析的有效性,值得推广。     

剖析远程控制免杀DLL木马

木马是一类具有隐藏性、自发性的恶意程序,目的多为控制用户电脑以窃取信息。首先简单介绍了木马程序的设计原理和木马的主要工作流程,木马客户端和服务端之间的通信过程。在此基础之上,介绍了几种目前主流的木马免杀技术,主要包括特征免杀、加花指令免杀、加壳免杀及内存免杀等。然后介绍了利用远程线程注入的方法进行木马注入DLL程序,从而达到木马进程隐藏的目的。最后综述了木马防治的基本方法。     

“支付大盗”的绝技

近期网上出现一款名为"支付大盗"的网购木马,其利用百度竞价排名推广。当用户在百度搜索"阿里旺旺官网"等关键词时,会有一个推广链接指向一个木马网站,该网站页面与阿里旺旺真实官网非常相似,其下载按钮则指向"支付大盗"木马压缩包。如果你不慎运行了该木马,那么你的网银支付页面可能会被劫持,造成资金损失。你一定感到很奇怪,既然是木马文件,为什么安全软件没有拦截呢?木马攻击流程分析     

基于温度特征分析的硬件木马检测方法

硬件木马是一种在特定条件下使集成电路失效或泄露机密信息等的恶意电路,给现代信息系统带来了严重的安全隐患。该文基于硬件木马在芯片工作之初造成的温度响应特征,提出一种利用芯片温度变化特性并进行比对的硬件木马检测方法。该方法采用环形振荡器作为片内温度特征测量传感器,提取温度变化特征信息,并采用曲线拟合评价指标来评估硬件木马对温度变化特征的影响,通过比对无木马芯片温度响应特征从而完成木马检测。通过对10个不同芯片的检测,结果表明该方法能够对面积消耗32个逻辑单元硬件木马的检测率达到100%,对16个逻辑单元检测概率也能达到90%;同时检测结果表明该方法完成硬件木马检测后,能够对硬件木马的植入位置进行粗定位。     

基于行为分析的木马检测

首先介绍了特洛伊木马的基本概念,其利用的基本技术,再介绍了常用的木马检测方法。阐述了木马检测的现状和发展趋势。分析并归纳了木马在安装阶段的行为特征,以此提出基于行为分析的木马检测方法。     

基于综合行为特征的木马检测技术研究

随着计算机网络技术的快速发展和中国信息化工作的快速推进,如何更有效地检测及防范木马是一个重要的研究方向。文中重点讨论的是,在Windows系统下,基于木马综合行为特征分析的木马检测技术、木马分析检测算法和识别方法,设计并实现了一套针对特种木马的检测软件原型系统。