通过注册表监控实现木马检测

提出一种基于挂接系统服务的木马检测技术,通过对注册表进行实时监控,有效地实现了对已知和未知木马的检测。传统的基于特征码的检测技术,只能检测已知的特洛伊木马,基于挂接系统服务的技术,有效克服了上述缺陷,试验结果证明了其有效性和准确性。     

硬件木马的分析与检测

现在芯片在设计或制造过程中被植入硬件木马的可能性越来越大。为了避免发生大规模硬件木马的攻击,本文对硬件木马的危害、概念、分类和技术背景进行详细的阐述,同时介绍如今流行的4种硬件木马分析检测方法,并给出可行性方法的建议。     

基于人工免疫机制的木马检测系统

将生物体免疫系统的原理、规则和机制运用到计算机木马检测系统中。利用人工免疫系统的分布性、自适应性、记忆性和高效性,降低检测系统的误报率和提高自适应性问题。     

通过进程监视检测木马攻击

文中提出与实现了一种新的木马检测方法，该方法通过监视计算机对外通信的端口来跟踪与其关联进程的操作行为，并结合了一些已知木马的特征，从而达到有效地检测一些已知和未知的木马。     

基于相关性分析的硬件木马检测方法

为提高硬件木马检测的准确率,提出一种基于相关性分析的检测方法。在完成木马功耗建模的基础上,提出并分析利用经典相关系数进行木马检测的可行性以及存在的缺点,根据木马检测的特点,优化检测系数,给出利用区间重叠比作为木马判定依据的检测方法。实验结果表明,与采用经典相关系数的方法相比,该方法在降低约6%检测准确率的前提下,能使鲁棒性提高1倍以上。     

基于攻击树模型的木马检测方法

计算机木马检测方法有文件静态分析、网络通信分析、系统调用挂钩分析、行为监控等,但单一方法不足以满足木马检测实践需求。通过构建木马攻击状态树模型确定木马策略集,并依据策略集进行木马检测,最终检测出木马并确定检测的量化收益,然后反向推导木马安装、运行过程,并确定木马的量化难度。     

基于系统调用挂钩的隐蔽木马程序检测方法

隐蔽木马程序的设计本质是劫持常规的执行路径流,当前大多数检测手段无法全面检测出隐蔽性日益增强的木马程序。该文结合操作系统程序执行流程的局部相关性与确定性,在分析用户进程空间与内核空间中系统函数调用标志信息的基础上,检测系统中是否存在木马程序设置的隐蔽性系统调用挂钩,设计并实现了相应的检测方法。与现有的检测方法相比,该方案弥补了检测未知木马的不足,检测结果更全面。     

集成时空信息的木马智能检测

木马已成为当前信息安全的重要威胁.研究了已有的恶意代码智能检测方法,针对已有的智能检测没有充分利用时序和空间信息的缺陷,提出集成时序和空间信息的木马行为智能检测.给出了时序特征和空间特征的提取方法,并给出空间特征的特征选择和约简过程,并在此基础上给出了成员分类器的集成决策.给出了总体设计方案,实验结果表明集成时序和空间信息的木马智能检测相对于单分类器能够得到较好的分类准确率.     

基于加权翻转概率的硬件木马检测方法研究

集成电路代工模式以及设计中大量使用第三方知识产权（Intellectual Property,IP）核的现状,导致当前集成电路面临着“硬件木马”的安全新威胁。提出了一种针对门级网表电路进行硬件木马检测的方法。该方法给定电路输入端固定的取值概率,结合电路逻辑门功能和拓扑结构计算电路内部节点的翻转概率,并采用节点扇出对翻转概率进行加权,从而得到电路中的低加权翻转概率节点以实现硬件木马的检测。提出了对应的计算算法和检测流程,并在公开测试集进行验证,以Trust-Hub的AES、b19、RSA、RS232共计15种植入硬件木马的电路为检测对象,检测结果表明该方法的硬件木马检出率平均为92.58%,部分电路最高可达98.9%,最低为86.8%;误报率最低为2.8%,最高为13.2%。     

基于关联技术检测Rootkits的方法与实现

文本分析了当前Rootkits实现技术和对Rootkits恶意程序检测方法的局限性,提出了基于关联检测技术对Rootkits进行更全面检测的方法,用于克服传统安全软件对Rootkits检测方法单一、病毒库更新滞后等所带来的相关安全问题。