国际动态

美国众议院安全数据法案禁止政府要求科技公司开后门5月10日,美国众议院提出安全数据法案,禁止美国政府在商业软件和硬件产品中强制开放后门。法案禁止联邦机构强制或请求厂商、开发人员、卖方通过操作产品或服务中的安全功能实施监控,但通信协助执法法案（CALEA）授权的监控行为被排除在外。     

基于WebMail系统的新型木马通信模型

研究特洛伊木马在网络通信方面所采用的技术方法,提出一种利用WebMail系统作为“中转站”的木马通信模型。在该模型中,木马被控端使用HTTP协议访问互联网中的WebMail系统,可轻易突破局域网防火墙,且不要求公网的或固定IP地址,能在网吧等环境中实施控制。通过实现一个原型木马验证该模型的有效性和危害性,并针对此类木马的特点提出防御建议。     

头条

美国国安局联手RSA造后门2013年12月21日,路透社报道称,美国国安局（NSA）曾与加密技术公司RSA达成了1000万美元的协议,要求在移动终端广泛使用的加密技术放置后门。路透社采访的两名知情人士称,RSA将NSA提供的方程式设定为BSafe安全软件,优先或默认随机数生成算法。此举将让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。RSA否认了相关的内容,并声称自己的加密算法只使用国家认证的协议。     

抑制图像非语义信息的通用后门防御策略

目的 后门攻击已成为目前卷积神经网络所面临的重要威胁。然而,当下的后门防御方法往往需要后门攻击和神经网络模型的一些先验知识,这限制了这些防御方法的应用场景。本文依托图像分类任务提出一种基于非语义信息抑制的后门防御方法,该方法不再需要相关的先验知识,只需要对网络的输入进行编解码处理就可以达到后门防御的目的。方法 核心思想是在保持图像语义不改变的同时,尽量削弱原始样本中与图像语义不相关的信息,以此抑制触发器。通过在待保护模型前添加一个即插即用的U型网络(即信息提纯网络)来实现对图像非语义信息的抑制。其输入是干净的初始样本,输出命名为强化样本。具体的训练过程中,首先用不同的训练超参数训练多个结构不一的干净分类器,然后在保持强化样本被上述分类器正确分类的前提下,优化信息提纯网络使强化样本和原始样本之间的差异尽可能地大。结果 实验在MNIST、CIFAR10和Image Net10数据集上进行。实验结果显示,经过信息提纯网络编解码后,干净样本的分类准确率略有下降,后门攻击成功率大幅降低,带有触发器的样本以接近干净样本的准确率被正确预测。结论 提出的非语义信息抑制防御方法能够在不需要相关先验知识的...     

基于能量分析技术的芯片后门指令分析方法

芯片后门指令是激活硬件木马的典型方式之一,其安全风险高,影响范围广,且难于检测.本文提出了一种基于能量分析的后门指令检测方法,通过对指令分段穷举、并分别采集其能量信息,可有效区分常规指令和后门指令.实验表明,通过简单能量分析即可从能量迹中直接判定出后门指令.进一步,本文提出了一种自动化识别后门指令的相关能量分析方法,通过判断其相关系数与系数均值之间的关系,可高效、自动地完成后门指令分析.     

基于极化单光子的高效安全量子秘密共享方案

为进一步提高量子秘密共享协议的效率和安全性,结合量子Grove搜索算法提出一种基于极化单光子的量子秘密共享协议.效率分析结果表明,该方案可以将全部量子态用于密钥共享,理论效率为100%.在方案的安全性证明中,借助量子Grove算子和量子纠缠特性得出方案能够有效抵抗中间人攻击,同时该方案利用辅助量子态进行监视,能够以高概率检测特洛伊木马攻击.通过对Grove算子进行高维推广,证明了方案推广到(n,n)的可行性和实用性.     

一种针对TomcatFilter型的MemShell检测技术研究

近些年来,随着计算机技术的不断发展和应用,Web应用技术也在快速更迭,与其一起发展的还有木马后门技术,但传统的木马后门技术已经不能满足攻击者的需求,因而基于内存攻击的方式不断涌现,包括powershell内存载入攻击、.NET assembly托管代码注入攻击以及内存马(Memory WebShell,MemShell)攻击等,这些攻击方式为现有的安全防御检测机制带来了极大的挑战。因而业界对面向解决基于内存的攻击尤其是内存马的攻击展现出了强烈的需求。但当前业内针对内存马的检测能力较弱,学术界也缺乏对该领域的研究工作,所以本文提出了一种针对Tomcat Filter型的内存马检测方法。通过研究发现,内存马其最核心技术便是无文件(Fileless)及不落地(Living off the Land),但尽管如此,内存马最终会在内存中展现其功能并执行命令,所以内存是所有威胁的交汇点,因此本文将Java虚拟机(Java Virtual Machine,JVM)作为起始点,首先利用JVM内存扫描技术遍历出JVM内存中加载的所有Filter类型对象,但需要注意的是这些对象并非都是有威胁的,并且每一个对象都具有一定的特征,所以可以对这些特征通过人工经验进行分类并且筛选出具有代表性的特征向量,然后获取每一个Filter类型对象的所有代表特征向量,并根据特征向量的值梳理出异常表现序列;最后,利用朴素贝叶斯算法将大量正常和异常的Filter对象的异常表现序列作为训练样本,计算出对应项的条件概率并形成贝叶斯分类器。利用训练出的贝叶斯分类器就可以构建出一个内存马检测模型,该模型能够有效得针对该类型的内存马进行检测。实验结果表明,本文提出的方法针对Tomcat Filter型内存马的检测,实现了零误报率和94.07%的召回率。     

Windows病毒的检测和手工清除方法

讨论了近年来病毒在基于NT技术的Windows操作系统下的藏匿和加载手段。从这些加载手段中,得出检测和手工清除病毒的普遍、快速而又有效的方法。很多反病毒软件在病毒已经感染系统的情况下,不能彻底根除病毒,它们也无法应对传播速度较快的新病毒。此时,手工检测和清除病毒是修复受损系统的重要途径。     

后门限位扣多工位级进模设计

分析了后门限位扣的冲压工艺,确定了排样方案,介绍了后门限位扣多工位级进模的整体结构和主要零部件设计,为保证条料的同步移动和送料顺畅,模具采用浮动顶料机构,解决了零件定位精度等问题。确定了级进模模具设计方案,该模具充分利用工件本身的结构特点,采用了自动卸料、出料、少废料冲裁,有效提高了材料利用率。成形工序中打薄圆角过渡处后,实现了在直壁上切断,解决了分离切断的问题。试冲结果表明,提出的排样方案和设计的10工位级进模是合理可行的,能满足座椅加强板零件的大批量生产需要。     

KILL帮你远离木马

提起特洛伊木马,也许很多人会谈“马”色变。然而对于身为CIO的阿亮来说．特洛伊似乎并不可怕。问起原因,阿亮说：幸亏有了KILL的帮助。