基于行为监控的木马检测系统研究及实现

为了检测木马型病毒,分析了现有木马检测措施,设计并实现了一个基于行为监控的木马检测系统,介绍了该系统的软件结构和运行机制,描述了基于Winsock2 SPI和NDIS HOOK的网络通信检测技术、基于内核调度监控的进(线)程检测技术.测试表明,该系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段的行为.     

基于资源分析的木马检测的研究与设计

目前用Win32汇编生成的木马核心程序或木马服务端可以通过二进制资源的形式导入PE文件,针对该种特征木马,提出利用分析程序通信特征及资源特征相结合的方法,快速定位含有非标准资源的可疑程序,并对其进行检测,实现基于资源分析对该种特征木马的检测系统.     

基于行为检测的窃密型木马检测研究

针对窃密型木马伪装技术不断发展,窃密型木马检测难度越来越高的现状,提出基于行为检测的窃密型木马检测方案.通过对常见窃密型木马通信机制建模分析,构建窃密型木马的几种通信模式.为了提高窃密型木马检测精度,以窃密型木马通信行为特征,设计了基于完整会话的窃密型木马检测方案.通过对500组实验数据测试表明,笔者设计的窃密型木马检测方案漏检率为6.8％,误报率为2.7％,优于传统的木马检测方案.     

WIN2000下木马隐藏自身的又一方式

进程的隐藏一直是木马程序设计者不断探求的重要技术,本文采用远程线程技术,通过动态链接库方法,较好地解决了这一问题,通过远程线程将木马作为线程隐藏在其他进程中,从而达到隐藏的目的。     

基于行为序列灰色模糊判定的计算机木马检测方法

针对计算机木马判定困难的问题,提出了一种对行为序列进行多属性灰色模糊木马判定的方法.通过对计算机木马定性分析构建了木马攻击树,归纳了木马使用攻击树叶子节点方法实现不同功能的概率等级.使用基于木马行为的检测技术检测出主机包含网络通信、隐蔽运行、开机启动、自我防护四要素的所有行为序列,视这些行为序列为木马设计方案,使用模糊数量化定性指标,将灰色系统理论与模糊优选结合,计算各方案的木马灰色模糊的优属度,最后使用危险指数进行木马判定.应用示例表明该方法可以有效区分正常程序,检出木马程序.     

基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

基于系统调用的安卓寄生木马的检测

在基于安卓操作系统的手机中,很多安全检测软件对独立存在的木马有很好的防范能力,却很难检测出依附于正常程序的寄生木马,文中提出一种新的安卓寄生木马检测方法,通过检测手机发送的数据包实时确定发送包的端口,再根据已确定的端口和系统提供的信息,将会发现通过该端口发送包的进程,接着追踪到创建该进程的应用程序,最后通过分析程序的系统调用序列判断其是否有寄生木马,仿真实验显示该方法可以有效地检测出安卓寄生木马。     

一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

基于自组织竞争神经网络的硬件木马检测方法

针对目前硬件木马的侧信道检测普遍采用基于降维与主特征提取的分类方法,该方法在选取有用信息过程中可能会损失包含木马特征的关键信息这一问题,提出了一种基于自组织竞争神经网络的硬件木马检测方法.该方法在不损失有用信息的基础上,采用无监督学习的方式建立数学模型,对母本信息与待测信息进行分类判别.基于FPGA搭建了验证系统并对侧信道电流信息进行采集.数据处理结果表明:该方法可以有效检测出占母本电路面积0.16%的硬件木马.     

基于子空间域特征提取的硬件木马检测方法

为了解决制造变异和噪声对已有硬件木马检测方法的挑战和干扰,提出了一种新的微弱木马信号检测技术,能够在较大的制造变异和噪声的背景下提取出木马特征信号.首先,将木马检测问题建模为特征提取模型,然后提出了一个基于时域约束估计器和主成分投影的统一子空间木马检测方法.并通过特定的子空间投影或重构信号分析,证实弱小的木马信号可以与各种噪声和干扰区分开来.该方法为已有的硬件木马检测方法提供了一种通用的消除制造变异和噪声影响的方法.设计实现了2个时序硬件木马,在ISCAS89基准电路上进行了仿真实验验证,并在FPGA上进行了硬件实物验证,实验结果均表明了所提方法的有效性和高检测精度.     

基于Snort传感器的分布式入侵检测系统在校园网络中的实验测试

在校园网中部署基于Snort传感器的分布式入侵检测系统,并进行后门木马Bdoor攻击实验测试,以检测系统是否能主动、实时地全面防范一系列的网络攻击。实验测试结果显示,基于Snort的分布式入侵检测系统可以有效检测出校园网络中由于网络攻击带来的安全问题。     

高速网络环境下的新型木马快速检测方法研究

为了适应高速网络环境下的木马检测,通过分析传统的IDS,针对其在高速网络环境下对木马检测能力的不足,提出了单引擎大特征集的木马检测方法;通过分析木马的网络数据特征,对有限自动机转换过程进行优化,缩短了编译的时间,避免了重复匹配的问题,大幅度提高了基于正则表达式的木马检测方法的效率.     

利用虚拟机搭建安全的木马及病毒测试系统

网络安全十分重要,对网络中的木马及病毒进行安全测试,搭建一个安全的测试系统十分重要,本文探讨一种采用虚拟机技术来构建安全的木马及病毒测试系统的方法。     

基于免疫技术的计算机防病毒入侵系统的设计与实现

提出了一种基于免疫技术的计算机防病毒入侵系统方案．该系统与传统的杀毒软件相比，最大的不同在于将杀毒软件的被动防御变为免疫系统的主动防御，使病毒与木马无法入侵操作系统，从而保障系统的安全工作．