一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

高速网络环境下基于分布式协作代理的入侵检测系统研究

提出了一个高速网络环境下基于分布式协作代理的入侵检测系统模型框架,研究了一种面向大规模网络的分布式协作代理入侵检测技术,构建了一个能适应高速网络环境下网络监测的入侵检测系统集群模型,对其体系结构进行了详细的描述．为了提高入侵检测的识别率,在现有特征匹配算法的基础上,提出了利用网络协议的特征来提高入侵检测的匹配效率的方法和基于遗传算法的智能动态反馈负载均衡器的思想,利用它们来对高速网络环境下前端捕获的1Gbps以上的大数据流分流,以利于后端低速入侵检测系统及时并行处理,并总结出了模型实现的关键技术。     

基于资源分析的木马检测的研究与设计

目前用Win32汇编生成的木马核心程序或木马服务端可以通过二进制资源的形式导入PE文件,针对该种特征木马,提出利用分析程序通信特征及资源特征相结合的方法,快速定位含有非标准资源的可疑程序,并对其进行检测,实现基于资源分析对该种特征木马的检测系统.     

基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

木马攻击与防御技术探究

木马攻击是最常见的网络攻击手段之一,它对网络环境中的信息资源造成了巨大的危害。本文在介绍了木马攻击技术的基础上,有针对性的提出了木马攻击检测方法和防御措施,进而对木马攻击发展趋势做出了展望。     

基于子空间域特征提取的硬件木马检测方法

为了解决制造变异和噪声对已有硬件木马检测方法的挑战和干扰,提出了一种新的微弱木马信号检测技术,能够在较大的制造变异和噪声的背景下提取出木马特征信号.首先,将木马检测问题建模为特征提取模型,然后提出了一个基于时域约束估计器和主成分投影的统一子空间木马检测方法.并通过特定的子空间投影或重构信号分析,证实弱小的木马信号可以与各种噪声和干扰区分开来.该方法为已有的硬件木马检测方法提供了一种通用的消除制造变异和噪声影响的方法.设计实现了2个时序硬件木马,在ISCAS89基准电路上进行了仿真实验验证,并在FPGA上进行了硬件实物验证,实验结果均表明了所提方法的有效性和高检测精度.     

基于SVM的木马流量特征检测方法

针对木马能以隐蔽的方式盗取用户敏感信息、文件资源或远程监控用户行为,对网络安全构成极大威胁,提出一种基于流量特征的木马检测方法,通过统计分析服务器端口有序性、服务器使用客户端端口号、客户端发包数、服务器端发包数等特征,使用支持向量机(support vector machine,SVM)算法进行分类训练并建立基于流量的木马监测模型;基于流量特征的普遍性和通用性,该方法对于未知木马也比较有效.仿真测试结果表明,所提出方法具备对常见木马或未知木马的良好检测能力,实验条件下盲检测准确率可达96.61%.     

基于行为检测的窃密型木马检测研究

针对窃密型木马伪装技术不断发展,窃密型木马检测难度越来越高的现状,提出基于行为检测的窃密型木马检测方案.通过对常见窃密型木马通信机制建模分析,构建窃密型木马的几种通信模式.为了提高窃密型木马检测精度,以窃密型木马通信行为特征,设计了基于完整会话的窃密型木马检测方案.通过对500组实验数据测试表明,笔者设计的窃密型木马检测方案漏检率为6.8％,误报率为2.7％,优于传统的木马检测方案.     

计算机木马检测中木马行为诱发研究

具有高深隐藏技术的计算机木马在没有被捕获到特征码以前,基于特征码的杀毒软件没有办法进行常规检测,只能通过基于行为的方式进行检测;但是,对于不以大规模破坏计算机信息系统为主要目的而以特定信息窃取为目的的木马,在特定条件没有得到满足前,木马通常处于"休眠式"的潜伏状态,极少的行为往往能够躲避基于行为检测的检测方式。为此,本文将对计算机木马检测中的木马诱发条件进行研究,探索触发木马产生更多"工作行为",以提升木马检测成功率的模拟环境模型。     

基于多元正态分析的硬件木马检测研究

针对硬件木马旁路检测中投影变换等方法可能造成的多点关联信息丢失问题,从旁路信号的点特征分析入手,对旁路信号轨迹多元正态分布特征的检验方法进行了分析和验证,采用多元正态分布的概率密度函数来描述金片旁路信号的分布特征,针对不同数据激励下的旁路信号轨迹,采用成对数据的t检验方法进行硬件木马判别.在FPGA平台上实现的8051微处理器中分别植入5种类型的硬件木马,并对电磁旁路信号进行了检测验证实验.实验结果表明:该方法能够成功检测逻辑规模低至0.05%的硬件木马.     

“木马”病毒特点分析及防护方法

随着信息化技术的发展，网络已成为人们生活中不可或缺的组成部分。在感受网络带来的信息交流与资源共享的益处的同时，各种各样的病毒侵袭也让电脑用户头痛不已。近来“木马”病毒就是其中非常猖獗的一种。本文分析了“木马”病毒的特点、类型以及如何防护与清除“木马”病毒。     

木马病毒入侵原理与防范

简要介绍了木马病毒的危害性、发展趋势及特点,分析了木马病毒的主要原理,提出了一些防范木马病毒的建议。     

Windows系统下的计算机病毒免疫技术

随着计算机病毒危害的日益严重,计算机病毒免疫技术也越来越凸显其重要地位。本文首先简单介绍了生物免疫系统对于计算机病毒免疫的启发,接着详细讨论了目前流行的对计算机病毒免疫的定义,分析了计算机病毒免疫的方法策略以及局限性,最后对流行的冰河木马如何免疫进行了特例分析。     

网络攻击中的特洛伊木马及其防范手段

随着Ｉｎｔｅｒｎｅｔ的迅速发展，信息安全问题越来越严重，特洛伊木马作为一种特殊的网络攻击方式备受关注。针对特洛伊木马攻击隐蔽性强的特点，在介绍了网络攻击中特洛伊木马的特征、工作机制和攻击方式的基础上，着重论证特洛伊木马的防范手段和特洛伊木马程序的判断与消除方式。     

基于行为序列灰色模糊判定的计算机木马检测方法

针对计算机木马判定困难的问题,提出了一种对行为序列进行多属性灰色模糊木马判定的方法.通过对计算机木马定性分析构建了木马攻击树,归纳了木马使用攻击树叶子节点方法实现不同功能的概率等级.使用基于木马行为的检测技术检测出主机包含网络通信、隐蔽运行、开机启动、自我防护四要素的所有行为序列,视这些行为序列为木马设计方案,使用模糊数量化定性指标,将灰色系统理论与模糊优选结合,计算各方案的木马灰色模糊的优属度,最后使用危险指数进行木马判定.应用示例表明该方法可以有效区分正常程序,检出木马程序.     

基于SPI技术漏洞的新型木马的防范方法

目的防范基于SPI技术漏洞的新型木马。方法从SPI技术原理出发分析新型木马利用SPI技术实现隐藏的机制,找出一种新型木马的检测和清除方法。结果提出了一套完整的针对基于SPI技术的新型木马的防御方案,并详细描述了其实现。结论这种确实可行的周期比较法,可以对新型木马实施半自动清除。     

“木马”入侵检测策略与防范

以木马为主题,系统地对木马的各个方面进行了综合研究,根据对木马行为特征、实体结构等分析结果,给出了木马防治的综合策略及清除方法.     

对基于Winsock 2 SPI技术的木马研究与防范

介绍了当前基于Winsock 2 SPI技术的木马特点，在阐述这类木马的技术背景的基础上，重点论述了其实现原理和设计流程及全新的木马激活方式，并提出对这类木马有效的防范措施及建议.