基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

基于行为检测的窃密型木马检测研究

针对窃密型木马伪装技术不断发展,窃密型木马检测难度越来越高的现状,提出基于行为检测的窃密型木马检测方案.通过对常见窃密型木马通信机制建模分析,构建窃密型木马的几种通信模式.为了提高窃密型木马检测精度,以窃密型木马通信行为特征,设计了基于完整会话的窃密型木马检测方案.通过对500组实验数据测试表明,笔者设计的窃密型木马检测方案漏检率为6.8％,误报率为2.7％,优于传统的木马检测方案.     

计算机木马检测中木马行为诱发研究

具有高深隐藏技术的计算机木马在没有被捕获到特征码以前,基于特征码的杀毒软件没有办法进行常规检测,只能通过基于行为的方式进行检测;但是,对于不以大规模破坏计算机信息系统为主要目的而以特定信息窃取为目的的木马,在特定条件没有得到满足前,木马通常处于"休眠式"的潜伏状态,极少的行为往往能够躲避基于行为检测的检测方式。为此,本文将对计算机木马检测中的木马诱发条件进行研究,探索触发木马产生更多"工作行为",以提升木马检测成功率的模拟环境模型。     

一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

基于行为监控的木马检测系统研究及实现

为了检测木马型病毒,分析了现有木马检测措施,设计并实现了一个基于行为监控的木马检测系统,介绍了该系统的软件结构和运行机制,描述了基于Winsock2 SPI和NDIS HOOK的网络通信检测技术、基于内核调度监控的进(线)程检测技术.测试表明,该系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段的行为.     

基于行为序列灰色模糊判定的计算机木马检测方法

针对计算机木马判定困难的问题,提出了一种对行为序列进行多属性灰色模糊木马判定的方法.通过对计算机木马定性分析构建了木马攻击树,归纳了木马使用攻击树叶子节点方法实现不同功能的概率等级.使用基于木马行为的检测技术检测出主机包含网络通信、隐蔽运行、开机启动、自我防护四要素的所有行为序列,视这些行为序列为木马设计方案,使用模糊数量化定性指标,将灰色系统理论与模糊优选结合,计算各方案的木马灰色模糊的优属度,最后使用危险指数进行木马判定.应用示例表明该方法可以有效区分正常程序,检出木马程序.     

向PE文件中插入可执行代码的研究

根据Win32 PE文件的结构特征,实现了两种不同的向PE文件中插入可执行代码的方法:(1) 在本节中的未用空间中插入代码;(2) 添加新的节.指出在编写要添加的代码的过程中,要注意插入代码的变量地址的重定位和代码返回改动态获取API入口地址等问题.     

基于入侵检测技术的P2P行为检测研究

P2P网络行为检测技术是近年来网络安全研究的热点课题.分析了P2P行为检测技术的难点,概述了传统的P2P检测技术,并指出了优缺点.通过实验研究P2P数据包中的特征值和指纹信息,从分析检测的规则集入手,引入Snort开源入侵检测系统来进行P2P应用行为检测,提出了一种基于P2P应用程序行为的检测方法.     

基于行为模型算法的入侵检测技术研究

在分析现有的入侵检测技术的基础上，提出基于行为模型的入侵检测技术．通过学习模式和检测模式来分析行为模型算法．本文从URI检测、客户请求的数据检测及访问顺序检测这3个部分来阐述基于行为模型的入侵检测技术的检测原理．经过测试，行为模型算法对现有的攻击（如SQL注入攻击、跨站脚码攻击、隐藏域攻击）能起到有效的防御；对现今未发现的攻击行为，在它出现后可以通过学习、建模也能进行很好的检测．     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.     

基于资源分析的木马检测的研究与设计

目前用Win32汇编生成的木马核心程序或木马服务端可以通过二进制资源的形式导入PE文件,针对该种特征木马,提出利用分析程序通信特征及资源特征相结合的方法,快速定位含有非标准资源的可疑程序,并对其进行检测,实现基于资源分析对该种特征木马的检测系统.     

普氏野马野化进程中行为变化的初步观察

通过2002-2005年野马野放群和圈养群的行为对比观察,比较放归和圈养条件下的繁殖群,可以发现,野放后野马行为种类和某些行为发生频率及主要行为时间分配发生了不同程度的变化。     

碰撞检测技术研究

通过介绍影响碰撞检测的相关要素,阐述了可变时间片长度的碰撞检测问题,又提出了包围盒方法和距离跟踪算法;这些方法能有效的提高碰撞检测的速度,能较好的解决虚拟现实中的碰撞检测问题。     

基于激光探测技术的坦克目标识别方法

对激光探测技术的目标识别及定位方法进行研究.根据近场目标激光反射方程,结合典型的弹目交会条件,从理论上给出了坦克的激光反射特性;分析了激光探测的主要干扰,提出了判别反射脉冲幅度和脉冲个数的信号识别准则;采用统计分析方法,建立了坦克激光信号幅度直方图.在此基础上,结合探测概率制定幅度门限,根据定位要求及目标尺寸,分析了脉冲个数门限的确定方法.仿真结果表明,所设计的探测识别系统能有效判别坦克目标,并能对目标进行定位,实现对坦克顶装甲的精确打击.     

基于组件的虚拟手建模及碰撞检测

提出一种基于组件技术构建虚拟手的OBB层次包围体树方法. 首先分解手模型为多个子单元形成部件, 然后利用部件的OBB包围盒自底向上生成复杂组件层次体树结构, 不但能较好地满足部件本身的几何约束, 而且也加快了建模和运动更新的速度. 实验表明, 基于组件的手模型能很好地满足虚拟现实系统对手运动实时性与检测精确性的要求.     

基于SQL注入的安全防范检测技术研究

为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,详细分析了基于SQL注入的攻击原理,从应用服务器、数据服务器、功能代码本身等3个方面探讨了如何避免SQL注入攻击.在此基础上从功能程序本身方面对已有的“检测、防御、备案”通用模型进行了优化,改良后的SQL注入攻击通用检验模型只在服务器端设置检查,对攻击者进行备案,对于攻击次数过多的用户所提出的请求服务器将不予理会,而且被抽象出来以单独函数形式存在,使用时直接调用即可,适用于所有页面.实验表明,该模型系统能较好发现系统存在的SQL注入脆弱点,从而有效提升系统的安全性.     

基于客户体验与行为运筹学的逆向服务(运筹学与控制论)

全球经济已经全面向服务和体验经济转型,传统意义上的服务更多从企业角度设计和驱动服务,属于"推动式服务"。本文首次提出了"逆向服务"的概念,其特征是"客户拉动式"、个性化、绿色低碳和可循环性。通过客户体验与行为运筹学等崭新视角对"逆向服务"的内涵进行了诠释,其核心内容是基于客户行为的最优化及决策模型、逆向服务路径及系统优化、心理认知与智力增值形式和界面创新,最终目的是实现资源循环使用、绿色环保,维护服务信誉、树立企业品牌形象、企业可持续发展。在此基础上归纳了从这一视角进行研究的科学意义,即独特性、系统科学性和绿色可持续性。接着对相关领域的研究现状和发展动态进行综述。最后对该领域研究的空白和未来的潜力进行总结。