基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

基于资源分析的木马检测的研究与设计

目前用Win32汇编生成的木马核心程序或木马服务端可以通过二进制资源的形式导入PE文件,针对该种特征木马,提出利用分析程序通信特征及资源特征相结合的方法,快速定位含有非标准资源的可疑程序,并对其进行检测,实现基于资源分析对该种特征木马的检测系统.     

用于木马流量检测的集成分类模型

针对传统集成学习方法运用到木马流量检测中存在对训练样本要求较高、分类精度难以提升、泛化能力差等问题,提出了一种木马流量检测集成分类模型。对木马通信和正常通信反映在流量统计特征上的差别进行区分,提取行为统计特征构建训练集。通过引入均值化的方法对旋转森林算法中的主成分变换进行改进,并采用改进后的旋转森林算法对原始训练样本进行旋转处理,选取朴素贝叶斯、C4.5决策树和支持向量机3种差异性较大的分类算法构建基分类器,采用基于实例动态选择的加权投票策略实现集成并产生木马流量检测规则。实验结果表明:该模型充分利用了不同训练集之间的差异性以及异构分类器之间的互补性,在误报率不超过4.21%时检测率达到了96.30%,提高了木马流量检测的准确度和泛化能力。     

基于MAS的Web用户数据预处理

数据预处理是采用基于Web的使用挖掘发现用户模式的第一步.由于Web用户数据来源的不同,不仅导致用户的识别困难,用户访问页面的完整性也难于得到保证,这给下一步的用户模式发现带来了问题.本文提出了一个基于MAS的数据预处理方法:在客户端采用Agent精确捕获用户浏览行为,构造用户访问图;在服务器端的Agent保存服务器生成页面,并根据客户端Agent返回的数据完整获得用户的访问内容,为有效实现用户模式发现提供了保证.     

基于JS和正则表达式的客户端数据验证方法研究

介绍了数据验证的含义和重要性,通过对传统服务器端数据验证方式及其弊端的分析,以及对客户端数据验证可行性分析,给出了基于JS和正则表达式的客户端数据验证方法及其组成,同时说明了客户端数据验证方式的局限性并提出客户端验证和服务器端验证相结合的解决方法.     

一种基于客户端行为的邮件帐户异常检测方法

在对邮件用户WebMail登录、ESMTP验证发送邮件、POP3接收邮件的三种邮件客户端行为统计特征分析研究的基础上,提取ESMTP验证次数、POP3验证次数两种特征建立客户端行为模型,提出一种基于邮件用户客户端行为的邮件帐户异常检测方法,并应用到华中科技大学校园网邮件系统中.实验证明,该方法能有效、快速地检测出异常的...     

一种基于Android的智慧校园平台的设计与实现

设计了一种基于Android的智慧校园平台.该平台的开发分为两个部分:客户端基于Android,使用Android Studio开发,利用Genymotion运行测试;后台服务器端使用PHPStorm开发,利用Apache和MYSQL运行测试.该平台不仅实现了客户端的用户注册和登录、新闻浏览、个人中心、课程讲座和通知公告,还实现了客户端对应的服务器端的管理员登录、新闻管理、用户管理、课程管理和通知管理.平台具有界面友好,操作便捷,兼容性强,便于后续开发和维护等特点,可以方便师生进行移动学习,促进学校信息化的建设.     

基于主成分分析的硬件木马检测方法

针对侧信道检测方法检出率不高的问题,提出一种基于主成分分析结合马氏距离的检测方法.通过对芯片功耗进行建模分析,首先采用主成分分析法对旁路信息中的微小差异进行放大提取,获取主特征,然后使用马氏距离进行判别区分,识别硬件木马.基于自主设计的FPGA(field-programmable gate array)检测平台进行实验验证,结果表明:采用基于主成分分析结合马氏距离的硬件木马检测方法可以有效检测出占母本电路面积0.6%左右的硬件木马.     

一种提升移动虚拟化用户输入体验的方法

移动虚拟化使用中,用户输入后需要先将输入信息通过网络发送到服务器端,经过服务器端处理后更新用户界面再返回给客户端之后用户才能获得刚才输入的实际响应,因此用户输入后能否快速响应决定着是否有好的用户输入体验。该文提出在用户输入时先根据画笔属性实时显示输入信息,给用户有个好的输入响应,待收到服务器端的实际数据后再进行二次回显避免显示偏差。这种方法能够减小移动虚拟化对网络传输的依赖,快速响应用户输入,解决了因为网络抖动、延迟等原因造成用户输入卡顿或回显慢的问题,有效提升用户输入体验。     

高速网络环境下的新型木马快速检测方法研究

为了适应高速网络环境下的木马检测,通过分析传统的IDS,针对其在高速网络环境下对木马检测能力的不足,提出了单引擎大特征集的木马检测方法;通过分析木马的网络数据特征,对有限自动机转换过程进行优化,缩短了编译的时间,避免了重复匹配的问题,大幅度提高了基于正则表达式的木马检测方法的效率.     

一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

An unknown Trojan detection method based on software network behavior

Aiming at the difficulty of unknown Trojan detection in the APT flooding situation, an improved detecting method has been proposed. The basic idea of this method originates from advanced persistent threat (APT) attack intents: besides dealing with damaging or destroying facilities, the more essential purpose of APT attacks is to gather confidential data from target hosts by planting Trojans. Inspired by this idea and some in-depth analyses on recently happened APT attacks, five typical communication characteristics are adopted to describe application’s network behavior, with which a fine-grained classifier based on Decision Tree and Na ve Bayes is modeled. Finally, with the training of supervised machine learning approaches, the classification detection method is implemented. Compared with general methods, this method is capable of enhancing the detection and awareness capability of unknown Trojans with less resource consumption.     

基于系统调用的安卓寄生木马的检测

在基于安卓操作系统的手机中,很多安全检测软件对独立存在的木马有很好的防范能力,却很难检测出依附于正常程序的寄生木马,文中提出一种新的安卓寄生木马检测方法,通过检测手机发送的数据包实时确定发送包的端口,再根据已确定的端口和系统提供的信息,将会发现通过该端口发送包的进程,接着追踪到创建该进程的应用程序,最后通过分析程序的系统调用序列判断其是否有寄生木马,仿真实验显示该方法可以有效地检测出安卓寄生木马。     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

基于旁路分析的硬件木马检测方法

集成电路芯片在不受控的制造过程中可能会被嵌入恶意电路结构,形成硬件木马,这给集成电路芯片的可靠性和可信度带来了极大的隐患,而利用传统的测试技术很难发现这些硬件木马.针对这一问题,文中提出了一种非破坏性的、基于旁路分析的硬件木马检测方法,它通过对芯片功耗瞬态变化情况的分析,采用奇异值分解算法对功耗进行统计处理来检测芯片中的硬件木马.在FPGA芯片上的硬件验证结果表明,即使在测量噪声和工艺扰动较大的环境中,文中方法也能检测出面积比原始电路小2个数量级的硬件木马.     

基于灰度图像转化的时间型隐蔽信道检测方法

时间型网络隐蔽信道是一种隐蔽性极高的信息泄露方式.其作为APT攻击的主要通信手段,对网络安全产生了极大威胁.目前针对隐蔽信道的检测方法通用性不足、误检率高,且人工提取流量特征耗时耗力.本文提出了一种基于灰度图像转化的检测方法.该方法将报文到达时间间隔归一化,转换成像素值,再将其转为灰度图像,由此把一维序列分类问题转成二维图像分类问题.本文使用卷积神经网络自动获取图像特征,并利用卷积块注意力模块,从空间与通道两个维度进行特征自适应优化.本文用合法流量和隐蔽信道流量组成的数据集训练网络,所得到的二分类模型用于判别被检测流量是否为时间型隐蔽信道流量.最后将提出的方法与现有的4种检测方法做对比.实验结果表明,本文方法具有更高的精确率和召回率,所得模型的通用性更好且误检率更低.     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

HTDet:A Clustering Method Using Information Entropy for Hardware Trojan Detection

Hardware Trojans(HTs) have drawn increasing attention in both academia and industry because of their significant potential threat.In this paper,we propose HTDet,a novel HT detection method using information entropybased clustering.To maintain high concealment,HTs are usually inserted in the regions with low controllability and low observability,which will result in that Trojan logics have extremely low transitions during the simulation.This implies that the regions with the low transitions will provide much more abundant and more important information for HT detection.The HTDet applies information theory technology and a density-based clustering algorithm called Density-Based Spatial Clustering of Applications with Noise(DBSCAN) to detect all suspicious Trojan logics in the circuit under detection.The DBSCAN is an unsupervised learning algorithm,that can improve the applicability of HTDet.In addition,we develop a heuristic test pattern generation method using mutual information to increase the transitions of suspicious Trojan logics.Experiments on circuit benchmarks demonstrate the effectiveness of HTDet.     

Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．