基于综合行为特征的木马检测技术研究

随着计算机网络技术的快速发展和中国信息化工作的快速推进,如何更有效地检测及防范木马是一个重要的研究方向。文中重点讨论的是,在Windows系统下,基于木马综合行为特征分析的木马检测技术、木马分析检测算法和识别方法,设计并实现了一套针对特种木马的检测软件原型系统。     

基于行为分析的木马检测

首先介绍了特洛伊木马的基本概念,其利用的基本技术,再介绍了常用的木马检测方法。阐述了木马检测的现状和发展趋势。分析并归纳了木马在安装阶段的行为特征,以此提出基于行为分析的木马检测方法。     

基于权重分析的网页木马检测模型

鉴于传统的检测方案无法准确地检测复杂多变的网页木马行为,文中提出一种基于行为特征权重分析的检测模型。总结网页木马的典型行为,利用权重分析的方法进行综合评价,最终根据阈值判别待检测脚本文件是否是网页木马。实验表明,该方法可以有效地检测网页木马,提高检测效率。该检测模型是对基于特征码检测技术的补充,在新型网页木马不断涌现的今天,在基于特征码检测技术中,具有一定的应用意义。     

基于投影寻踪分析的芯片硬件木马检测

提出一种利用芯片旁路泄漏信息的硬件木马无损检测方法,通过基于绝对信息散度指标的投影寻踪技术,将芯片运行过程中产生的高维旁路信号投影变换到低维子空间,在信息损失尽量小的前提下发现原始数据中的分布特征,从而实现芯片旁路信号特征提取与识别。针对示例性高级加密标准(AES-128)木马电路的检测实验表明,该技术可以有效分辨基准芯片与硬件木马测试芯片之间的旁路信号特征差异,实现硬件木马检测。     

基于电磁辐射信号分析的芯片硬件木马检测

集成电路芯片在制造过程中可能被嵌入恶意硬件电路,形成硬件木马.提出一种新的利用芯片电磁旁路泄漏信息的硬件木马无损检测方法.对芯片表面进行区域划分,通过随机选优算法生成硬件木马测试向量集;利用基于负熵指标的投影寻踪技术将芯片高维旁路信号投影到低维子空间,在信息损失尽量小的前提下发现原始数据中的分布特征,从而实现芯片旁路信号特征提取与识别.针对示例性高级加密标准(AES-128)木马电路的检测实验表明,该技术可以有效分辨基准芯片与硬件木马测试芯片之间的电磁信号特征差异,实现硬件木马检测.     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

Android系统木马隐藏及检测技术分析

Android系统木马可以通过root系统权限的获取,实现对内核表项隐藏功能的实现,从而使木马查杀软件的检测也能够获得有效的躲避.基于Android系统本身拥有庞大的操作用户,在很大程度上俨然已经成为众多黑客集中攻击的主要对象.作为攻击Android系统的重要手段之一,特洛伊木马具有强大的破坏性、隐蔽性以及欺骗性,因此,强化对Android系统木马隐藏及检测技术分析,对于智能手机的发展至关重要.     

一种基于转换概率分析的硬件木马检测方法

提出了一种基于插入2-1 MUX的硬件木马检测方法。通过插入2-1 MUX来提高节点转换概率,以增加硬件木马的激活概率。首先计算出电路中所有节点的转换概率,然后设定转换概率阈值,筛选出低于阈值转换概率的电路节点,作为2-1 MUX的插入对象。基于ISCAS85基准电路的仿真结果表明,与现有的插入dSFF和POSC结构的方法相比,该方案具有简单的电路结构,且在几乎相同的木马激活概率情况下具有更小的功耗和面积开销。     

基于ID3决策树的木马动态检测技术研究

木马是目前计算机网络面临的主要安全威胁之一.针对现有木马检测方法的不足,提出了行为分析与ID3决策树相结合的木马动态检测技术,对其原理、算法、实现和性能进行了详细介绍.利用ID3算法对样本进行学习建立的木马判定决策树,根据程序运行时的行为判定其是否为木马.在Windows系统下的实现和测试显示该技术具有较高的准确率.     

木马技术探析

互联网的开放性在给人们带来便利的同时,也加快了恶意代码的传播。黑客利用木马程序隐藏在用户计算机中,对受害用户进行信息窃取、破坏数据、监控用户行为等操作。文中介绍了计算机木马的原理、植入技术、隐藏技术。并通过研究目前最新的杀毒软件的查杀原理,实现了针对杀毒软件中特征码查杀以及主动防御技术的绕过,并在安装具备这两种功能的杀毒软件的Windows 7操作系统中成功免杀,可成功绕过杀毒软件的查杀。     

芯片级木马检测技术研究综述

集成电路在各个领域都具有极其重要的作用,但是在当今集成电路设计、制造、测试、封装各种环节相分离的产业模式下,用户所使用的芯片可能会被别有用心者植入硬件特洛伊木马电路,这给信息安全领域带来了严重威胁,芯片级硬件木马的检测技术已经成为了芯片安全研究领域的新热点。首先介绍了硬件木马的概念、危害以及分类方式;然后对硬件木马检测技术国内外有影响的研究成果进行了详细的总结和评述,着重阐述了目前比较有效的旁路分析方法,指出基于功耗指纹分析的硬件木马检测技术是当前最有前途的一种检测方法;最后简要总结了硬件木马的主动防御机制。     

硬件木马综述

集成电路在设计或制造过程中会受到硬件木马的攻击,使芯片与硬件的安全性受到威胁。硬件木马技术逐渐受到重视,已成为当今一个新的研究热点。文章介绍了硬件木马的概念,对三种主要的硬件木马分类方法进行了分析;着重探讨了硬件木马的检测方法。对检测方法存在的问题与面临的挑战进行了分析,指出基于旁路信号分析的硬件木马检测方法是当前最主要的一种检测方法。     

端口反弹型木马的通信技术研究

端口反弹型木马是一种新的特洛伊木马，它能够轻而易举地穿透局域网的防火墙，而且能入侵到局域网内部没有公网IP地址的主机．这类木马对计算机网络安全带来了严重的威胁。文章比较了端口反弹型木马与传统木马的通信方式．指出了端口反弹型木马通信技术的优点。研究了两种典型端口反弹型木马的通信过程，即半反弹连接方式和完全反弹连接方式．并对它们进行了比较。最后，为验证端口反弹通信连接，设计了一个原型木马。     

木马的植入与隐藏技术分析

论文首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。     

主流木马技术分析及攻防研究

对当前主流的木马技术原理进行了深入的剖析,对主流木马的基本功能、隐藏机制和传播途径进行了研究,对主流木马使用的两种技术——API HOOK技术和SPI技术进行了细致地分析,根据新型木马实现隐藏的机制,提出了相关检测和清除的技术,探索出了一种新型木马的检测和清除方法。最后总结出了可以对新型木马实施清除的有效方法,实现了利用迭代比较法查杀木马的示例软件。     

网上黑客工具——木马探讨（续一）

5木马的危害 木马的危害主要表现在远程控制方面。木马连接建立后，控制端端口和木马端口之间将会出现一条通道。