木马检测

摘要： 针对现有基于会话流异常行为的木马检测方法中,普遍存在所选特征代表性不足、特征间信息冗余导致检测效果差的问题,提出一种特征选择方法.首先,通过捕捉流量对木马通信行为加以分析,根据各阶段提取相关的属性,并在每一属性上进行派生,得到足够充分的特征集合.然后,为了衡量特征的重要性和特征间的相关性,提出了改进的特征重要性评价系数和基于关联信息熵的联合相关性评价系数,并设计了基于序列后向选择策略的特征选择算法,以得到自适应规模的特征子集.算法通过每一轮迭代计算特征的评价系数,通过排序完成选择.为验证该算法有效性,采用朴素贝叶斯分类和支持向量机分类算法设计了与FCBF算法和IG算法的对比实验,相较于FCBF算法,在两种分类算法上的召回率分别提升3.76％、1.64％,F1值提升分别为1.04、0.99.相较于IG算法,召回率提升分别为6.46％、4.96％,F1值提升分别为3.56、3.18.实验结果表明,提出的特征选择算法能够有效选择木马流量各个属性上的特征,克服特征间关联性带来的影响,在缩减特征维度的同时提升木马通信流量的检测效果.

摘要： 硬件木马是集成电路中隐含的恶意设计修改,被激活后可用于发起高效的底层攻击。由此,展示了一种新的利用可满足性无关项的轻量级高隐蔽性硬件木马安全威胁。该木马设计方法将轻量级木马设计隐藏于电路正常工作条件下无法覆盖到的可满足性无关项中,使插入木马后的电路设计与原始设计完全功能等价。攻击者只需利用简单的故障注入攻击手段即可激活木马。基于1024位RSA密码核的实验结果显示,所给出的木马设计能够逃避逻辑综合优化,通过故障注入攻击能够有效恢复RSA密码核的私钥。在此基础上,提出了一种能够有效检测该高隐蔽性木马设计的防御手段。

摘要： 硬件木马是集成电路中隐含的恶意设计修改,被激活后可用于发起高效的底层攻击.由此,展示了一种新的利用可满足性无关项的轻量级高隐蔽性硬件木马安全威胁.该木马设计方法将轻量级木马设计隐藏于电路正常工作条件下无法覆盖到的可满足性无关项中,使插入木马后的电路设计与原始设计完全功能等价.攻击者只需利用简单的故障注入攻击手段即可激活木马.基于1024位RSA密码核的实验结果显示,所给出的木马设计能够逃避逻辑综合优化,通过故障注入攻击能够有效恢复RSA密码核的私钥.在此基础上,提出了一种能够有效检测该高隐蔽性木马设计的防御手段.

摘要： 木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害.对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署.为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型.实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性.

摘要： APT(高级持续性威胁)是专门针对特定组织所作的复杂且多方位的高级渗透攻击.本文提出了一种基于活动行为特征关联分析的APT攻击行为检测模型,从恶意行为代码感知、软件安全漏洞感知、典型攻击行为感知、综合关联分析四个方面来实现对APT攻击行为的监测预警,并将其有效应用于APT攻击检测系统,为未来APT攻击防御产品的研发提供了一种新的思路.

摘要： DNS是重要的网络基础设施,可以对IP地址以及域名做出更改,由于DNS协议具有一定的特殊性,导致防火墙等常规安全软件不会对DNS进行拦截,逐渐形成DNS隐蔽隧道,为木马病毒的入侵提供了便利条件,严重威胁到了正常的网络信息安全,所以,本文基于此进行分析,通过提取DNS隧道木马通信行为特征,进一步探究隧道木马检测技术.

摘要： 针对木马能以隐蔽的方式盗取用户敏感信息、文件资源或远程监控用户行为,对网络安全构成极大威胁,提出一种基于流量特征的木马检测方法,通过统计分析服务器端口有序性、服务器使用客户端端口号、客户端发包数、服务器端发包数等特征,使用支持向量机(support vector machine,SVM)算法进行分类训练并建立基于流量的木马监测模型;基于流量特征的普遍性和通用性,该方法对于未知木马也比较有效.仿真测试结果表明,所提出方法具备对常见木马或未知木马的良好检测能力,实验条件下盲检测准确率可达96.61%.%Trojans can steal sensitive user information or file resources,or remotely monitor of user behavior in a hidden way,which poses a great threat to network security,therefore,the Trojan detection methods based on traffic characteristics is proposed,and the support vector machine (SVM) algorithm was used (for classification by statistically analyzing such characteristics as the ports' order of a server,the client's port number used by server,the data packets number from client,and the of data packets number from server,etc.The optimal detection parameters are obtained and the traffic-based Trojan monitoring model is built according to the training results.Because of the generalization and universality of traffic characteristics,the proposed methods also have some effects on those unknown Trojans.The simulation results show that the proposed methods have good detection ability for either common Trojans or unknown Trojans,and the blind detection accuracy rate can be up to 96.61% under certain experiment conditions.

摘要： 针对木马检测技术的研究现状和难题,提出了基于模糊不确定性推理的木马检测技术.通过对木马行为特征的抽象描述,获取模糊攻击知识,建立一个模糊攻击知识库,并通过模糊推理来响应系统攻击,从而分析判断被检测的程序是否是木马程序,并作出相应处理.实验表明,与传统的木马检测技术相比,该检测技术准确率高,检测范围广,占用系统资源少.

摘要： 本文针对传统木马检测技术不能有效检测未知木马程序这一缺陷，在研究生物免疫机制以及Ｗindosw系统下木马程序特点的基础上，给出了一种基于人工免疫的木马检测方法，提出了一种基于基因 库的检测器生成算法MEV-Detector并将其用于木马检测。为了验证算法的性能，我们在Ｗindosw系统 下进行了相关实验。实验结果表明，基于MEV-Detector的否定选择算法MEVD-NSA在检测木马方面有着较高的检测率与较低的误报率，能够有效地检测出Ｗindosw系统下木马程序及其变种。

摘要： 计算机木马检测方法有文件静态分析、网络通信分析、系统调用挂钩分析、行为监控等,但单一方法不足以满足木马检测实践需求。通过构建木马攻击状态树模型确定木马策略集,并依据策略集进行木马检测,最终检测出木马并确定检测的量化收益,然后反向推导木马安装、运行过程,并确定木马的量化难度。

摘要： 通过分析计算机木马检测系统木马检测的特点,提出了基于不完全信息动态博弈理论的检测策略选择方法。视木马程序与检测系统构成博弈主体,计算在对方不同策略下自身的收益,最后使用达到纳什均衡时检测系统使用的策略作为选择策略。

摘要： 随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题.目前,木马是网络安全最严重的威胁之一,主要的检测方法是基于特征码的木马检测和基于行为的木马检测.论文从远程控制类型木马通信的三个阶段分析其流量行为特征,分析发现木马在建立连接阶段会有动态DNS行为,并且在数据传输时报文会置PSH标志位为1,导致PSH报文数量增大,以及在命令交互阶段上下行流量不对称、小数据包比例大和保持连接阶段会有心跳数据包等特征;实验比较正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,为木马流量行为特征识别提供依据.

摘要： 目前木马检测方法大多为特征码检测技术体系.不能够检测特征码未知的新木马.行为分析反木马技术具备了反未知木马的能力。但对现有基于行为分析技术的反木马策略分析后发现，大多存在着误报，漏报率过高，应用效率较低，交互不合理等问题。本文通过对反木马算法理论体系研究和木马行为特征分析，建立了一套反木马算法设计标准，为算法的构建和实际应用提供有力的依据.在此基础上提出并设计了用于行为分析反木马的模糊分类算法，最后利用实验证明本文反木马算法的有效性。

摘要： 本发明涉及一种能检测不活跃硬件木马的电路安全可测性设计及对硬件木马的检测方法。首先完成原始电路设计与验证。其次为电路增加安全性测试模式，该模式下的时钟频率远远小于电路工作频率，并完成相应的综合，布局布线，时序分析等设计工作。然后在芯片测试的过程中使用安全性测试模式，通过使用频率远远低于功能时钟的安全性测试时钟，来降低整个电路运行时的动态功耗，从而提高空闲状态硬件木马产生的静态功耗在整个电路所消耗功耗中占的比例，从而实现对这类处于睡眠状态的硬件木马的检测。

摘要： 本发明涉及一种加速硬件木马触发的电路安全可测性设计方法。首先完成电路的功能设计与验证。其次，选择一个高于正常工作时的时钟频率作为安全测试模式下的时钟频率。然后，完成相应的综合，扫描链插入，布局布线，静态时序分析等工作，确保在以安全测试模式的时钟频率下，进行功能测试和扫描链测试的功能以及时序都完全正确。这样在电路制造完毕后，将电路配置到高时钟频率的安全性测试模式，对于触发条件依赖时间的如时间炸弹类的硬件木马，使用本发明所述方法设计的电路就能够显著加速硬件木马的触发概率。该设计方法也可以显著增加硬件木马的植入难度。

摘要： 本发明涉及一种能检测不活跃硬件木马的电路安全可测性设计及对硬件木马的检测方法。首先完成原始电路设计与验证。其次为电路增加安全性测试模式，该模式下的时钟频率远远小于电路工作频率，并完成相应的综合，布局布线，时序分析等设计工作。然后在芯片测试的过程中使用安全性测试模式，通过使用频率远远低于功能时钟的安全性测试时钟，来降低整个电路运行时的动态功耗，从而提高空闲状态硬件木马产生的静态功耗在整个电路所消耗功耗中占的比例，从而实现对这类处于睡眠状态的硬件木马的检测。

摘要： 本发明提供一种基于电源隔离的提高硬件木马检测分辨率的电路设计方法及对硬件木马的检测方法，首先将电路按一定的规则分成不同的区域；其次将为每个划分的区域设计独立的供电网络，并利用电源隔离单元控制开关每个划分的区域的电源；然后再加上或者利用电路内部已有的一个自测试模块，在电路内部产生多种测试向量，且此向量可以作为电路中被划分的各区域的输入；最后在芯片的测试过程中，完全关闭其余不需要使用的区域的电源，只测量只有一个区域工作时的侧信道数据，从而提高硬件木马产生的侧信道数据在整体电路侧信道数据中所占的比例；更好的区分含有硬件木马的电路和无硬件木马电路在侧信道数据上的区别，从而提高硬件木马检测的分辨率。

摘要： 本发明涉及一种提高硬件木马检测分辨率的电路设计方法及高效的硬件木马检测方法。首先在完成原始电路的功能设计后，将此电路按一定的规则分成不同的区域，对各个区域加上不同的门控时钟。其次，在电路内部添加一个自测试模块，在电路内部产生多种测试向量。然后在芯片的测试过程中，通过门控时钟单元关闭不工作区域的时钟，只测量一个区域工作时的瞬态电流曲线。最后，比较不同时间窗中电路进行相同操作对应的瞬态电流曲线。若将所有不同时间窗对应的电路瞬态电流曲线进行拟合后没有超出阈值且不发生曲线交叉，则认为电路中不含硬件木马，否则认为电路中含有硬件木马。本发明尤其适合检测电路规模较小的硬件木马。

摘要： 本发明提供一种基于门控时钟的提高硬件木马检测分辨率的电路设计方法及对硬件木马的检测方法，首先将原始电路按一定的规则分成不同的区域，对各个区域加上不同的门控时钟。其次，在电路设计过程中加上或者利用电路内部已有的一个自测试模块，在电路内部产生多种测试向量，且此向量可以作为电路中被划分的各区域的输入，最后在芯片的测试过程中，通过门控时钟单元轮流关闭某些区域的时钟，只测量一个区域工作时的侧信道数据，提高硬件木马产生的侧信道数据在整体电路侧信道数据中所占的比例，更好的区分含有硬件木马的电路和无硬件木马电路在侧信道数据上的区别，从而提高硬件木马检测的分辨率。通过此电路设计方法还可以大致判断硬件木马所在位置。

摘要： 本发明提供了一种硬件木马检测电路、检测方法和电子设备，检测电路包括信号生成模块和二路选择器；二路选择器包括第一输入端、第二输入端、第三输入端和选择器输出端，第三输入端为选择控制端，用于选择将第一输入端或第二输入端的信号从选择器输出端输出；第一输入端用于接收模式控制信号；第二输入端与信号生成模块的输出端连接，用于接收信号生成模块的输出信号；模式控制信号和输出信号用于确定原始电路插入节点的真值概率。本发明实施例基于信号生成模块的输出信号和模式控制信号的作用，可以对插入节点的真值概率进行调整，从而有助于提升后级逻辑门电路的稀有节点的跳变概率，可以缩短硬件木马的激活时间，加速检测过程，提高检测效率。

摘要： 本发明涉及一种提高硬件木马检测分辨率的电路设计方法及高效的硬件木马检测方法。首先在完成原始电路的功能设计后，将此电路按一定的规则分成不同的区域，对各个区域加上不同的门控时钟。其次，在电路内部添加一个自测试模块，在电路内部产生多种测试向量。然后在芯片的测试过程中，通过门控时钟单元关闭不工作区域的时钟，只测量一个区域工作时的瞬态电流曲线。最后，比较不同时间窗中电路进行相同操作对应的瞬态电流曲线。若将所有不同时间窗对应的电路瞬态电流曲线进行拟合后没有超出阈值且不发生曲线交叉，则认为电路中不含硬件木马，否则认为电路中含有硬件木马。本发明尤其适合检测电路规模较小的硬件木马。

摘要： 本发明提供一种基于门控时钟的提高硬件木马检测分辨率的电路设计方法及对硬件木马的检测方法，首先将原始电路按一定的规则分成不同的区域，对各个区域加上不同的门控时钟。其次，在电路设计过程中加上或者利用电路内部已有的一个自测试模块，在电路内部产生多种测试向量，且此向量可以作为电路中被划分的各区域的输入，最后在芯片的测试过程中，通过门控时钟单元轮流关闭某些区域的时钟，只测量一个区域工作时的侧信道数据，提高硬件木马产生的侧信道数据在整体电路侧信道数据中所占的比例，更好的区分含有硬件木马的电路和无硬件木马电路在侧信道数据上的区别，从而提高硬件木马检测的分辨率。通过此电路设计方法还可以大致判断硬件木马所在位置。

摘要： 本发明提供一种基于电源隔离的提高硬件木马检测分辨率的电路设计方法及对硬件木马的检测方法，首先将电路按一定的规则分成不同的区域；其次将为每个划分的区域设计独立的供电网络，并利用电源隔离单元控制开关每个划分的区域的电源；然后再加上或者利用电路内部已有的一个自测试模块，在电路内部产生多种测试向量，且此向量可以作为电路中被划分的各区域的输入；最后在芯片的测试过程中，完全关闭其余不需要使用的区域的电源，只测量只有一个区域工作时的侧信道数据，从而提高硬件木马产生的侧信道数据在整体电路侧信道数据中所占的比例；更好的区分含有硬件木马的电路和无硬件木马电路在侧信道数据上的区别，从而提高硬件木马检测的分辨率。