木马检测
木马检测的相关文献在2003年到2022年内共计383篇,主要集中在自动化技术、计算机技术、无线电电子学、电信技术、建筑科学
等领域,其中期刊论文73篇、会议论文6篇、专利文献1104779篇;相关期刊51种,包括信息工程大学学报、信息网络安全、电脑迷等;
相关会议6种,包括2015中国计算机网络安全年会、第2届河南省计算机专业研究生“尖峰”论坛、第二十一届全国信息保密学术会议(IS2011)等;木马检测的相关文献由721位作者贡献,包括王力纬、侯波、恩云飞等。
木马检测—发文量
专利文献>
论文:1104779篇
占比:99.99%
总计:1104858篇
木马检测
-研究学者
- 王力纬
- 侯波
- 恩云飞
- 何春华
- 赵毅强
- 周昱
- 谢少锋
- 刘燕江
- 陈吉华
- 于宗光
- 李少青
- 魏敬和
- 侯申
- 刘胜利
- 张荣
- 史江义
- 乐大珩
- 何小威
- 隋强
- 何家骥
- 马浩诚
- 唐永康
- 雷淑岚
- 马佩军
- 张若男
- 成钊
- 王丽娟
- 叶茂
- 张明
- 张颖
- 杨露
- 沈高
- 王勇
- 王淑芬
- 胡伟
- 胡光俊
- 胡星
- 董晨
- 赵晟
- 马卓
- 冯建华
- 张启明
- 李康
- 杨彬彬
- 汤赛楠
- 王小航
- 王文冰
- 聂星宇
- 苏静
- 赵一鸣
-
-
张瑜;
刘晓洁;
李贝贝
-
-
摘要:
针对现有基于会话流异常行为的木马检测方法中,普遍存在所选特征代表性不足、特征间信息冗余导致检测效果差的问题,提出一种特征选择方法.首先,通过捕捉流量对木马通信行为加以分析,根据各阶段提取相关的属性,并在每一属性上进行派生,得到足够充分的特征集合.然后,为了衡量特征的重要性和特征间的相关性,提出了改进的特征重要性评价系数和基于关联信息熵的联合相关性评价系数,并设计了基于序列后向选择策略的特征选择算法,以得到自适应规模的特征子集.算法通过每一轮迭代计算特征的评价系数,通过排序完成选择.为验证该算法有效性,采用朴素贝叶斯分类和支持向量机分类算法设计了与FCBF算法和IG算法的对比实验,相较于FCBF算法,在两种分类算法上的召回率分别提升3.76%、1.64%,F1值提升分别为1.04、0.99.相较于IG算法,召回率提升分别为6.46%、4.96%,F1值提升分别为3.56、3.18.实验结果表明,提出的特征选择算法能够有效选择木马流量各个属性上的特征,克服特征间关联性带来的影响,在缩减特征维度的同时提升木马通信流量的检测效果.
-
-
武玲娟;
朱嘉诚;
唐时博;
谭静;
胡伟
-
-
摘要:
硬件木马是集成电路中隐含的恶意设计修改,被激活后可用于发起高效的底层攻击。由此,展示了一种新的利用可满足性无关项的轻量级高隐蔽性硬件木马安全威胁。该木马设计方法将轻量级木马设计隐藏于电路正常工作条件下无法覆盖到的可满足性无关项中,使插入木马后的电路设计与原始设计完全功能等价。攻击者只需利用简单的故障注入攻击手段即可激活木马。基于1024位RSA密码核的实验结果显示,所给出的木马设计能够逃避逻辑综合优化,通过故障注入攻击能够有效恢复RSA密码核的私钥。在此基础上,提出了一种能够有效检测该高隐蔽性木马设计的防御手段。
-
-
武玲娟;
朱嘉诚;
唐时博;
谭静;
胡伟
-
-
摘要:
硬件木马是集成电路中隐含的恶意设计修改,被激活后可用于发起高效的底层攻击.由此,展示了一种新的利用可满足性无关项的轻量级高隐蔽性硬件木马安全威胁.该木马设计方法将轻量级木马设计隐藏于电路正常工作条件下无法覆盖到的可满足性无关项中,使插入木马后的电路设计与原始设计完全功能等价.攻击者只需利用简单的故障注入攻击手段即可激活木马.基于1024位RSA密码核的实验结果显示,所给出的木马设计能够逃避逻辑综合优化,通过故障注入攻击能够有效恢复RSA密码核的私钥.在此基础上,提出了一种能够有效检测该高隐蔽性木马设计的防御手段.
-
-
-
宋紫华;
郭春;
蒋朝惠
-
-
摘要:
木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害.对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署.为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型.实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性.
-
-
-
-
刘科科;
王丹辉;
郑学欣;
郭静
-
-
摘要:
APT(高级持续性威胁)是专门针对特定组织所作的复杂且多方位的高级渗透攻击.本文提出了一种基于活动行为特征关联分析的APT攻击行为检测模型,从恶意行为代码感知、软件安全漏洞感知、典型攻击行为感知、综合关联分析四个方面来实现对APT攻击行为的监测预警,并将其有效应用于APT攻击检测系统,为未来APT攻击防御产品的研发提供了一种新的思路.
-
-
刘晓蕾;
张琼尹;
任磊;
苏展飞
-
-
摘要:
DNS是重要的网络基础设施,可以对IP地址以及域名做出更改,由于DNS协议具有一定的特殊性,导致防火墙等常规安全软件不会对DNS进行拦截,逐渐形成DNS隐蔽隧道,为木马病毒的入侵提供了便利条件,严重威胁到了正常的网络信息安全,所以,本文基于此进行分析,通过提取DNS隧道木马通信行为特征,进一步探究隧道木马检测技术.
-
-
胡向东;
白银;
张峰;
林家富;
李林乐
-
-
摘要:
针对木马能以隐蔽的方式盗取用户敏感信息、文件资源或远程监控用户行为,对网络安全构成极大威胁,提出一种基于流量特征的木马检测方法,通过统计分析服务器端口有序性、服务器使用客户端端口号、客户端发包数、服务器端发包数等特征,使用支持向量机(support vector machine,SVM)算法进行分类训练并建立基于流量的木马监测模型;基于流量特征的普遍性和通用性,该方法对于未知木马也比较有效.仿真测试结果表明,所提出方法具备对常见木马或未知木马的良好检测能力,实验条件下盲检测准确率可达96.61%.%Trojans can steal sensitive user information or file resources,or remotely monitor of user behavior in a hidden way,which poses a great threat to network security,therefore,the Trojan detection methods based on traffic characteristics is proposed,and the support vector machine (SVM) algorithm was used (for classification by statistically analyzing such characteristics as the ports' order of a server,the client's port number used by server,the data packets number from client,and the of data packets number from server,etc.The optimal detection parameters are obtained and the traffic-based Trojan monitoring model is built according to the training results.Because of the generalization and universality of traffic characteristics,the proposed methods also have some effects on those unknown Trojans.The simulation results show that the proposed methods have good detection ability for either common Trojans or unknown Trojans,and the blind detection accuracy rate can be up to 96.61% under certain experiment conditions.
-
-
ZHAO Wei;
赵巍;
QIN Jie;
秦杰;
GUO Jia;
郭佳;
ZHANG Chen;
张辰
- 《第2届河南省计算机专业研究生“尖峰”论坛》
| 2014年
-
摘要:
针对木马检测技术的研究现状和难题,提出了基于模糊不确定性推理的木马检测技术.通过对木马行为特征的抽象描述,获取模糊攻击知识,建立一个模糊攻击知识库,并通过模糊推理来响应系统攻击,从而分析判断被检测的程序是否是木马程序,并作出相应处理.实验表明,与传统的木马检测技术相比,该检测技术准确率高,检测范围广,占用系统资源少.
-
-
-
杨卫军;
张舒;
胡光俊
- 《第26次全国计算机安全学术交流会》
| 2011年
-
摘要:
计算机木马检测方法有文件静态分析、网络通信分析、系统调用挂钩分析、行为监控等,但单一方法不足以满足木马检测实践需求。通过构建木马攻击状态树模型确定木马策略集,并依据策略集进行木马检测,最终检测出木马并确定检测的量化收益,然后反向推导木马安装、运行过程,并确定木马的量化难度。
-
-
胡光俊;
朱平
- 《第24次全国计算机安全学术交流会》
| 2009年
-
摘要:
通过分析计算机木马检测系统木马检测的特点,提出了基于不完全信息动态博弈理论的检测策略选择方法。视木马程序与检测系统构成博弈主体,计算在对方不同策略下自身的收益,最后使用达到纳什均衡时检测系统使用的策略作为选择策略。
-
-
LI Wei;
李巍;
LI Li-hui;
李丽辉;
LI Jia;
李佳;
LIN Shen-wen;
林绅文;
YAN Han-bing;
严寒冰
- 《2015中国计算机网络安全年会》
| 2015年
-
摘要:
随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题.目前,木马是网络安全最严重的威胁之一,主要的检测方法是基于特征码的木马检测和基于行为的木马检测.论文从远程控制类型木马通信的三个阶段分析其流量行为特征,分析发现木马在建立连接阶段会有动态DNS行为,并且在数据传输时报文会置PSH标志位为1,导致PSH报文数量增大,以及在命令交互阶段上下行流量不对称、小数据包比例大和保持连接阶段会有心跳数据包等特征;实验比较正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,为木马流量行为特征识别提供依据.
-