基于融合序列的远控木马流量检测模型

针对现有远控木马流量检测方法泛化能力较弱、表征能力有限和预警滞后等问题,提出了一种基于融合序列的远控木马流量检测模型。通过深入分析正常应用网络流量与远控木马流量在包长序列、包负载长度序列和包时间间隔序列方面的差异,将流量表征为融合序列。将融合序列输入Transformer模型,利用多头注意力机制与残差连接挖掘融合序列内在联系,学习木马通信行为模式,有效地提升了对远控木马流量的检测能力与模型的泛化能力。所提模型仅需提取网络会话的前20个数据包进行检测,就能够在木马入侵早期做出及时预警。对比实验结果表明,模型不仅在已知数据中具有优异的检测效果,在未知流量测试集上同样表现出色,相比当前已有的深度学习模型,各项检测指标有较大提升,在远控木马流量检测领域具备实际应用价值。

嵌入式计算机木马设计

阐述了通过利用操作系统和应用程序的漏洞,利用系统自身提供的网络服务,利用病毒实现技术等方法,将木马线程嵌入到第三方网络应用中,从而设计出更为隐蔽的、一般能躲避各种检测系统检测的嵌入式木马程序.

特洛伊木马技术的研究与VC实现

随着计算机技术的发展,木马作为网络入侵的一种常用工具,对计算机网络信息安全构成的威胁越来越大.本文研究了木马实现技术,并对木马的防范与查杀技术进行了深入的分析,基于VC++6.0平台设计了采用反向链接技术的"端口反弹"型木马,该木马种植起来较容易,并对其提出了相应的木马查杀工具,能有效地检测和清除该木马,有助于木马程序的研究和防范.

基于行为分析的计算机木马检测系统设计与实现

该文基于行为分析设计的计算机木马检测系统,由监控模块、响应模块、行为判定模块、信息收集模块以及木马行为特征库等构成。该系统可以对注册表、文件、通信等对象进行监测,并分析监测对象的行为信息。将行为信息的权值相加与设定阈值对比,根据对比结果判定是否为木马程序。如果确定为木马,则中止该程序的运行,保护系统安全,同时修复被木马删除、篡改的文件;如果不是木马,则允许程序正常运行,并继续监视程序。

IP软核硬件木马图谱特征分析检测方法

随着集成电路技术的飞速发展,芯片在设计、生产和封装过程中,很容易被恶意植入硬件木马逻辑,当前IP软核的安全检测方法逻辑复杂、容易错漏且无法对加密IP软核进行检测。该文利用非可控IP软核与硬件木马寄存器传输级(RTL)代码灰度图谱的特征差异,提出一种基于图谱特征分析的IP软核硬件木马检测方法,通过图谱转换和图谱增强得到标准图谱,利用纹理特征提取匹配算法实现硬件木马检测。实验使用设计阶段被植入7类典型木马的功能逻辑单元为实验对象,检测结果显示7类典型硬件木马的检测正确率均达到了90%以上,图像增强后特征点匹配成功数量的平均增长率达到了13.24%,有效提高了硬件木马检测的效率。

基于灰度图谱分析的IP软核硬件木马检测方法

随着芯片设计、制造、封装等流程的分工细化,利用第三方知识产权(IP)软核进行二次开发可以明显提升设计效率,减少重复工作。但是大量非自主可控IP软核被用于加速设计时,可能导致芯片在设计阶段被植入硬件木马,使得芯片安全性难以保证。当前IP软核安全检测方法主要依赖功能测试、代码覆盖率和翻转率分析,或在语义层面进行关键字匹配,且无法对加密IP软核进行检测。在分析硬件木马结构及其在IP软核中实现特征的基础上,利用非可控IP软核与“Golden”IP软核中寄存器传输级(RTL)代码灰度图谱的特征差异,基于Trust-Hub构建“Golden”软核集,提出基于灰度图谱特征的IP软核硬件木马检测模型和算法。以功能篡改型IP软核B19-T100为实验对象,通过调整合适的成像矩阵参数,利用分块匹配对比方式实现硬件木马检测,结果表明,该算法的检测精度达97.18%。在对B19、B15、S38417等5类共18个样本进行测试时,所提算法的平均检测精度达92%以上,表明其可实现对硬件木马的有效识别,检测精度和适用性较强。

基于随机博弈网的窃密木马诱导式博弈模型

为实现长期窃取信息的目的,窃密木马通常采用触发执行策略来实施其恶意行为,使得其恶意行为的执行具有高隐蔽性和不确定性。主流的窃密木马防御模型采用被动监测窃密木马行为并加以检测的被动防御策略,容易出现漏报和检测不及时的情况。为了提升窃密木马防御模型的防御效果,文章引入诱导操作以构建窃密木马诱导式防御策略,并使用随机博弈网对窃密木马和防御方的攻防对抗过程进行建模分析,构建了IGMDT-SGN。IGMDT-SGN直观揭示了防御方运用诱导式防御策略来对抗窃密木马的策略性逻辑和时序关系。通过模型量化计算对IGMDT-SGN中诱导式防御策略的防御效果进行定量分析,结果表明,窃密木马诱导式防御策略在防御成功率、防御平均时间上优于窃密木马被动防御策略,可为窃密木马的防御提供有益参考。

网络安全之键盘记录型木马防御策略研究

文章阐述了键盘木马的特点、作用及其工作原理,并以VBS键盘记录木马为例介绍了键盘木马从移植、监听到邮件通讯的整个过程,最后总结出防御键盘木马的主要策略和方法。

基于安全风险的RTL级硬件木马验证研究

信息时代使得信息安全变得日益重要。攻击方为了获取想要的信息,除了使用软件方面的手段,如病毒、蠕虫、软件木马等,也使用硬件手段来威胁设备、系统和数据的安全,如在芯片中植入硬件木马等。如果将硬件木马植入信息处理的核心--处理器,那将风险更高、危害更大。然而,硬件木马位于信息系统底层核心的层面,难以被检测和发现出来。硬件木马是国内外学术界研究的热点课题,尤其是在设计阶段结合源代码的硬件木马检测问题,是新问题,也是有实际需要的问题。在上述背景下,围绕源代码中硬件木马的检测和验证展开了研究。基于硬件木马危害结果属性,在学术上提出基于安全风险的模型和验证规则,给出相应的描述形式,从理论上说明安全验证规则在减少验证盲目性、缩小可疑代码范围、提高评估效率的作用,实验表明,基于安全风险规则的验证,可以避免验证的盲目性和测试空间向量膨胀的问题,有效验证疑似硬件木马的存在和危害,对源代码安全评估是有一定效果的。

基于可控制性度量的图神经网络门级硬件木马检测方法

随着全球化的不断深入,第三方知识产权(IP)核应用越来越广泛。随着硬件木马攻击技术逐渐成熟,使得在芯片设计阶段植入硬件木马成为可能。因此,在芯片设计过程中面临IP核被植入木马的严重威胁,现有研究所提的硬件木马检测方法具有依赖黄金参考电路、需要完备的测试向量、大量的样本进行学习等特征。面向IP核的硬件木马检测需求,提出一种基于可控制性度量的图神经网络检测方法。该方法以门级网表作为输入,首先以可控制性值为指导,得到可疑的门节点,用于缩小搜索范围;然后利用可疑门节点生成对应的子图,利用图卷积神经网络从子图中提取特征,实现对子图的分类和检测,最终识别硬件木马。实验结果表明,该方法无须测试激励和黄金模型,利用硬件木马的隐蔽特性与结构特征相结合的方法提升硬件木马的检测准确率,平均真阳率为100%,假阳率为0.75%,在保证较高真阳率的同时可有效降低假阳率,达到较好的检测效果。

基于路径延迟故障序列的硬件木马检测方法

针对基于侧信道信号的硬件木马检测普遍面临的两类问题,即需要黄金芯片和信号测量成本大,提出一种利用路径延迟故障序列的检测方法。基于时序冲突时电路路径产生延迟故障的先后顺序,间接利用路径延迟之间相对大小关系产生芯片检测ID;检测不依赖于黄金芯片,且在大范围的环境变化和工艺偏差下具有稳定性;故障序列在芯片设计阶段仿真获得,无需额外硬件开销。对ISCAS-89基准和AES-128电路实例验证了检测的有效性,其可成功检测插入的两种类型硬件木马。

浅谈对木马的认识

随着科学技术的迅速发展,计算机已经和我们的工作、生活密不可分,当我们感受到计算机给我们带来便利的同时,木马也随之产生,加强对木马知识的了解是很有必要。

Android手机木马病毒的提取与分析

为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码.结合实例,讲述了如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定.

基于GSCPN的硬件木马攻击建模与安全性分析

针对硬件木马(hardware trojan,HT)的研究主要集中在HT设计和防御的具体策略,缺乏面向HT攻击的系统安全性量化评估模型的问题,提出了基于广义随机着色petri网(generalized stochastic coloring petri net,GSCPN)的HT攻击和安全评估模型。基于单个基本单元的HT攻击行为和状态之间的时序关系,构建了单个基本单元的HT攻击GSCPN模型,根据系统工作状态下基本单元的通信依赖关系,给出了构建系统HT攻击GSCPN模型的通用方法。求解了与GSCPN模型同构的马尔可夫链的解析解,以及采用蒙特卡罗模拟方法的仿真解,二者的误差仅为0.00183,验证了所提方法建模的准确性。通过案例分析了不同场景下系统的安全性,实验结果表明,木马攻击强度、木马恢复时间和任务执行时间均对安全性有不同程度的影响。

硬件木马技术研究综述

集成电路芯片在设计、制造及使用过程中都可能会被植入硬件木马,电子设备的安全受到极大威胁。近年来,硬件木马的设计和检测技术逐渐受到重视,已成为研究热点。首先分析了硬件木马的特性和概念,然后在介绍硬件木马主要分类方法的基础上,提出了用于评价硬件木马隐藏特性的功能分散粒度、激活概率和阈值功耗等衡量指标。探讨了几种典型硬件木马的设计思路和检测方法,分析了硬件木马检测方法存在的问题与面临的挑战,最后对硬件木马相关技术的研究与发展提出建议。

一种基于快速激活的硬件木马检测法

硬件木马因其巨大的潜在威胁而受到学术界和工业界越来越广泛的关注,而传统的测试技术很难发现这些硬件木马,因此,针对硬件木马的隐藏机制,提出了一种快速激活并检测木马的方法,通过将木马原型植入微处理器OR1200中,并利用大量测试用例激励,激活了木马,验证了该方法的正确性。

基于马氏距离的硬件木马检测方法

集成电路芯片在不受控的制造过程中可能会被嵌入恶意电路结构,形成硬件木马,给集成电路芯片的可信度带来极大的安全隐患。传统的测试技术很难发现这些硬件木马。针对这一问题,提出一种基于马氏距离的非破坏性硬件木马检测方法。通过对128位AES(Advanced Encryption Standard)加密电路的功耗仿真实验,对该方法进行验证。实验结果表明,基于马氏距离的硬件木马检测方法能够检测出面积比AES电路小2个数量级的硬件木马。

基于相关性分析的硬件木马检测方法

为提高硬件木马检测的准确率,提出一种基于相关性分析的检测方法。在完成木马功耗建模的基础上,提出并分析利用经典相关系数进行木马检测的可行性以及存在的缺点,根据木马检测的特点,优化检测系数,给出利用区间重叠比作为木马判定依据的检测方法。实验结果表明,与采用经典相关系数的方法相比,该方法在降低约6%检测准确率的前提下,能使鲁棒性提高1倍以上。

基于网络驱动技术的木马通信检测系统

为提高木马程序的网络通信检测率,在比较各种包截获技术优缺点的基础上,设计并实现一种基于NDIS Hook驱动的木马通信检测系统,给出主要模块和数据结构,提出基于网络通信行为分析技术的木马通信识别模型。测试结果表明,该模型能降低误报率和漏报率,可截获所有网络通信数据包,识别新的木马通信。