基于攻击树的木马检测方法

木马是以获取主机控制权和窃取信息为主要目的恶意程序,对网络安全和信息安全造成极大危害。研究并总结了木马攻击行为的规律,提出了一种通过静态分析PE文件来发现木马的方法。对现有的攻击树模型进行改进,设计了扩展攻击树模型,以此对木马攻击中常见的危险系统调用序列进行建模,将分析PE文件得到的API调用集合与建模得到的攻击树作匹配,来预测程序中可能存在的攻击行为,并能有效地区分木马文件和正常文件。

基于行为序列灰色模糊判定的计算机木马检测方法

针对计算机木马判定困难的问题,提出了一种对行为序列进行多属性灰色模糊木马判定的方法.通过对计算机木马定性分析构建了木马攻击树,归纳了木马使用攻击树叶子节点方法实现不同功能的概率等级.使用基于木马行为的检测技术检测出主机包含网络通信、隐蔽运行、开机启动、自我防护四要素的所有行为序列,视这些行为序列为木马设计方案,使用模糊数量化定性指标,将灰色系统理论与模糊优选结合,计算各方案的木马灰色模糊的优属度,最后使用危险指数进行木马判定.应用示例表明该方法可以有效区分正常程序,检出木马程序.

基于攻击树模型的木马检测方法

计算机木马检测方法有文件静态分析、网络通信分析、系统调用挂钩分析、行为监控等,但单一方法不足以满足木马检测实践需求。通过构建木马攻击状态树模型确定木马策略集,并依据策略集进行木马检测,最终检测出木马并确定检测的量化收益,然后反向推导木马安装、运行过程,并确定木马的量化难度。

一种改进的基于攻击树的木马分析与检测

木马是一种具有潜在威胁的程序,会对计算机造成不同程度危害,对于木马的检测与防范尤为重要。通过分析程序的PE文件提取API函数调用序列,将其分割为长度为k的短序列与攻击树匹配,再对攻击树各节点计算其发生的概率及恶意性权值,最后综合计算攻击树根节点代表事件的危险指数用来估计该程序与木马的相似程度,从而判断程序为木马程序或者包含木马部分的可能性,以准确地检测和防范木马攻击。

一种改进的基于扩展攻击树模型的木马检测方法

木马作为恶意程序的一种,经常被作为黑客入侵利用的手段,这对网络安全和信息安全将造成极大的危害。提出一种改进的基于扩展攻击树模型的木马检测方法。通过分析PE文件,采用静态分析和动态行为监控技术相结合的检测方法提取程序API调用序列;并用信息增益的方法筛选出木马关键API短序列集合,作为构建扩展攻击树模型的特征库;将待检测程序以API短序列为行为特征与模型节点进行匹配、分析,同时改进了匹配节点的权值和危险指数的算法。最后给出扩展攻击树模型调整与优化的方法。实验结果表明,改进后的方法不仅在木马检测效率、准确度方面有较好的表现,还能检测出经过升级变种的木马。

基于特洛伊木马攻击的多用户树型量子信令损伤模型及修复策略

提出了一个多用户量子信令树型传输系统,并详细阐述了信令的传输过程.研究了系统中信令受到特洛伊木马攻击的损伤模型及其修复的必要性.将量子密钥分发的思想引入量子信令安全的直接通信中,分析了采用非正交量子态,以克服特洛伊木马攻击的问题,从而提高了信令传输的安全性.对多用户量子信令树型传输系统进行改进,提出了新的广义的多用户量子信令树型拓扑传输模型.研究结果表明,本文所提出的对多用户信令攻击的修复策略可有效地防止特洛伊木马攻击,从而保证信令传输过程安全有效的进行.

基于稀有度与逻辑加密的硬件木马防护方法

为了进一步加强基于逻辑加密的硬件木马防护技术,针对稀有节点筛选与基于逻辑加密的硬件木马防护方法,提出基于稀有度的指标检测潜在的触发器节点。结合树形加密结构提出改进型逻辑加密技术,从而能够减小木马节点的误判率,有效防止硬件木马插入并提高对可满足性攻击的防护能力。通过对典型电路的实验分析,该方法可以有效提高对潜在触发器节点的筛选效率,在保证消除稀有节点的前提下进一步提升安全性。