未知木马病毒检测防范研究与探索

近年来,国内外网络安全形势严峻,国际地缘政治风险加剧,各种类型的网络攻击层出不穷,其中未知木马病毒入侵是最常见的攻击手法之一。未知木马病毒是指无法被现有防护系统特征库和病毒码识别的病毒。由于未知木马病毒未能被事先知晓并检测查杀,因此攻击不易被觉察。如果未知木马病毒成功入侵,可能导致数据泄露、系统无法正常运行,从而造成巨大损失。

基于网络流量特征的未知木马检测技术及其实现

文章首先介绍了当前网络环境下木马检测的经典方法、优缺点及其面临的挑战,然后从木马网络通信的本质特征出发,提出了基于网络流量特征的未知木马检测方案,描述了原型系统的设计方案及实现。通过测试结果表明,该方案可有效检测各类未知木马软件,保证高检出率的同时,误报率低。

人工免疫在未知木马检测中的应用研究

针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。

基于Linux的未知木马检测系统研究及实现

针对传统木马检测方法对未知木马识别能力低下的缺陷,结合行为监控和人工免疫学,建立并实现了一个基于Linux的未知木马检测系统。该系统具备自主检测和自学习功能,结合内容检测,利用网络监控检测局域网内部计算机的木马存在情况。实验测试表明,该系统降低了检测的漏报率,具有良好的检测效果。

基于频繁行为挖掘的未知木马检测技术

本文针对木马检测技术的研究现状和难题,提出了频繁行为挖掘的未知木马检测技术。通过对历史木马的行为序列进行据挖掘分析,形成频繁行为知识库,然后采用朴素贝叶斯算法,快速判定目标程序是木马程序的可能性,并关联目标程序与知识库中频繁行为序列,寻找最相似行为,采用匹配序列的后缀行为预测木马后续攻击。