基于网络活动分析的窃密木马检测技术研究
基本信息
结项摘要
In the field of network security, the use of espionage Trojan steal phenomenon is more serious for all kinds of information. In order to solve this problem, there are many targeted solutions which is a lot of work for data identification and marking content itself, and detecting spy software feature codes also accounted for a larger proportion. Although these methods can obtain high detection accuracy, but they failed to deal with encryption, and the emergence of shell technology, at the same time, they also need to maintain a constant increase of sample library..According to the above problem, this project is combined with the current trend of cyber spying means, from a confused encryption technology, to reduce the computational overhead and maintenance costs, reduce the protection system of cyber spying action detection technology. This project proposes a new network espionage behavior detection method based on NetFlow records file, on this basis, the research on the communication session an ip-based remote control type Trojan network behavior detection method, at the same time both the HTTP tunnel inspection and Trojan for C&C communication based on TCP connection and testing method of spy software communication transmission behavior, ultimately achieve a smaller computational overhead, protection system maintenance costs lower detection system.
在网络安全领域中,利用窃密木马进行各类信息窃取的现象愈发严重,为解决这一问题,出现了很多有针对性的解决方法,其中大量的工作是针对数据内容本身的识别和标记,对窃密软件特征码的检测也占到了较大的比例。虽然这些方法能够取得较高的检测准确率,但是它们无法应对加密、加壳技术的出现,同时还需要维护一个不断增大的样本库。.针对上述问题,本项目拟结合当前网络窃密手段的主流趋势,从应对加密混淆技术、降低计算开销和减少防护系统维护成本等方面出发,对网络窃密行为的检测技术展开研究。本项目提出了一种新的基于NetFlow记录文件的网络窃密行为检测方法,以此为基础,研究一种基于IP对通信会话的远控型木马网络行为检测方法,同时对对HTTP 隧道检测和木马 C&C 通信检测提出基于TCP连接的窃密软件通信传输行为的检测方法,最终实现一个计算开销较小,防护系统维护成本较低的检测系统。
项目摘要
在网络安全领域中,利用窃密木马进行各类信息窃取的现象愈发严重,为解决这一问题,出现了很多有针对性的解决方法,继基于特征码的静态检测和基于主机行为的动态检测之后,基于网络流量行为的动态检测成为新的研究热点。本项目结合当前网络窃密手段的主流趋势,从应对加密混淆技术、降低计算开销和减少防护系统维护成本等方面出发,对木马检测技术展开研究。具体从流量数据采集方法的研究、基于会话过程特征的木马检测方法的研究、其他类型木马的检测方法探索三个方面展开研究,并取得以下成果:.1)流量数据采集方法的研究.针对目前在获取流量数据方面普遍存在采集困难、特征统计繁琐等问题,本项目研究并应用Flexible Netflow技术进行原始流量数据的获取。Flexible Netflow能够在网络设备上对流经网络设备的网络流量实现自动的抽样统计,能够支持广泛协议范围的流量统计,简化了配置的复杂性,支持用户方便地自定义采集内容,具有更好的灵活性、扩展性和集成性,能够同时满足不同用户不同的应用需求,显著提高木马检测系统的整体性能和实际应用前景。.2)基于会话过程特征的木马检测方法的研究.基于流量行为的木马有效检测依赖于流量特征选择和分类学习方法的结合研究。在流量特征选择方面,本研究从横向和纵向两个方面进行研究。横向上对通信的不同阶段进行网络行为特征分析与提取,纵向上则在不同的网络层次上进行特征选择,全方位对木马行为进行精准刻画。在分类学习方法的设计方面,主要基于C4.5决策树、随机森林等机器学习算法设计了加权集成分类算法。.3)其他类型木马的检测方法探索.针对目前越来越多的攻击者开始将攻击目标转向计算机底层,意图通过硬件木马来达到攻击目的问题,本项目对基于旁路信号和机器学习的硬件木马检测技术进行研究,提出了基于主成分分析和Logistics Regression的旁路硬件木马检测模型。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
玉米叶向值的全基因组关联分析
玉米叶向值的全基因组关联分析
跨社交网络用户对齐技术综述
跨社交网络用户对齐技术综述
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
硬件木马:关键问题研究进展及新动向
硬件木马:关键问题研究进展及新动向
基于SSVEP 直接脑控机器人方向和速度研究
基于SSVEP 直接脑控机器人方向和速度研究
张金玲的其他基金
相似国自然基金
基于旁路分析的硬件木马检测关键技术研究
众核片上网络芯片的硬件木马在线检测关键技术研究
无参考模型的硬件木马检测技术研究
骨干网环境下基于访问行为及其无指导学习模型的网络失窃密异常检测