木马行为检测论文-黄学强

木马行为检测论文-黄学强

导读:本文包含了木马行为检测论文开题报告文献综述及选题提纲参考文献,主要关键词:木马病毒检测,N-Gram特征,信息增益,支持向量机

木马行为检测论文文献综述

黄学强[1](2019)在《基于网络行为分析的木马病毒检测算法》一文中研究指出木马病毒检测是保证计算机网络安全的关键。针对此问题,提出了一种基于网络行为分析的木马病毒检测方法。首先,提取变长度N-Gram特征作为木马行为特征;其次,针对NGram特征存在的冗余问题,采用信息增益进行筛选,提高特征对木马检测的针对性;最后,构建了一个基于支持向量机的木马病毒检测分类器。仿真实验结果表明,提出的检测方法能够有效检测各类木马病毒程序,且各项检测指标均优于目前检测方法。(本文来源于《信息技术》期刊2019年12期)

李恬爽[2](2019)在《基于提速K近邻算法的木马行为检测技术研究》一文中研究指出随着互联网技术的飞速发展,网络攻击充斥着我们的生活,黑客技术的提升使得传统防护手段难以有效应对变化多样的木马攻击。针对现有木马检测方法存在着普适性差、检测时间长等问题,为进一步提高检测的效率,设计一种高效的木马检测方案具有十分重要的意义。本文结合K近邻算法和Kmeans算法的优点,提出一种针对木马行为检测的提速K近邻分类算法CBBFKNN。CBBFKNN分类算法使用超长方体区域划分思想对训练集中的样本数据进行降维,采用Kmeans算法对降维后的样本数据进行聚类,引入模拟退火算法确定最优的聚类中心以避免Kmeans算法在选取聚类中心时陷入局部最优解,在聚类后的训练集上构建kd-tree。使用BBF算法的思想,在查询过程中记录查询路径上训练样本与待测样本间的距离,回溯检查优先级最高的K个训练样本,确定待测样本的类别。然后基于CBBFKNN分类算法提出一种木马行为检测方案,“核心模块提取行为特征模块”采用WinSock实现,“核心模块分类处理模块”采用CBBFKNN分类算法实现,使用准确率、误判率、漏检率以及检测的时间作为木马行为检测方案的评估标准。为验证CBBFKNN分类算法的有效性,在Iris数据集上对算法进行验证,结果表明CBBFKNN分类算法能够在准确率损失较小的情况下降低分类的时间。为验证木马行为检测方案的有效性,分别对方案中的提取行为特征模块以及分类处理模块进行验证。实验结果表明提取行为特征模块能够有效截获局域网内的数据流量,分类处理模块与SVM、朴素贝叶斯、K近邻算法相比能够保证较高的准确率以及较低的误判率和漏检率,并且能够更快的检测出木马,验证基于CBBFKNN算法的木马行为检测方案具有一定的可行性和有效性。(本文来源于《哈尔滨工程大学》期刊2019-01-01)

赵幸,刘胜利,刘雨辰,孟轶同[3](2018)在《一种基于序列分析的木马网络交互行为检测方法》一文中研究指出远程控制木马在网络攻击中发挥着重要作用。系统中木马一旦完成部署,则很难被发现,网络流量数据分析已成为重要的检测手段。传统的方法如机器学习,很少关注数据的序列性。相比用于其他领域,机器学习用于木马检测的误报率仍然较高。文章分析具有一般性的木马外部控制特征,提出了一种基于序列分析的检测方法。首先通过时间聚合分离出应用程序的交互行为,然后将频繁模式挖掘算法应用于心跳检测,最后用朴素贝叶斯验证交互序列是否属于木马。实验表明,该方法在一定的时间尺度内具有稳定性,可在交互的初期检测出木马。用现实网络流量数据对该方法进行验证,结果表明该方法可检测木马的外部控制行为,具有较低的误报率。(本文来源于《信息工程大学学报》期刊2018年06期)

刘晓蕾,张琼尹,任磊,苏展飞[4](2018)在《基于通信行为分析的DNS隧道木马检测技术探究》一文中研究指出DNS是重要的网络基础设施,可以对IP地址以及域名做出更改,由于DNS协议具有一定的特殊性,导致防火墙等常规安全软件不会对DNS进行拦截,逐渐形成DNS隐蔽隧道,为木马病毒的入侵提供了便利条件,严重威胁到了正常的网络信息安全,所以,本文基于此进行分析,通过提取DNS隧道木马通信行为特征,进一步探究隧道木马检测技术。(本文来源于《科技资讯》期刊2018年34期)

吴贤达[5](2018)在《基于异常网络行为的远控木马检测模型》一文中研究指出网络的飞速发展,极大地便利了信息的交互,为人们的学习,生活和工作带来了更加丰富的体验。但是由于网络平台的开放性强,以及各种安全机制的不完善,可能会存在一些攻击者利用远程控制类木马进行远程控制和信息窃取。此类木马感染的主机数量庞大,具有高隐蔽性和长持久性。由于这些木马的传播方式以及自身特性严重的影响了网络安全环境,因此对当前远控木马的检测现状进行了研究分析,对比了每项检测技术的优点和不足后提出了一种基于异常网络行为的远控木马检测方法并构建了检测模型。此模型能够有效挖掘网络中存在的远控木马通信信息,支持安全人员的分析取证。针对远控类木马的工作方式,以及在网络中的通信特点,提出了多元适用于发现远控类木马异常网络行为的网络特征,并设计了多元特征的提取方法。在设计中,这些多元的特征不仅仅来自于单一维度,而是结合了会话和流两个维度。网络行为特征的确定,为后续实现一个更加高效的远控类木马检测模型提供基础。在获取有效特征后,提出并实现了一个流量检测方案。在此方案中,从数据和算法双维度解决了流量检测中出现的数据不平衡问题,并在木马检测中首次引入了一个高效的检测算法。以数据维度来看,总体样本中,远控类木马样本占比较少,因此需要分析总样本中远控木马样本的分布特征,再通过现有特征合成人工的远控类木马样本注入到总体样本中。由此得到了平衡的数据集。在此数据维度基础上利用算法维度进行优化,首次将XGBoost算法引入到远控类木马检测中,利用栅格搜索和交叉验证的方法,完成对算法各项参数的优化。通过算法维度和数据维度的有效处理,提出并实现了一个基于异常网络行为的远控类木马检测模型。在模型搭建完毕后,进行了模型验证,该验证分别从叁个方面体现本模型的优势。首先,将所提出的模型和近期研究中常用的算法生成的模型检测同一网络流量,证实了提出的模型更适用于对远控类木马的检测。其次,对比了单纯从算法维度生成模型的检测结果与将数据维度和算法维度相结合的生成模型检测结果,证实了本模型采用的方法有效的降低了模型的漏报率。此外,为测试本模型检测未知木马的能力,在测试样本中加入了在训练样本中并未包含的远控类木马样本,由此证明了本检测模型已经能够初步检测未知的远控类木马。整个远控类木马检测模型的实现流程主要包括对流量数据的收集,数据的预处理,行为特征的提取和异常流量的检测。(本文来源于《北京工业大学》期刊2018-06-01)

张卫丰,刘蕊成,许蕾[6](2018)在《基于动态行为分析的网页木马检测方法》一文中研究指出网页木马是一种在网页中插入攻击脚本,利用浏览器及其插件中的漏洞,使受害者的系统静默地下载并安装恶意程序的攻击形式.结合动态程序分析和机器学习方法,提出了基于动态行为分析的网页木马检测方法.首先,针对网页木马攻击中的着陆页上的攻击脚本获取行为,监控动态执行函数执行,包括动态生成函数执行、脚本插入、页面插入和URL跳转,并根据一套规则提取这些行为,此外,提取与其相关的字符串操作记录作为特征;其次,针对利用堆恶意操作注入shellcode的行为,提出堆危险指标作为特征;最后,从Alexa和Virus Share收集了500个网页样本作为数据集,用机器学习方法训练分类模型.实验结果表明,与现有方法相比,该方法具有准确率高(96.94%)、可有效地对抗代码混淆的干扰(较低的误报率6.1%和漏报率1.3%)等优点.(本文来源于《软件学报》期刊2018年05期)

徐鹏[7](2018)在《基于深度卷积神经网络的木马行为特征检测算法设计实现》一文中研究指出随着越来越多的行业与互联网结合在一起,“互联网+”模式已经席卷生活中的方方面面。但是“互联网+”模式也带来新的风险和挑战,随着木马、病毒等恶意程序的技术革新,私人信息暴露与蓄意破坏问题越来越严重。据国家互联网应急中心的统计,安全问题中最主要的因素就是木马,这意味着研究木马检测技术有十分重要的意义。通过对现有木马检测技术的对比,确定将具有动态行为特征的木马检测技术作为主要研究目标。从动态行为特征问题出发,进行如下研究:建立行为特征库,数据化行为特征和设定基于Gini指数的数据格式化规则;从分类算法问题出发,进行如下研究:设计深度卷积神经网络结构和训练方法。通过上两部分内容的研究,提出基于深度卷积神经网络的木马行为特征检测算法。本文最后构建了实验环境,对基于深度卷积神经网络的木马行为特征检测算法进行测试。对比实验给基于深度卷积神经网络的木马行为特征检测算法的优劣。(本文来源于《哈尔滨工程大学》期刊2018-01-01)

何鑫[8](2017)在《基于深度学习的木马网络行为检测系统设计与实现》一文中研究指出随着互联网规模的不断增大以及应用范围的持续扩张,木马等恶意软件对用户的威胁也越来越大。在不断地与防护软件的对抗中,木马的隐藏与逃避技术也在不断发展进步,基于特征码匹配的检测技术对新型木马的检测效率已经大大降低。而基于行为模式的检测模型一直是研究的热点,也被认为是最有前途的检测方式。提出一种木马网络行为检测模型,基于深度学习自动提取数据流特征进行流量识别。基于循环神经网络擅长处理序列数据的优点,对软件通信数据流进行分析。首先以一个典型的木马样本为例分析了木马软件在网络行为上的特征。之后对软件的通信数据包进行分析,提取了有效的输入向量,减少了数据分析系统的数据处理量。然后结合输入向量的特征建立了LSTM模型,对输入数据进行时间序列特征的提取,之后使用多层CNN网络结构对特征进行进一步抽象分类。建立分析模型之后,结合PF_RING和TensorFlow实现了一个从数据包捕获到数据包预处理,直至行为分析与样本反馈管理的整个系统。基于实验室的硬件环境,搭建了模拟实验平台。通过搜集网络上已公开的木马样本,捕获了一定数量的木马通信数据流,对整个系统进行了训练,并做了实验验证。实验结果表明,提出的基于深度学习的木马检测系统是有效的,在一定的条件下能较准确的判断网络通信数据流的行为倾向。(本文来源于《华中科技大学》期刊2017-05-01)

罗友强[9](2017)在《基于通信行为分析的DNS隧道木马检测技术研究》一文中研究指出DNS(Domain Name System)是一种将域名和IP地址相互映射的一个分布式数据库,是互联网最重要的基础设施之一。由于防火墙、入侵检测系统、安全软件等一般的安全策略不会对DNS报文进行阻拦,这就为基于DNS协议隐蔽隧道的构建创造了得天独厚的优势。起初,开发者研究DNS隧道工具的初衷是希望跳过上网登录认证,实现免费上网。如今,DNS隧道逐渐被一些新型木马作为远程控制的方式,严重危害网络安全。针对该问题,本文提出一种基于通信行为分析的DNS隧道木马检测技术。该方法从DNS会话的视角剖析了DNS隧道木马的通信模式,提取了八大区别于正常的DNS会话特征的属性,利用改进随机森林算法构建分类训练器,最终建立了DNS隧道木马检测模型。本文完成的主要工作如下:首先,总结当前DNS隧道技术发展,研究了DNS隧道通信机理,重点剖析域名型DNS隧道木马的穿透防火墙的隐蔽传输过程,并将DNS隧道木马划分为两个主要阶段:上线请求阶段和交互传输阶段;运用有限状态自动机语言构建了DNS隧道木马通信行为状态迁移模型。其次,提出了以通信行为分析方法的DNS隧道木马检测技术。针对传统以载荷检测和流量监测为主的DNS隧道检测手段误报率高,不能有效识别新型DNS隧道木马的问题,提出了基于通信行为分析的检测方法。该方法以DNS会话的视角分析了正常DNS通信会话与DNS隧道木马通信会话的八大特征,生成了分类效果较好、通用性较强的行为属性集合,提取了DNS会话实时评估向量和DNS会话备选评估向量。再次,提出了一种基于改进随机森林分类算法的决策模型。传统单一分类器分类效果和泛化能力相比多分类器算法效果差,本文从随机森林算法出发,针对传统随机森林算法处理不平衡数据集时存在的问题,提出了基于核负类产生新负类样本的随机森林采样算法,并对改进的随机森林算法在分类性能和泛化误差方面进行了测试评估。在此基础上,结合提取的DNS评估向量,建立了基于改进随机森林算法的DNS隧道木马检测训练模型。最后,设计并实现了基于通信行为分析的DNS隧道木马检测系统,并用实验对系统的有效性和实用性进行测试。该检测模型主要包含数据包采集整合模块、DNS会话重组模块、随机森林分类训练学习模块和DNS隧道木马流量检测模块四大部分。实验测试表明本文提出的基于通信行为分析的DNS隧道木马检测技术不仅能有效的侦测出高隐蔽性DNS隧道木马,误报率小和漏报率低,而且对于未知的DNS隧道木马同样有很好的检测效果。(本文来源于《解放军信息工程大学》期刊2017-04-18)

张琦,李梅[10](2016)在《基于行为分析的木马检测系统设计与实现》一文中研究指出随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。(本文来源于《电子技术与软件工程》期刊2016年18期)

木马行为检测论文开题报告

(1)论文研究背景及目的

此处内容要求:

首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。

写法范例:

随着互联网技术的飞速发展,网络攻击充斥着我们的生活,黑客技术的提升使得传统防护手段难以有效应对变化多样的木马攻击。针对现有木马检测方法存在着普适性差、检测时间长等问题,为进一步提高检测的效率,设计一种高效的木马检测方案具有十分重要的意义。本文结合K近邻算法和Kmeans算法的优点,提出一种针对木马行为检测的提速K近邻分类算法CBBFKNN。CBBFKNN分类算法使用超长方体区域划分思想对训练集中的样本数据进行降维,采用Kmeans算法对降维后的样本数据进行聚类,引入模拟退火算法确定最优的聚类中心以避免Kmeans算法在选取聚类中心时陷入局部最优解,在聚类后的训练集上构建kd-tree。使用BBF算法的思想,在查询过程中记录查询路径上训练样本与待测样本间的距离,回溯检查优先级最高的K个训练样本,确定待测样本的类别。然后基于CBBFKNN分类算法提出一种木马行为检测方案,“核心模块提取行为特征模块”采用WinSock实现,“核心模块分类处理模块”采用CBBFKNN分类算法实现,使用准确率、误判率、漏检率以及检测的时间作为木马行为检测方案的评估标准。为验证CBBFKNN分类算法的有效性,在Iris数据集上对算法进行验证,结果表明CBBFKNN分类算法能够在准确率损失较小的情况下降低分类的时间。为验证木马行为检测方案的有效性,分别对方案中的提取行为特征模块以及分类处理模块进行验证。实验结果表明提取行为特征模块能够有效截获局域网内的数据流量,分类处理模块与SVM、朴素贝叶斯、K近邻算法相比能够保证较高的准确率以及较低的误判率和漏检率,并且能够更快的检测出木马,验证基于CBBFKNN算法的木马行为检测方案具有一定的可行性和有效性。

(2)本文研究方法

调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。

观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。

实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。

文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。

实证研究法:依据现有的科学理论和实践的需要提出设计。

定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。

定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。

跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。

功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。

模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。

木马行为检测论文参考文献

[1].黄学强.基于网络行为分析的木马病毒检测算法[J].信息技术.2019

[2].李恬爽.基于提速K近邻算法的木马行为检测技术研究[D].哈尔滨工程大学.2019

[3].赵幸,刘胜利,刘雨辰,孟轶同.一种基于序列分析的木马网络交互行为检测方法[J].信息工程大学学报.2018

[4].刘晓蕾,张琼尹,任磊,苏展飞.基于通信行为分析的DNS隧道木马检测技术探究[J].科技资讯.2018

[5].吴贤达.基于异常网络行为的远控木马检测模型[D].北京工业大学.2018

[6].张卫丰,刘蕊成,许蕾.基于动态行为分析的网页木马检测方法[J].软件学报.2018

[7].徐鹏.基于深度卷积神经网络的木马行为特征检测算法设计实现[D].哈尔滨工程大学.2018

[8].何鑫.基于深度学习的木马网络行为检测系统设计与实现[D].华中科技大学.2017

[9].罗友强.基于通信行为分析的DNS隧道木马检测技术研究[D].解放军信息工程大学.2017

[10].张琦,李梅.基于行为分析的木马检测系统设计与实现[J].电子技术与软件工程.2016

标签:;  ;  ;  ;  

木马行为检测论文-黄学强
下载Doc文档

猜你喜欢