CN105138919B - 一种基于条件随机场模型的指令型硬件木马检测方法 - Google Patents
一种基于条件随机场模型的指令型硬件木马检测方法 Download PDFInfo
- Publication number
- CN105138919B CN105138919B CN201510605436.8A CN201510605436A CN105138919B CN 105138919 B CN105138919 B CN 105138919B CN 201510605436 A CN201510605436 A CN 201510605436A CN 105138919 B CN105138919 B CN 105138919B
- Authority
- CN
- China
- Prior art keywords
- instruction
- section
- instruction set
- wooden horse
- row
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于条件随机场模型的指令型硬件木马检测方法,针对CPU、SoC等电路内部指令型硬件木马,通过构建指令特征标签和标注已有的木马指令和非木马指令,寻找木马指令的特征函数来预测指令是否为木马指令,相对于传统的在芯片上检测硬件木马的方法,大大缩短了试验时间,能够快速有效的检测出硬件指令木马,保证了工作效率。
Description
技术领域
本发明涉及一种基于条件随机场模型的指令型硬件木马检测方法。
背景技术
近年来发生的“斯诺登棱镜门”和“伊朗震网”等事件表明集成电路内的硬件木马可以作为一种武器来进行信息战,网络战,甚至物理摧毁军事装备与关键设施,严重威胁着国家安全。针对利比亚、叙利亚战争中多起披露的军用雷达失灵事件,各方普遍怀疑CPU内部存在能够对CPU进行远程控制的后门漏洞。因此采取有效措施来对集成电路内的硬件木马进行有效识别,保证集成电路的安全可信。
国内外对硬件木马检测的研究都是针对纯硬件的木马检测方法,目前主要有破坏性检测,系统运行检测,逻辑测试和旁路分析四种。其中研究最多的就是基于旁路分析的硬件木马检测技术。旁路分析是利用芯片工作时的旁路信息(如电磁辐射,电流或者电路延时等信息)来对木马进行检测。其原理是因为电路中植入的硬件木马会对芯片的一些旁路信号,如电流,频率或路径延时产生影响,因此通过观察芯片的旁路信号并与原始芯片的旁路信息作比较,进而检测出芯片中是否有硬件木马的存在。对电路进行基于旁路分析的硬件木马检测的最大优点是可以使硬件木马不被触发的情形下被检测出来,但是其也有显著的缺点,即当待测电路的规模很大,电路内部被植入的硬件木马的规模很小,一些旁路信息,比如电流和路径延时,其变化幅度极小。考虑到测量过程中引入的噪声,以及芯片制造过程中由于工艺漂移带来的噪声,这种极小的旁路信号变化将无法被实际测量出来或者即使被测量出来也难以确定时由于硬件木马引起的,还是由于测量噪声,工艺漂移噪声引起的。
但对于CPU、SOC等电路内部是否存在隐藏指令这一类固定型的硬件木马的研究基本处于空白状态,并且由于这类隐藏指令型硬件木马需要由软件控制来触发,因为传统的如基于旁路分析检测的技术,无法适用于这类硬件木马的检测,因此需要有全新的检测方法来专门应对CPU、SOC等电路内部指令型硬件木马的检测。
发明内容
针对上述技术问题,本发明所要解决的技术问题是提供一种基于条件随机场模型的指令型硬件木马检测方法,能够针对CPU、SoC等电路内部的指令型硬件木马实现快速检测,有效提高了工作效率。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于条件随机场模型的指令型硬件木马检测方法,根据已知类别指令集,采用条件随机场模型,针对未知类别指令集进行检测,判断未知类别指令集中的指令是否为木马指令;其中,已知类别指令集包括已知的木马指令和已知的非木马指令;所述检测方法包括如下步骤:
步骤001.构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个特征标签为木马指令标签,其对应的特征值表示指令为木马指令或非木马指令;
步骤002.分别针对已知类别指令集和未知类别指令集进行分段,并根据标注集分别进行指令标注,获得对应于已知类别指令集的训练指令集,以及对应于未知类别指令集的测试指令集;
步骤003.设置与训练指令集相对应的条件随机场模板,并结合条件随机场方法,针对训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型;
步骤004.采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,判断其中的指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。
作为本发明的一种优选技术方案:所述步骤002包括如下步骤:
步骤00201.分别针对已知类别指令集和未知类别指令集进行分段,获得分别对应于已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中,段指令的长度为预设个数指令位长度的整数倍;
步骤00202.将已知类别指令集所对应的各个段指令,按已知类别指令集中的指令顺序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于已知类别指令集的训练指令集;
同时,将未知类别指令集所对应的各个段指令,按未知类别指令集中的指令顺序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于未知类别指令集的测试指令集。
作为本发明的一种优选技术方案:所述步骤003中,所述条件随机场模板中包括与所述训练指令集中行结构相对应的各行,条件随机场模板中的各行上分别设置宏%x[row,col],分别确定了训练指令集中与之相对应的段指令,及其指令标注的特征值,其中,row表示训练指令集中与其所在条件随机场模板中的行相对应、距离当前位置的相对行,col表示row对应行上的绝对列。
作为本发明的一种优选技术方案:所述步骤004中,采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令检验集相较于测试指令集多出一列,该列为对段指令检测得到的木马指令标签的特征值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指令。
作为本发明的一种优选技术方案:所述步骤00201中,所述段指令的长度为4个指令位长度的整数倍。
本发明所述一种基于条件随机场模型的硬件指令木马检测方法采用以上技术方案与现有技术相比,具有以下技术效果:本发明设计的基于条件随机场模型的硬件指令木马检测方法,针对CPU、SoC等电路内部指令型硬件木马,通过构建指令特征标签和标注已有的木马指令和非木马指令,寻找木马指令的特征函数来预测指令是否为木马指令,相对于传统在芯片上检测硬件木马的方法,大大缩短了试验时间,能够快速有效的检测出硬件指令木马,保证了工作效率。
附图说明
图1是本发明设计基于条件随机场模型的硬件指令木马检测方法的流程框架图。
具体实施方式
下面结合说明书附图针对本发明的具体实施方式作进一步详细的说明。
现在的CPU体系中,指令是重要的组成部分,用户对CPU的各种操作,都是通过指令来完成的。由于当前在嵌入式领域使用较为广泛的CPU如PowerPC,ARM等授权型CPU内核,其指令集都是由国外公司开发,对于是否存在不在指令列表中的隐藏指令,无从得知,也缺乏相应的检测手段来识别其内部是否存在有隐藏指令触发的某种后门功能。一旦其存在隐藏指令,并且为攻击者所知,则攻击者就可以利用这些隐藏指令来取得芯片的控制权从而完成对电路或者系统的攻击。由于CPU硬件木马可以通过改变CPU内部电路结构或增加CPU内部电路的方式来植入,其触发除了依赖芯片内部状态以外,主要依赖外部的输入信号,所以从指令入手研究CPU硬件木马具有一定的可行性和现实意义。
基于上述情形,本发明提供了一种基于条件随机场模型(Conditional RandomField,CRF)的硬件指令木马检测方法,通过木马指令和非木马指令组成的已知类别指令集,预测未知类别指令集中指令是否为木马指令。如图1所示,本发明所设计一种基于条件随机场模型的硬件指令木马检测方法在实际应用过程当中,根据已知类别指令集,采用条件随机场模型,针对未知类别指令集进行检测,判断未知类别指令集中的指令是否为木马指令;其中,已知类别指令集包括已知的木马指令和已知的非木马指令;所述检测方法包括如下步骤:
步骤001.构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个特征标签为木马指令标签,其对应的特征值表示指令为木马指令或非木马指令。
步骤002.分别针对已知类别指令集和未知类别指令集进行分段,并根据标注集分别进行指令标注,获得对应于已知类别指令集的训练指令集,以及对应于未知类别指令集的测试指令集,其中,步骤002具体包括如下步骤:
步骤00201.分别针对已知类别指令集和未知类别指令集进行分段,获得分别对应于已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中,段指令的长度为4个指令位长度的整数倍。
步骤00202.将已知类别指令集所对应的各个段指令,按已知类别指令集中的指令顺序排成一列,一个段指令对应于一行,这样各行的段指令共占一列;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于已知类别指令集的训练指令集,对此,我们可以定义一行数据为一个token,包括多列,具体为段指令,及其所对应的特征值,那么,训练指令集中就包括了多个token,且每个token分别包含多列,每个token彼此之间的列数相等。
同时,将未知类别指令集所对应的各个段指令,按未知类别指令集中的指令顺序排成一列,一个段指令独立成一行,这样各行的段指令都占第一列;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于未知类别指令集的测试指令集,对此,我们可以定义一行数据为一个token,包括多列,具体为段指令,及其所对应的特征值,那么,测试指令集中就包括了多个token,且每个token分别包含多列,每个token彼此之间的列数相等。
步骤003.设置与训练指令集相对应的条件随机场模板,并结合条件随机场方法(CRF),针对训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型;其中,条件随机场模板中包括与所述训练指令集中行结构相对应的各行,条件随机场模板中的各行上分别设置宏%x[row,col],分别确定了训练指令集中与之相对应的段指令,及其指令标注的特征值,row表示训练指令集中与其所在条件随机场模板中的行相对应、距离当前位置的相对行,col表示row对应行上的绝对列。
在条件随机场模型方法中,使用的特征函数是一个已知的条件概率,当给出一个模板时,即这里与训练指令集相对应的条件随机场模板,条件随机场模型方法会根据给定的训练指令集计算条件概率的参数。当给定需要标记的观察序列时,即测试指令集,计算整个标记序列的联合概率分布得到测试结果,即测试指令检验集。
步骤004.采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令检验集相较于测试指令集多出一列,该列为针对段指令检测得到的木马指令标签的特征值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指令,进而根据该列木马指令标签的特征值判断其所对应的段指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。
上述技术方案设计的基于条件随机场模型的硬件指令木马检测方法,在实际应用中,针对CPU、SoC等电路内部指令型硬件木马,通过构建指令特征标签和标注已有的木马指令和非木马指令,寻找木马指令的特征函数来预测指令是否为木马指令,相对于传统在芯片上检测硬件木马的方法,大大缩短了试验时间,能够快速有效的检测出硬件指令木马,保证了工作效率。
接下来,我们结合一个具体实施例详细讲解本发明所设计基于条件随机场模型的硬件指令木马检测方法,诸如现有一个32位的CPU处理器和已知类别指令集如下:
{10000000011000000000000000000000、
01000000000000000000000000110000、
00001100000000000000000000000000、
10000000001100000000100000100000、
…
01000000000000100010000000000000、
00100000000000000000000000000000}
按步骤001所述的操作方法,构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个特征标签为木马指令标签,其对应的特征值标示指令为木马指令或非木马指令,即设置标注集中的特征标签为当前段指令在指令的最高触发码位、码重{0、1、2、3、4、5、6、7、8}和木马标记标签{S、M、E、Null}。
接着按步骤00201中所述的操作方法,分别针对已知类别指令集和未知类别指令集进行分段,获得分别对应于已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中,段指令的长度为4个指令位长度的整数倍;即这里针对具体实施例中,已知类别指令集分段,每段都为4个指令位长度的整数倍,则将8个指令位分成一段,共分为4段,上述已知类别指令集可记为
{80600000、
80000030、
0c 000000、
80300820、
…、
40022000、
20000000}
然后按步骤00202中所述的操作方法,针对已知类别指令集的各个段指令和未知类别指令集所对应的各个段指令,分别进行处理,分别获得训练指令集和测试指令集,在本实施例中,分段后的各个段指令顺序排成一列,在每行添加段指令标签,有段指令位置标签和木马指令标签,对于木马指令和非木马指令前面已知信息标签都是位置1、2、3、4中的一个标签,区别在于非木马指令的木马标记标签为Null,而木马指令标签标记的是该段指令在指令中的位置,S-指令首位,M-指令中,E-指令末位,如已知指令80600000为非木马指令,对其进行标注,得到的标注文件如下表1所示。
段指令 | 最高触发码位 | 码重 | 木马标记标签 |
80 | 8 | 1 | Null |
60 | 7 | 2 | Null |
00 | 0 | 0 | Null |
00 | 0 | 0 | Null |
表1
并且如已知指令0c 000000为木马指令,对其进行标注,得到的标注文件如下表2所示。
段指令 | 最高触发码位 | 码重 | 木马标记标签 | |
0c | 4 | 2 | S | |
00 | 0 | 0 | M | <<当前token |
00 | 0 | 0 | M | |
00 | 0 | 0 | E |
表2
紧接着按步骤003中所述的操作方法,设置与训练指令集相对应的条件随机场模板,这里我们设置一个窗口长度为4的一元模板如下所示:
#unigram
U00:%x[-1,0]
U01:%x[0,0]
U02:%x[1,0]
U03:%x[2,0]
U04:%x[-1,0]/%x[0,0]
U05:%x[0,0]/%x[1,0]
U06:%x[1,0]/%x[2,0]
U10:%x[-1,1]
U11:%x[0,1]
U12:%x[1,1]
U13:%x[2,1]
U14:%x[-1,1]/%x[0,1]
U15:%x[0,1]/%x[1,1]
U16:%x[1,1]/%x[2,1]
U20:%x[-1,2]
U21:%x[0,2]
U22:%x[1,2]
U23:%x[2,2]
U24:%x[-1,2]/%x[0,2]
U25:%x[0,2]/%x[1,2]
U26:%x[1,2]/%x[2,2]
U30:%x[-1,1]/%x[0,1]/%x[1,1]
U31:%x[0,1]/%x[1,1]/%x[2,1]
U32:%x[-1,2]/%x[0,21]/%x[1,2]
U33:%x[0,2]/%x[1,2]/%x[2,2]
当这里与训练指令集相对应的条件随机场模板的第一个标识为U时,为unigramfeature的模板,当给出一个模板时,条件随机场模型方法(CRF)会自动生成一个特征函数集合,模型训练的参数就是各个特征函数的权重,如U02:%x[1,0]会自动生成一个特征函数集合(func1...funcN):
func1=if(output=S and feature="U02:00")return 1else return 0
func2=if(output=M and feature="U02:00")return 1else return 0
func3=if(output=E and feature="U02:00")return 1else return 0
func4=if(output=Null and feature="U02:00")return 1else return 0
…
funcX=if(output=S and feature="U02:0c")return 1else return 0
funcY=if(output=Null and feature="U02:0c")return 1else return 0
…
一个模板生成的特征函数的个数总数为L*N,其中L是输出的类别数,N是根据给定的模板扩展出的unique string的数目。
接着结合条件随机场方法(CRF),针对训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型。
最后按照步骤004所述的操作方法,采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令检验集相较于测试指令集多出一列,该列为针对段指令检测得到的木马指令标签的特征值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指令,进而根据该列木马指令标签的特征值判断其所对应的段指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。
上面结合说明书附图针对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (4)
1.一种基于条件随机场模型的指令型硬件木马检测方法,其特征在于,根据已知类别指令集,采用条件随机场模型,针对未知类别指令集进行检测,判断未知类别指令集中的指令是否为木马指令;其中,已知类别指令集包括已知的木马指令和已知的非木马指令;所述检测方法包括如下步骤:
步骤001.构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个特征标签为木马指令标签,其对应的特征值表示指令为木马指令或非木马指令;
步骤002.分别针对已知类别指令集和未知类别指令集进行分段,并根据标注集分别进行指令标注,获得对应于已知类别指令集的训练指令集,以及对应于未知类别指令集的测试指令集;
上述步骤002包括如下步骤:
步骤00201.分别针对已知类别指令集和未知类别指令集进行分段,获得分别对应于已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中,段指令的长度为预设个数指令位长度的整数倍;
步骤00202.将已知类别指令集所对应的各个段指令,按已知类别指令集中的指令顺序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于已知类别指令集的训练指令集;
同时,将未知类别指令集所对应的各个段指令,按未知类别指令集中的指令顺序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注,构成对应于未知类别指令集的测试指令集;
步骤003.设置与训练指令集相对应的条件随机场模板,并结合条件随机场方法,针对训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型;
步骤004.采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,判断其中的指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。
2.根据权利要求1所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征在于:所述步骤003中,所述条件随机场模板中包括与所述训练指令集中行结构相对应的各行,条件随机场模板中的各行上分别设置宏%x[row,col],分别确定了训练指令集中与之相对应的段指令,及其指令标注的特征值,其中,row表示训练指令集中与其所在条件随机场模板中的行相对应、距离当前位置的相对行,col表示row对应行上的绝对列;
宏%x[row,col]表示训练集/测试集中与row、col相对应的段指令,以及其标注的特征值。
3.根据权利要求2所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征在于:所述步骤004中,采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令检验集相较于测试指令集多出一列,该列为对段指令检测得到的木马指令标签的特征值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指令。
4.根据权利要求1所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征在于:所述步骤00201中,所述段指令的长度为4个指令位长度的整数倍。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510605436.8A CN105138919B (zh) | 2015-09-21 | 2015-09-21 | 一种基于条件随机场模型的指令型硬件木马检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510605436.8A CN105138919B (zh) | 2015-09-21 | 2015-09-21 | 一种基于条件随机场模型的指令型硬件木马检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105138919A CN105138919A (zh) | 2015-12-09 |
CN105138919B true CN105138919B (zh) | 2017-12-08 |
Family
ID=54724264
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510605436.8A Active CN105138919B (zh) | 2015-09-21 | 2015-09-21 | 一种基于条件随机场模型的指令型硬件木马检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105138919B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107545194B (zh) * | 2017-08-01 | 2019-07-16 | 华南理工大学 | 片上网络中应对硬件木马的检测及防御方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
CN103150498A (zh) * | 2013-03-28 | 2013-06-12 | 哈尔滨工业大学(威海) | 基于单分类支持向量机的硬件木马识别方法 |
CN104866766A (zh) * | 2015-06-05 | 2015-08-26 | 中国电子科技集团公司第五十八研究所 | 一种针对cpu内部隐藏指令型硬件木马的检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8549630B2 (en) * | 2010-03-05 | 2013-10-01 | The Regents Of The University Of California | Trojan-resistant bus architecture and methods |
-
2015
- 2015-09-21 CN CN201510605436.8A patent/CN105138919B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
CN103150498A (zh) * | 2013-03-28 | 2013-06-12 | 哈尔滨工业大学(威海) | 基于单分类支持向量机的硬件木马识别方法 |
CN104866766A (zh) * | 2015-06-05 | 2015-08-26 | 中国电子科技集团公司第五十八研究所 | 一种针对cpu内部隐藏指令型硬件木马的检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105138919A (zh) | 2015-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107392016A (zh) | 一种基于代理的Web数据库攻击行为检测系统 | |
US9531751B2 (en) | System and method for identifying phishing website | |
CN104931960B (zh) | 动向报文与雷达目标态势信息全航迹段数据关联方法 | |
CN103577755A (zh) | 一种基于支持向量机的恶意脚本静态检测方法 | |
CN108301823B (zh) | 一种识别储层油气甜点的方法 | |
CN104866766B (zh) | 一种针对cpu内部隐藏指令型硬件木马的检测方法 | |
CN108182370A (zh) | 基于动静态分离模板的客户端网页篡改检测方法 | |
CN107315956A (zh) | 一种用于快速准确检测零日恶意软件的图论方法 | |
CN107437026A (zh) | 一种基于广告网络拓扑的恶意网页广告检测方法 | |
CN104715190B (zh) | 一种基于深度学习的程序执行路径的监控方法及系统 | |
CN113326187B (zh) | 数据驱动的内存泄漏智能化检测方法及系统 | |
CN102158486A (zh) | 一种网络入侵快速检测方法 | |
CN102298681B (zh) | 一种基于数据流切片的软件识别方法 | |
CN113935033A (zh) | 特征融合的恶意代码家族分类方法、装置和存储介质 | |
CN105760762A (zh) | 一种嵌入式处理器的未知恶意代码检测方法 | |
CN104580254B (zh) | 一种钓鱼网站识别系统及方法 | |
CN105138919B (zh) | 一种基于条件随机场模型的指令型硬件木马检测方法 | |
CN106503552A (zh) | 基于签名与数据流模式挖掘的Android恶意软件检测系统及方法 | |
Cai et al. | Machine learning algorithms improve the power of phytolith analysis: A case study of the tribe Oryzeae (Poaceae) | |
CN113783852B (zh) | 一种基于神经网络的智能合约庞氏骗局检测算法 | |
CN106169050A (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
CN107679401A (zh) | 一种恶意网页识别方法和装置 | |
CN105469099B (zh) | 基于稀疏表示分类的路面裂缝检测和识别方法 | |
CN111898134B (zh) | 基于LSTM和BiLSTM的智能合约漏洞检测方法和装置 | |
CN111831881B (zh) | 一种基于网站流量日志数据与优化谱聚类算法的恶意爬虫检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |