基于数字疫苗的隐遁勒索病毒攻击动态防御模型

针对隐遁勒索病毒攻击威胁性极大以及传统方法对其防御不力的问题,该文提出了一种基于数字疫苗的隐遁勒索病毒攻击动态防御模型。借鉴生物免疫机理,给出了数字疫苗、抗原、抗体及抗体浓度等免疫概念的形式化定义。首先,通过接种数字疫苗(创建诱饵文件和文件夹),使系统生成抵御隐遁勒索病毒攻击的未成熟抗体;其次,通过免疫抗体动态演化机制,生成能抵御隐遁勒索病毒抗原的成熟抗体与记忆抗体;最后,通过在内核层和应用层实施双重动态监控抗体浓度变化,并借助交叉视图法来实时感知隐遁勒索病毒攻击。理论分析与实验结果表明:该模型有效解决了隐遁勒索病毒攻击难以实时检测的问题,且较传统方法性能更高。     

基于熵图像静态分析技术的勒索软件分类研究

随着人工智能、5G、物联网等技术的快速发展，我国在网络安全领域遭受境外攻击的现象也愈发严重，勒索软件攻击事件已显著增加，给国家、企业和个人造成巨大的数据损失和经济损失。为了有效地对勒索软件家族进行分类，本文提出一种基于熵图像静态分析技术的勒索软件分类方法，直接利用从勒索软件二进制文件中提取的熵特征进行分类，同时提出一种名为Ran-GAN的数据增强方法以解决勒索软件家族间数据不平衡问题。本文提出的方法将注意力机制引入VGG16神经网络架构中，用于提升网络的特征提取能力。实验结果表明，本文提出的方法在14种勒索软件家族上可达97.16%的准确率以及97.12%的加权平均F1-score。与传统可视化方法相比，本文提出的方法在4种评价指标下均明显优于传统的可视化方法，同时，与其他神经网络方法相比，勒索软件的检测性能都有显著提升。     

面向drive-by-download攻击的检测方法

针对隐藏在混淆JavaScript代码中的drive-by-download攻击很难被检测的问题,深入分析了混淆JavaScript代码以及drive-by-download攻击的静态和动态行为特征,设计并实现了只需正常行为数据进行训练、静态分析与动态分析相结合的异常检测原型系统.首先,静态分析以代码混淆度为特征,利用主成分分析(PCA)、最近邻(K-NN)和one-class支持向量机(SVM)三种算法检测出混淆JavaScript代码.其次,动态分析从JavaScript代码中获取的变量初值和变量终值,以变量初值和变量终值中提取的9个特征作为检测混淆代码中具有drive-by-download攻击的动态行为特征.从实际环境中收集了JavaScript正常与混淆恶意代码共7.046 3×104条.实验结果表明:选用PCA算法时,在误报率为0.1%的情况下,系统对混淆drive-by-download攻击能达到99.0%的检测率.     

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度.据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率.对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点.实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现.     

基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

WEB日志中基于KNN算法的注入式攻击行为检测方法研究

阐述了注入式攻击及KNN算法的相关概念并探讨了注入式攻击行为检测与文本分类技术的关系.结合KNN算法的优点及注入式攻击行为检测与文本分类的相似性,提出了Web日志中基于KNN算法的注入式攻击检测方法,给出了其计算模型,并进行了检测对此.结果表明,该方法具有良好的检测准确度.     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

基于SVM的软件行为可信动态评测

针对可信计算组织TCG的信任链无法保障软件运行时动态可信的问题,对该信任链进行拓展,提出了基于SVM的软件行为可信动态度量代理,在信任链把控制权交给操作系统后,继续对其进行完整性度量,然后由度量代理对平台应用软件进行评价,通过对运行过程中的软件行为迹的监测,实现了软件动态行为可信证明.实验分析表明,该方法能够在较短的时间高效实时地检测出软件异常,确保了平台软件运行时可信.     

基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法

将无线局域网媒体接入控制(MAC)层字段作为检测入侵的分析对象,提出了基于隐马尔可夫模型(HMM)的无线局域网MAC层入侵检测方法.采用了基于控制台、服务器、代理的3层分布式无线局域网入侵检测框架;基于HMM模型对无线局域网的MAC帧头部进行建模;利用正常的无线局域网络数据对HMM进行训练,并记忆正常系统下的数据包行为.由此,检测发现了出现概率小的数据包或数据包序列,并制定了入侵检测阈值.试验结果表明,所提方法对已有的无线局域网MAC层攻击的误报率和漏报率比较低,并能检测未知攻击.     

基于API Hook的进程行为监控系统

基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.     

基于API函数序列的勒索病毒家族同源性研究

近年来,勒索病毒数量的增长多为已知家族衍生的变种,鲜有出现新型勒索病毒家族。通过对勒索病毒动态提取的API函数序列进行研究,在原有基于序列比对分析勒索病毒家族同源性的方法上作出了改进。使用Cuckoo Sandbox监测勒索病毒的动态行为特征,提取病毒进程对应的API函数调用类别序列并对序列进行规范化处理,去除所有重复子序列后,对同一家族的勒索病毒样本序列使用Multalin、Clustal Omega、T-coffee 3种不同的多序列比对方法并分别设置不同的共性水平提取共性序列,结合局部比对算法计算同家族和家族间的相似性,以确定最佳共性序列并将其作为家族图谱序列。在验证该方案有效性时,设置了以家族样本代表序列和最佳共性序列分别作为家族图谱序列进行对比实验,实验结果表明,使用家族最佳共性序列作为家族图谱序列和局部比对方法计算相似性可以更好地区分勒索病毒家族。     

基于k循环随机序列的动态缓冲区溢出防御

面向Intel 80×86体系结构和C/C++语言,介绍了栈缓冲区溢出攻击的基本原理及攻击模式,分析了现有的动态防御典型方案的优点与不足.结合基于随机地址空间与签名完整性的防御思想,提出了一种基于k循环随机序列的动态缓冲区溢出防御方案,该方案能够在极大概率下防御多种模式的缓冲区溢出攻击,解决了"连续猜测攻击"的问题,并使软件具有一定的容侵能力.     

基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

数据挖掘技术在入侵检测系统中的应用

将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用.尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整.     

在线社交网络中用户伪装攻击检测方法研究

当前用户伪装攻击检测方法无法适应动态环境,实时性不高;且需要准确的先验知识,检测精度较低。提出一种新的在线社交网络中用户伪装攻击检测方法,介绍了k最邻近节点(KNN)算法的基本思想,给出KNN算法的实现过程。分析了用户伪装攻击检测与分类的关系,确定在线社交网络中用户伪装攻击检测就是对被检测的未知行为进行分类的过程。针对用户行为,将训练集中正常用户行为的邻居进行排列,通过和k相似的邻居的分类标签对新用户行为类别进行判断,从而实现用户伪装攻击检测。实验结果表明,所提方法不仅检测精度高,而且开销小。     

基于用户行为模拟的XSS漏洞检测

为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找到多种非格式化注入点,并通过综合考虑字符串长度、字符种类等因素对攻击向量进行了优化,以绕过服务器的过滤函数,缩短漏洞测试所用的时间.测试结果表明所提方法提高了漏洞注入点的检测覆盖率,提升了XSS漏洞的检测效果.