基于静态信息流跟踪的输入验证漏洞检测方法

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具FindBugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将FindBugs的输入验证漏洞检测误报率降低了55.7%.     

基于语义感知图神经网络的智能合约字节码漏洞检测方法

针对传统智能合约漏洞检测方法检测精度较低、误报率较高,以及基于神经网络的方法对字节码级智能合约特征挖掘不足的问题,提出了一种基于语义感知图神经网络的智能合约字节码漏洞检测方法.首先,以智能合约字节码划分基本块作为节点,并从字节码中提取基本块间的调用关系作为边,以此生成控制流图(control flow graph,CF...     

基于污点分析的嵌入式设备固件模糊测试方法

针对嵌入式设备固件进行漏洞挖掘是保证嵌入式设备安全性的重要方法。根据现嵌入式设备固件2的特点,本文提出了一种基于污点分析的改进模糊测试方法。该方法首先从漏洞利用的角度分析固件的攻击面,然后根据由攻击面导出的安全规则,并在污点分析结果中引入了测试用例危险权重,最后设计了与危险权重相对应的模糊测试用例集合。通过利用该方法针对主流设备进行的漏洞挖掘实验,成功发现隐藏于设备固件中的若干零日漏洞。实验结果证明,该方法具备一定的有效性和实用性。     

软件与系统漏洞分析与发现技术研究构想和成果展望

软件与系统漏洞是国家网络空间安全的重要战略资源。中国关键基础设施和重要信息系统部分核心技术受制于人,软件与系统漏洞普遍存在的现状短期之内无法根除,需要开展深层次、大规模、智能化漏洞挖掘研究;随着移动互联网、工业控制网和物联网等领域的新技术和新应用的推广,现有漏洞挖掘分析技术体系不能满足新的需求;此外,中国漏洞研究团队资源相对分散,国家层面漏洞研究协作机制尚未形成,难以支撑国家对漏洞战略资源的把控。以提升国家开展漏洞战略资源把控能力为导向,针对软件与系统漏洞研究现状,目前亟待解决的四大难题,即漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺。围绕四大难题开展攻关：一是,软件与系统漏洞智慧挖掘方法及关键技术,包括模糊推理经验库的构建方法、基于基因图谱的漏洞挖掘方法、智能引导优化问题、基于策略的漏洞识别方法。二是,软件与系统漏洞分析与可利用性判定技术,包括漏洞成因分析技术、程序异常路径构造技术、同源性漏洞分析技术、漏洞可利用性判定技术、多场景漏洞分析平台建设。三是,基于网络流量的漏洞分析与检测技术,包括利用动静态方法的漏洞攻击样本检测技术、研制软件漏洞攻击样本自动化检测原型系统、针对疑似网络攻击流量的深度检测与智能识别技术、网络攻击样本自动化分析与精准验证、面向攻击流量的漏洞检测与综合服务平台。四是,漏洞危害评估与验证技术,包括基于硬件虚拟化的动态污点分析技术、漏洞自动利用技术、研制基于虚拟环境的漏洞自动化验证系统、漏洞危害性评估体系和危害性评估算法。五是,漏洞规模化协同挖掘分析技术研究与应用,包括多任务多引擎自适应均衡规模化漏洞挖掘技术、多维度多任务智能协同技术、开放协作的知识复用技术、面向多计算环境的规模化协同漏洞发掘的一体化平台、规模化协同条件下漏洞挖掘、分析和可利用性评估技术、规模化协同漏洞发掘一体化平台在典型行业的应用验证。通过以上研究内容实现以下五个方面创新：一是,基因图谱定式复盘,基于基因图谱构建与经验知识复用的漏洞智慧挖掘技术;二是,多源分析多态利用,基于多源漏洞分析的多态可利用性评估技术;三是,动静结合意图推演,大流量环境下基于数据驱动与行为认知关联的攻击检测技术;四是,状态切片叠加复现,活体漏洞库构建技术;五是,智能连接迭代适应,多任务多引擎自适应均衡规模化漏洞挖掘技术。最终,构建集漏洞挖掘、分析、监测、评估、验证于一体的规模协同平台,形成知识复用、智能连接、开放协作的生态系统,为国家摸清网络空间安全家底、扭转攻防博弈被动局面提供技术支撑。     

受免疫原理启发的Web攻击检测方法

随着Internet应用的不断深入,Web服务器成为了黑客的主要攻击目标。为克服传统误用入侵检测系统无法识别未知Web攻击和异常入侵检测系统误报率高等缺陷,受生物免疫系统启发,该文提出了一种基于免疫原理的Web攻击检测方法。给出了自体、非自体、抗原、抗体基因库、免疫细胞等的数学定义,描述了免疫学习算法。对比实验结果表明该方法较传统的基于神经网络和ID3算法的Web攻击检测技术能有效检测未知Web攻击,具有检测率和分类率高、误报率低和实时高效等特点,是检测Web攻击的一种有效新途径。     

Web应用常见注入式安全漏洞检测关键技术综述

针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展。介绍了Web应用常见的注入式安全漏洞的分类,总结了这类漏洞的成因,梳理了安全漏洞检测的复杂性;阐述了注入式安全漏洞检测的关键技术,包括漏洞注入点的分析和识别、符号执行和污点分析以及基于软件分析和测试模型的漏洞检测方法;最后给出了研究展望。     

跨站脚本漏洞渗透测试技术

为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。     

DWT和AKD自动编码器的DDoS攻击检测方法研究

针对DDoS网络流量攻击检测效率低及误报率高的问题,本文提出一种基于离散小波变换(Discrete Wavelet Transform, DWT)和自适应知识蒸馏(Adaptive Knowledge Distillation, AKD)自动编码器神经网络的DDoS攻击检测方法.该方法利用离散小波变换提取频率特征,由自动编码器神经网络进行特征编码并实现分类,通过自适应知识蒸馏压缩模型,以实现高效检测DDoS攻击流量.研究结果表明,该方法对代理服务器攻击、数据库漏洞和TCP洪水攻击、UDP洪水攻击具有较高的检测效率,并且具有较低的误报率.     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

基于上下文特征融合的代码漏洞检测方法

针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法. 该方法将代码特征解耦分为代码块局部特征和上下文全局特征. 代码块局部特征关注代码块中关键词的语义及其短距离依赖关系. 将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系. 该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力. 模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分. 实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.     

基于特征剪裁的AdaBoost算法及在人脸检测中的应用

针对AdaBoost算法存在训练消耗大并且误检率较高的问题,提出一种基于AdaBoost的高效检测方法.它主要包含一种基于特征剪裁的AdaBoost算法（FPAdaBoost）和一种新的检测扫描方法--确认和跳过检测机制（CSDS）.FPAdaBoost算法在每一轮训练中会根据分类误差剪裁掉一部分特征,提高算法的训练速度;而CSDS检测方法在传统的检测方法基础上引入验证和确认机制,在保证检测率的条件下有效控制误检的发生.在MIT CBCL训练集和MIT+CMU检测集上对提出的方法进行验证,结果表明,FPAdaBoost算法相比原始AdaBoost算法在性能上没有明显退化,但却大大改善了训练速度,同时CSDS检测机制的引入极大地降低误检率,提高检测结果的可靠性.     

具有高区分度的视频火焰检测方法

为了在视频监控系统中准确地判断火焰区域并预测火灾的发生,提出一种新的基于人工神经网络的视频火焰检测方法.该方法在分析火焰的运动和三维颜色特征的基础上,分别通过傅里叶变换和圆形度分析、角点检测的方法研究火焰的闪烁频率、几何形状对应的时空域特征,采用获得的各类特征构成概率向量作为人工神经网络分类模型的输入,输出表示火灾发生的概率.在保持检测准确率的同时,该方法通过实验选择最优的参数组合解决神经网络容易陷入局部极值及收敛慢的问题.该方法可以区分大空间（隧道、仓库、博物馆等建筑物）中闪烁的车灯和真实火焰,能够避免在实际的视频监控系统应用中将闪烁车灯误判为火焰,有效减少环境光对检测结果的影响,降低火灾火焰的误报率.实验结果表明,采用该方法在保持检测实时性的同时,能够达到96%的检测正确率.     

C4．5算法在未知恶意代码识别中的应用

基于行为的分析方法是恶意代码检测技术的发展方向,但存在误报率和漏报率较高的问题,故提出一种在Windows平台下检测未知恶意代码的新方法,以PE文件动态调用的API函数为研究对象,使用足长度的滑动窗口提取代码的所有特征属性,并采用决策树C4．5算法来检测未知恶意代码．实验结果表明,与其他基于行为的恶意代码识别算法相比,该算法具有较低的漏报率和误报率．     

基于卷积神经网络的电力信息物理融合系统入侵检测方法研究

现有的面向电力信息物理融合系统（CPPS）的入侵检测方法存在不够重视数据质量等问题,尤其是在处理离散化数据方面存在欠缺。为解决上述问题,提出了一种基于实体嵌入和卷积神经网络的CPPS入侵检测方法。该方法通过实体嵌入技术将数据集中的离散型特征映射为连续向量,从而生成高质量的新数据。将其与经过标准化的连续型特征合并起来作为新数据集训练卷积神经网络,以建立CPPS入侵检测模型。在KDD Cup 99数据集上的实验评估结果表明,所提方案的攻击检测准确率分别比独热编码和传统顺序编码提高了6.20%和6.04%,同时还减小了误报率和漏报率。     

面向大规模嵌入式设备固件的自动化分析方法

设计了一种面向大规模嵌入式设备固件的自动化分析方法,该方法能够对固件进行自动化分析,提取其文件系统、操作系统、中央处理器指令架构等关键信息.针对固件解码成功的自动化判定难题,提出了一种基于分类回归树的固件解码状态检测算法,并选取收集的6 160个固件和固件自动化解码后得到的1 823个可反汇编二进制文件作为样本进行实验.实验结果表明,该算法相对其他分类器具有更好的分类效果,其分类准确率、召回率均在96％以上.     

深度特征提取下城轨客流异常状态识别

为实现对城市轨道交通突发大客流的及时预警,提出一种基于自动售检票数据的客流异常状态识别方法.首先,确定符合客流时变特性的滑动时间窗口长度以适应动态的数据环境;其次,建立深度置信网络模型以提取窗口内待检样本的客流特征,并实现样本特征模式的自适应划分;最后,将待检样本和相同模式的历史样本映射至多维特征空间,进行基于局部异常因子的客流异常状态识别.通过广州地铁的案例分析,结果表明:该方法的模式划分精度为92.5%,异常识别误检率和准确率分别为3.98%和91.9%,识别效果与异常的形式和程度相关,且受识别合格判定条件中反应时效要求的影响,整体上能够在保证较低误检率的情况下,实现对各类客流异常状态的灵敏识别.     

基于属性相似度云模型的网络异常检测

针对网络异常检测虚警率偏高的问题,提出了一种基于属性相似度云模型的网络异常检测新方法。基于各属性对分类的不同贡献,结合数据对象空间和属性空间的相似度概念,给出了属性相似度和属性权重的计算方法,该方法可降低网络数据空间的维数,提高目标识别的准确率。试验表明,该方法具有先验知识需求少和参数容易确定的优点,能比较准确地检测出对网络数据的异常行为。