攻击特征自动提取技术综述

攻击特征自动提取系统不需要人工干预便能够自动地发现新攻击,并为入侵检测系统提取出新攻击的特征.由此概括了攻击特征自动提取技术研究的意义;提出了系统评价标准,并将当前主要系统分为基于网络(NSG)和基于主机(HSG)2类,分别进行比较和介绍;最后分析了攻击特征自动提取技术的研究当前面临的问题和未来发展的趋势.     

基于网络流量自相似性的蠕虫攻击检测方法研究

网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。     

蠕虫正则表达式特征自动提取技术研究

提出一种实用的蠕虫正则表达式特征自动提取方法,该方法由蠕虫传播网络流样本获取、特征树生成、高假阳性特征剔除、特征融合这4步组成。该方法的优点是可输出具有强描述能力的包含“.*”、“.{k}”、“|”、“(c){k}”等元字符的正则表达式特征。基于蜜罐系统Honeybow实现了该方法,并针对互联网上数种真实蠕虫进行了实验。实验结果表明,该方法可以准确地提取真实蠕虫的正则表达式特征,可以在蜜罐、蠕虫及恶意代码分析等系统中应用。     

自定义蜜罐在抵御蠕虫攻击中的应用研究

全文分析了蠕虫病毒的危害和特征,提出一种自定义蜜罐系统的设计:结合入侵检测、虚拟蜜罐和数据挖掘技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术捕获已知蠕虫,延缓未知蠕虫的扫描速度,并对相关日志进行数据挖掘,更新入侵检测系统的规则集,以便在遭受后续攻击时做出响应。探讨了自定义蜜罐系统在抵御蠕虫病毒攻击中的可行性和应用实现。     

基于种子—扩充的多态蠕虫特征自动提取方法

提出基于种子扩充的多态蠕虫特征自动提取方法SESG.SESG算法首先按序列的权重大小将其放入一个队列,然后依次对队列中的种子序列进行扩充,从而对各类蠕虫以及噪音序列进行分类,并从分类后的蠕虫序列中提取其特征.测试结果表明,SESG算法能够在包含噪音的可疑池中很好地区分各类蠕虫序列,更易于提取有效的蠕虫特征.     

基于自动特征提取的大规模网络蠕虫检测

蠕虫由于传播速度很快在网络中造成了严重的危害,对蠕虫进行自动的快速检测成了一项必需的研究。研究了在大规模网络中,利用流量异常发现模块从网络中发现异常数据集,然后自动进行特征提取,进而将特征更新到特征检测的特征库中进行特征检测的方法,实现对未知蠕虫的检测。本系统能够快速地发现新的疫情,作为蠕虫的自动防御的基础。     

基于失败连接分析的网络蠕虫检测系统研究

根据网络蠕虫攻击的特点，提出一种基于失败连接分析的网络蠕虫早期检测系统。该系统通过实时分析失败连接流量分布和正常状态的偏离度来检测蠕虫，通过分析失败连接集的自相似度进一步降低蠕虫检测的误报率。基于原型系统的实验结果显示，该系统能够实时检测未知类型的网络蠕虫攻击，分析蠕虫扫描的网络传输特征和网络内可能感染的主机列表。和已有方法相比，该系统对蠕虫的早期扫描行为更加敏感，并具有更低的误报率。     

基于通信特征分析的蠕虫检测和特征提取方法的研究

提出了一种基于通信特征分析的蠕虫检测与特征提取技术，在解析蠕虫传播过程中特有的通信模式的基础上，评估通信特征集合问的相似度，通过检测传染性来检测蠕虫，这种方法具有更高的检测精度、通用性和适应性。在此基础上设计了启发式检测体系结构，利用盲目跟踪、意向跟踪和锁定跟踪从通信协议、通信序列和通信内容3个层次逐级排除非蠕虫通信，筛选出蠕虫报文组，提取出蠕虫特征码。这种技术大幅缩减了采集量和分析量，能在高强度背景噪声的干扰快速检测蠕虫并提取出相应的特征。     

利用xflow技术解决网络安全问题

分析蠕虫病毒和DDoS攻击的特征,介绍利用xflow技术实施互联网安全管理的流程,提出利用xflow技术解决网络安全问题的思路.     

An auto-learning approach for network intrusion detection

In this paper, we propose a novel intrusion detection technique with a fully automatic attack signatures generation capability. The proposed approach exploits a honeypot traffic data analysis to build an attack scenarios database, used to detect potential intrusions. Furthermore, for an effective and efficient intrusion detection mechanism, we introduce several new or adapted algorithms for signature generation, signature comparison, etc. Finally, we use DARPA’99 and UNSW-NB15 traffic to evaluate the proposed approach. The results indicate that the generated attack signatures are of high quality with low rates of false negatives and false positives.     

抗噪的攻击特征自动提取方法

现有的特征提取方法或不具有良好的抗噪性,或具有一定抗噪能力但特征提取的准确性较差.针对这一问题,利用多序列比算法能够求解序列间相同元素的全局最大一致性这一特点,提出一种包括多序列比对算法ClustalW+CSR、自适应噪声消除、特征转化这3个步骤的抗噪特征提取方法.实验结果表明,与当前其他基于网络的攻击特征自动提取方法相比较,该方法不仅特征提取的准确性较高,而且还具有良好的抗噪能力.     

基于可回溯动态污点分析的攻击特征生成方法

现有黑盒或白盒的攻击特征生成方法面临样本采集困难、自动化程度较低、依赖源代码等问题。为此提出了一种基于可回溯动态污点分析的攻击特征生成方法,通过监控进程动态执行流程,提取与攻击输入相关的操作序列和约束条件,重建特征执行环境并添加判定语句,生成图灵机式的攻击特征。构造原型系统并进行测试的结果表明该方法能快速生成简洁高效的攻击特征。     

基于MI和TPM混合的多变量数字签名方案

 本文基于MI和TPM两类多变量公钥密码的公钥,利用"减"方法将其混合,提出了多变量数字签名方案的中心映射构造新方法,给出了基于MI和TPM混合的多变量数字签名方案,该方案能够有效抵抗高阶线性化方程攻击、秩攻击、XL&Grbner基攻击、差分攻击等现有典型攻击,并且与Rainbow、Sflash^v2等典型多变量数字签名方案相比,在签名长度、密钥存储规模等方面具有优势.     

应用层负载特征定义及自动提取方法

针对现有网络流量识别中应用层负载特征提取方法对训练数据中字节值变化较为敏感的问题,首先定义了一种新的以位为最小特征单位的网络流量应用层负载特征,然后设计了相应的自动提取方法。通过3种常用标准协议的实验表明,自动提取方法可以快速获得负载特征,特征识别结果准确性高。对QQ私有应用协议的实验表明,使用获取到的负载特征进行网络流量识别,可以满足实际网络中对QQ网络流量识别的要求。     

两个高效的基于分级身份的签名方案

提出两个新的基于分级身份的签名方案.在随机应答模型下,新方案有如下结果:两个方案中的签名算法效率都很高;这两个方案是可证明安全的,在给定身份和选择明文攻击下是不可伪造的; 第二个方案的签名长度是常数, 与分级深度无关; 两个方案都能达到安全归约紧致的要求.     

基于虹膜信息的身份签名方案

生物特征的应用集中在两个方面,一是传统的身份认证和识别技术,二是密钥的产生技术。该文研究了从虹膜信息中提取特征码,采用模糊方法从虹膜特征码中提取随机串并将其嵌入到椭圆曲线中等问题。以虹膜信息为基础产生公钥,提出了一种基于虹膜信息的身份签名方案。该方案引进两个密钥生成系统,可有效防止单个密钥生成系统随意伪造签名的缺陷,进一步提高系统的安全性和可靠性。在随机预言机模型下,该方案被证明在适应性选择消息和身份攻击下具有不可伪造安全,并能有效抵抗生日攻击。