特洛伊木马隐藏技术研究

主要研究Linux环境下的特洛伊木马隐藏技术,提出了协同隐藏思想,并给出木马协同隐藏的形式化模型。针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,采用实时检测对抗技术和隐蔽通道技术开发了一个内核级木马原型,改进了木马的隐藏能力。通过实验结果分析,这一木马体现了协同隐藏的思想,验证了实时检测对抗技术和网络隐蔽通道技术的有效性。     

基于数据挖掘和蜜罐的新型入侵检测系统研究

文中对基于数据挖掘和蜜罐技术的新型入侵检测系统进行了研究。简单介绍了入侵检测系统和蜜罐技术的概念及优缺点,及入侵检测系统和蜜罐系统的互补性。进而提出将其两者相结合的方案,分析其模型,并将数据挖掘技术融入其中,构成新型的入侵检测系统。该系统提高了蜜罐系统对资源的保护及对攻击数据的分析能力,有效的增强了入侵检测系统的防护能力。     

Win32 Rootkit的进程隐藏检测技术

Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。     

Rootkit木马隐藏技术分析与检测技术综述

对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

基于网络编码的数据通信技术研究

网络编码给数据通信技术带来了变革,它也是未来数据通信发展的重要方向之一。通过网络编码原理的理解,分析了基于网络编码的数据通信技术的几个重要领域中所取得成果。     

一种抗隐蔽通道的网络隔离通信方案

随着网络技术的发展,广泛互联互通的异构网络间的信息交互越来越频繁。为有效保障信息跨网安全实时交换,提出了一种抗隐蔽通道的网络隔离通信方案(NICS, network isolation communication scheme)。建立了NICS理论模型,基于信息论理论证明了该方案的正确性,并给出了具体的实施方案。安全特性分析表明,NICS可有效解决不同网络的通信协议均存在潜在的数据分组大小隐蔽通道与状态信息隐蔽通道的问题;在交互相同信息量的前提下,可实现与物理隔离等价的抗隐蔽通道的安全效果。     

基于HoneyClient蜜罐的挂马检测

针对当前互联网客户端攻击频发的态势,首先阐述了基于本地程序漏洞的客户端攻击概念,着重讲解了网站挂马攻击的特征。其次阐明了客户端蜜罐系统的基本原理,并介绍了一种高效的客户端蜜罐系统HoneyClient。随后通过对网站挂马攻击的特征分析提出了使用HoneyClient对其进行有效检测的方案,并对该方案进行了事实验证。最后通过对实验结果的分析与总结,提出了对网页木马型客户端攻击进行检测的改进策略和展望。     

基于 NDIS 中间层驱动的隐蔽通信研究与实现

传统计算机隐蔽通信方式采用的HOOK技术,不能从根本上解决通信数据包被防火墙截获丢弃的问题。NDIS中间层驱动技术常用于防火墙和抓包软件,通过分析NDIS中间层驱动技术原理,提出一种新的可应用于Windows防火墙穿透的隐蔽通信方法,并详细介绍了隐蔽通信方式的设计思路和实现方式,最后,在安装有常见Windows防火墙的主机上进行测试,测试结果表明,该隐蔽通信方式能成功穿透大多数防火墙。     

对于IP地址攻击有效的混合蜜罐入侵检测系统

提出在入侵检测系统中融合蜜罐技术并应用在分布式的网络环境中。主要目的就是通过单播IP地址攻击和组播的IP地址攻击对比单独入侵检测系统与融合了蜜罐技术的入侵检测系统检测攻击的有效性。混合蜜罐网络由Snort和Honeyd组成,Snort的作用是入侵检测而Honeyd组成蜜罐系统。Honeyd安装在Linux系统中,这个系统的传感器探测Snort和Honeyd是否传送数据到主数据库。使用NESSUS对实验数据进行分析。提供给管理员一种更有效的网络管理方式。     

蜜罐技术在企业网络安全中的应用研究

针对当前网络技术的快速发展和安全问题的日益突出,在主动防御系统流行的当下,本文介绍了网络安全中的蜜罐技术,结合企业网络安全体系结构的特点,给出蜜罐系统在企业网络安全中配置和部署,阐述了蜜罐系统关键技术的实现和应用。     

Rule‐Based Anomaly Detection Technique Using Roaming Honeypots for Wireless Sensor Networks

Because the nodes in a wireless sensor network (WSN) are mobile and the network is highly dynamic, monitoring every node at all times is impractical. As a result, an intruder can attack the network easily, thus impairing the system. Hence, detecting anomalies in the network is very essential for handling efficient and safe communication. To overcome these issues, in this paper, we propose a rule‐based anomaly detection technique using roaming honeypots. Initially, the honeypots are deployed in such a way that all nodes in the network are covered by at least one honeypot. Honeypots check every new connection by letting the centralized administrator collect the information regarding the new connection by slowing down the communication with the new node. Certain pre‐defined rules are applied on the new node to make a decision regarding the anomality of the node. When the timer value of each honeypot expires, other sensor nodes are appointed as honeypots. Owing to this honeypot rotation, the intruder will not be able to track a honeypot to impair the network. Simulation results show that this technique can efficiently handle the anomaly detection in a WSN.     

一种高效的低成本内网蜜罐系统部署方案

蜜罐是一种安全资源,其价值在于被探测、攻击和损害,无论是实系统蜜罐还是伪系统蜜罐,传统的蜜罐部署方式都存在部署成本高、部署效率低的问题。文中通过融合防火墙安全域配置策略、IP地址NAT技术、终端探测技术、二层协议栈分析技术等,为企业网络提供了一种切实可行的低成本并能快速和大范围部署的蜜罐系统部署方案,其具有高感知能力,解决了传统蜜罐部署成本高、效率低、安全关联风险大的问题,对于促进蜜罐系统大范围推广部署具有积极的意义。     

Detection of TCP covert channel based on Markov model

Network covert channel is a covert communication method by hiding covert messages into overt network packets. In recent years, with the development of various hiding methods, network covert channel has become a new kind of threat for network security. The covert channel that uses the redundancies existing in TCP protocol to make hiding is called TCP covert channel. In this paper, the behaviors of TCP flows are modeled by the Markov chain composed of the states of TCP packets. And the abnormality caused by TCP covert channel is described by the difference between the overt and covert TCP transition probability matrix. The detection method based on MAP is proposed to detect the covert communication hidden in TCP flows under various applications such as HTTP, FTP, TELNET, SSH and SMTP. Experiments show that the proposed algorithm achieves better detection performance than the existing methods.     

基于主被动结合的网络入侵检测系统的设计与实现

提出了一种新的基于主被动结合的网络入侵检测系统。详细论述了新的网络入侵检测系统的设计方案，关键技术的研究与实现。本系统所设计的关键技术模块有信息采集模块、蜜罐技术原理和部署模块以及黑板管理模块。该系统采用主动专家系统进行高效的入侵检测，结合蜜罐技术来收集网络中出现的各种攻击信息，运用人工智能的方法将这些攻击信息进行融合、训练，提取和更新攻击知识库，具有一定的自主学习功能和自适应性。     

Performance analysis of covert wireless communication based on beam forming with noise uncertainty

In order to establish covert wireless communication in Rayleigh fading environment with noise uncertainty,a scheme of downlink covert wireless communication based on complex Gaussian random coding and beam forming was adopted,and more importantly,the performance of covert wireless communication was analysed.Firstly,the covert probability of communication was analyzed by using the hypothesis test theory.Secondly,the optimal detection threshold of the illegal detection party was given and proved,and the closed expressions of the average covert probability,connection interruption probability and covert throughput of the system were further obtained.Finally,by jointly designing the transmission power and target covert rate,the optimal goal of the maximum covert throughput of the system was achieved,and the corresponding algorithm based on step search was given.The simulation results show that the beam forming technology could provide some gain for covert wireless communication.Compared with the ideal case in which the legitimate receiver is not affected by the noise uncertainty,the covert throughput in non-ideal case is significantly reduced and almost not affected by the basic noise level of the environment.     

基于网络行为特征的隐蔽通信模型研究

隐蔽通信技术是信息隐藏技术在通信保密领域的重要应用,是近年来信息安全领域研究的热点之一。文章提出一种基于网络行为特征的隐蔽通信模型,首先通过主机的网络行为特征判定两者之间通信最频繁通信特征,而后将秘密信息嵌入到多媒体载体中,最后将携带秘密信息的多媒体根据通信特征发送到接收方完成隐蔽通信。实验结果表明,该模型不仅能够将隐蔽通信行为掩盖于主机间正常的通信行为中,而且还可以提供较高的通信安全性。     

基于蜜罐技术的网络入侵研究

蜜罐是近几年发展起来的一种主动防御安全技术。文章首先综述了当前网络安全技术的应用和不足,分析了蜜罐技术的研究现状。提出了一个SNIBH入侵检测模型,设计并实现了数据捕获及分析等基本功能。分析收集的入侵者信息,从中提取入侵特征,以便提高入侵检测能力,使被动防御体系向主动的防御系统转化。     

自定义蜜罐在抵御蠕虫攻击中的应用研究

全文分析了蠕虫病毒的危害和特征,提出一种自定义蜜罐系统的设计:结合入侵检测、虚拟蜜罐和数据挖掘技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术捕获已知蠕虫,延缓未知蠕虫的扫描速度,并对相关日志进行数据挖掘,更新入侵检测系统的规则集,以便在遭受后续攻击时做出响应。探讨了自定义蜜罐系统在抵御蠕虫病毒攻击中的可行性和应用实现。