软件与系统漏洞分析与发现技术研究构想和成果展望

软件与系统漏洞是国家网络空间安全的重要战略资源。中国关键基础设施和重要信息系统部分核心技术受制于人,软件与系统漏洞普遍存在的现状短期之内无法根除,需要开展深层次、大规模、智能化漏洞挖掘研究;随着移动互联网、工业控制网和物联网等领域的新技术和新应用的推广,现有漏洞挖掘分析技术体系不能满足新的需求;此外,中国漏洞研究团队资源相对分散,国家层面漏洞研究协作机制尚未形成,难以支撑国家对漏洞战略资源的把控。以提升国家开展漏洞战略资源把控能力为导向,针对软件与系统漏洞研究现状,目前亟待解决的四大难题,即漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺。围绕四大难题开展攻关：一是,软件与系统漏洞智慧挖掘方法及关键技术,包括模糊推理经验库的构建方法、基于基因图谱的漏洞挖掘方法、智能引导优化问题、基于策略的漏洞识别方法。二是,软件与系统漏洞分析与可利用性判定技术,包括漏洞成因分析技术、程序异常路径构造技术、同源性漏洞分析技术、漏洞可利用性判定技术、多场景漏洞分析平台建设。三是,基于网络流量的漏洞分析与检测技术,包括利用动静态方法的漏洞攻击样本检测技术、研制软件漏洞攻击样本自动化检测原型系统、针对疑似网络攻击流量的深度检测与智能识别技术、网络攻击样本自动化分析与精准验证、面向攻击流量的漏洞检测与综合服务平台。四是,漏洞危害评估与验证技术,包括基于硬件虚拟化的动态污点分析技术、漏洞自动利用技术、研制基于虚拟环境的漏洞自动化验证系统、漏洞危害性评估体系和危害性评估算法。五是,漏洞规模化协同挖掘分析技术研究与应用,包括多任务多引擎自适应均衡规模化漏洞挖掘技术、多维度多任务智能协同技术、开放协作的知识复用技术、面向多计算环境的规模化协同漏洞发掘的一体化平台、规模化协同条件下漏洞挖掘、分析和可利用性评估技术、规模化协同漏洞发掘一体化平台在典型行业的应用验证。通过以上研究内容实现以下五个方面创新：一是,基因图谱定式复盘,基于基因图谱构建与经验知识复用的漏洞智慧挖掘技术;二是,多源分析多态利用,基于多源漏洞分析的多态可利用性评估技术;三是,动静结合意图推演,大流量环境下基于数据驱动与行为认知关联的攻击检测技术;四是,状态切片叠加复现,活体漏洞库构建技术;五是,智能连接迭代适应,多任务多引擎自适应均衡规模化漏洞挖掘技术。最终,构建集漏洞挖掘、分析、监测、评估、验证于一体的规模协同平台,形成知识复用、智能连接、开放协作的生态系统,为国家摸清网络空间安全家底、扭转攻防博弈被动局面提供技术支撑。     

基于静态信息流跟踪的输入验证漏洞检测方法

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具FindBugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将FindBugs的输入验证漏洞检测误报率降低了55.7%.     

移动自组织网络网络层的拒绝服务攻击

基于对移动自组织网络网络层常用路由协议AODV的安全分析,该文提出一种针对局部连接漏洞的拒绝服务攻击方法.在该攻击中,节点正常加入路由,在路由维护过程中通过增大HEL-LO控制报文的广播周期干扰局部连接的管理,导致一些不必要的路由修复或重建,当多个节点合作攻击时能形成拒绝服务攻击.通过NS2仿真,该攻击方法严重降低了网络性能.     

一种基于渗透测试的跨站脚本漏洞检测方法

为提升面向Web应用的跨站脚本(XSS)漏洞检测方法的检测效果,提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方案。通过使用决策树模型对攻击向量进行分类,并使用代码混淆策略对攻击向量进行变形,用生成变形后的攻击向量组成攻击向量库用于XSS漏洞的渗透测试。测试前,使用探子算法去除一部分不存在XSS漏洞的页面,以减少测试阶段与Web服务器的交互次数。此外,还对获取的注入点进行了去重处理,以避免重复检测不同Web页面中相同的注入点,进一步采用XPath路径定位技术提高漏洞检测中结果分析的效率。实验结果表明,该方法能够有效改善XSS漏洞的检测效率。     

跨站脚本漏洞渗透测试技术

为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。     

OS扫描检测方法的研究

OS扫描是黑客进行OS漏洞攻击的前奏，实时检测OS扫描是防止系统遭受OS漏洞攻击的重要手段。文中分析了OS扫描，指出了检测OS扫描的难点，提出了检测OS扫描的方法，并在linux下用开发程序对方法进行了验证。     

基于Windows操作系统的栈溢出攻击验证

目前大部分的缓冲区溢出的攻击都是基于摧毁栈的方式．作者针对Windows操作系统,对栈溢出的原理进行了相关分析,并通过实例完成了一个溢出的攻击验证．实验结果表明,针对有漏洞的代码可以进行漏洞攻击,并给出了防止漏洞攻击的几点建议．     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

Web应用常见注入式安全漏洞检测关键技术综述

针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展。介绍了Web应用常见的注入式安全漏洞的分类,总结了这类漏洞的成因,梳理了安全漏洞检测的复杂性;阐述了注入式安全漏洞检测的关键技术,包括漏洞注入点的分析和识别、符号执行和污点分析以及基于软件分析和测试模型的漏洞检测方法;最后给出了研究展望。     

Web安全威胁与防御技术研究

Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的防御措施和方法,对提高Web安全具有重要的参考价值。     

浅析计算机网络安全的攻防方法与技术

本文介绍当前常见的各种网络攻击方法和安全防护技术,包括各种常见的攻击方式（如泄露、假冒、篡改、恶意攻击、漏洞和阻断服务）和各种常见的网络安全防护技术（如数据流加密、访问控制、数据流过滤、入侵检测技术和安全扫描技术）。     

False data injection attacks against smart grid state estimation:Construction,detection and defense

As a typical representative of the so-called cyber-physical system, smart grid reveals its high efficiency, robustness and reliability compared with conventional power grid. However, due to the deep integration of electrical components and computinginformation in cyber space, smart grid is vulnerable to malicious attacks, especially for a type of attacks named false data injection attacks(FDIAs). FDIAs are capable of tampering meter measurements and affecting the results of state estimation stealthily, which severely threat the security of smart grid. Due to the significantinfluence of FDIAs on smart grid, the research related to FDIAs has received considerable attention over the past decade. This paper aims to summarize recent advances in FDIAs against smart grid state estimation, especially from the aspects of background materials, construction methods, detection and defense strategies. Moreover, future research directions are discussed and outlined by analyzing existing results. It is expected that through the review of FDIAs, the vulnerabilities of smart grid to malicious attacks can be further revealed and more attention can be devoted to the detection and defense of cyber-physical attacks against smart grid.     

Passive browser identification based on the packet length

The browser, as the most frequently used network application software, is an important target of hackers. For network administrators, mastering the browsers used by network users can help them to discover the possible vulnerabilities in the host computers and take defensive measures expediently. In this paper, we propose a passive browser identification method by requesting the packet length. We make use of the difference in requesting the packet length when using different browsers to request the web content, and then achieve the browser identification by the clustering algorithm. The experiment shows that the recognition rate of the five most common browsers can reach more than 90％ in this way, and the time stability of the fingerprinting is also confirmed. This method does not increase the network traffic or interfere with the normal operation of the network, and it can identify web browsers under the condition of both non-encryption and encryption.     

DWT和AKD自动编码器的DDoS攻击检测方法研究

针对DDoS网络流量攻击检测效率低及误报率高的问题,本文提出一种基于离散小波变换(Discrete Wavelet Transform,DWT)和自适应知识蒸馏(Adaptive Knowledge Distillation,AKD)自动编码器神经网络的DDoS攻击检测方法.该方法利用离散小波变换提取频率特征,由自动编码器神经网络进行特征编码并实现分类,通过自适应知识蒸馏压缩模型,以实现高效检测DDoS攻击流量.研究结果表明,该方法对代理服务器攻击、数据库漏洞和TCP洪水攻击、UDP洪水攻击具有较高的检测效率,并且具有较低的误报率.     

基于D-S证据理论的嵌入式固件Web代码静态漏洞检测技术

固件的漏洞挖掘和检测主要包含基于虚拟仿真的动态漏洞挖掘与检测技术和基于逆向工程的静态白盒审计技术等,其存在仿真率低或误报率高等问题,为此,提出了一种基于多维度特征的固件Web漏洞检测方法,利用多维度特征、多层级处理技术和基于D-S证据理论的漏洞推理规则,针对固件Web中常见的各类漏洞进行有效检测,并能降低漏洞检测误报率.     

航天技术验证试验任务综合评估研究

航天技术验证试验任务,是指航天高技术在经过概念探索、关键技术攻关后,为了对关键技术攻关情况进行在轨技术验证而开展的航天飞行试验任务。以航天技术验证试验任务为对象,分析了其概念和特点,综合评估需求,提出了综合评估的分层实施总体框架,给出了综合评估的实施流程,提出了“试验-效益-管理”评估框架,并建立了综合评估指标体系,可为类似的技术验证试验任务的综合评估提供借鉴和参考。     

一种新的移动ad-hoc网络异常入侵检测技术

随着无线网络的发展和移动计算应用的快速增加,网络安全问题更加突出.入侵检测已经从保护固定有线网络扩展到移动无线网络.入侵检测方法有两种:异常检测和误用检测.作为构成无线移动网络两种方式之一的移动ad-hoc网络,由于其与有线网络存在很大差别,现有针对有线网络开发的入侵检测系统很难适用于ad-hoc网络,面临着网络中各种方式的入侵.提出了入侵检测技术在移动ad-hoc网络面临的挑战,并提出了基于移动ad-hoc网络的异常入侵检测系统.     

受免疫原理启发的Web攻击检测方法

随着Internet应用的不断深入,Web服务器成为了黑客的主要攻击目标。为克服传统误用入侵检测系统无法识别未知Web攻击和异常入侵检测系统误报率高等缺陷,受生物免疫系统启发,该文提出了一种基于免疫原理的Web攻击检测方法。给出了自体、非自体、抗原、抗体基因库、免疫细胞等的数学定义,描述了免疫学习算法。对比实验结果表明该方法较传统的基于神经网络和ID3算法的Web攻击检测技术能有效检测未知Web攻击,具有检测率和分类率高、误报率低和实时高效等特点,是检测Web攻击的一种有效新途径。