基于指令集随机化的代码注入型攻击防御技术

针对当前代码注入型攻击防御机制容易被绕过的现状,提出一种基于指令集随机化的防御技术。该技术制定了指令集随机化规则,利用该规则改变obj文件中的指令,从而实现了指令集的随机化。外部注入代码与生成的指令集不兼容,经过动态二进制分析平台翻译后,程序代码正常执行而注入代码变为乱码。基于该技术设计了一套原型系统,并通过大量实验表明可以防御大部分代码注入型攻击。该技术打破了缓冲区溢出漏洞利用所需要的稳态环境,实现了对攻击的主动防御。     

基于符号执行的Tcache Poisoning堆漏洞自动验证方法研究

Tcache Poisoning是面向堆管理机制的一种堆漏洞利用方法，现有的堆漏洞自动验证工作未考虑Tcache带来的影响，无法适用于高版本Glibc堆漏洞自动验证。分析Tcache机制以及Tcache Poisoning验证方法的原理，提出一种基于符号执行的Tcache Poisoning堆漏洞自动验证方法。定义多元组对堆块的状态进行形式化描述，通过对关键API函数的挂钩，在程序运行过程中收集堆块的状态信息，并引入符号变元将外部输入数据符号化，实现关键信息的获取。通过状态监控检测堆漏洞触发，依据Tcache Poisoning堆漏洞自动验证模型，逐步生成Tcache Poisoning攻击约束和攻击载荷约束，最后通过约束求解生成漏洞验证代码。基于S2E符号执行平台实现自动验证系统TPAEG，并对10个测试程序进行测试，其中在Tcache Poisoning方法的7个测试程序中有5个生成了验证代码。实验结果表明，TPAEG可有效地检测堆溢出漏洞和释放后重用漏洞，并能够针对符合Tcache Poisoning攻击特征的场景实现自动验证，完成控制流的劫持并生成验证代码。     

基于漏洞关联攻击代价的攻击图生成算法

在已有的网络攻击图生成方法的基础上,从漏洞关联的攻击代价出发,设计了一种攻击图生成基本框架,提出了一种基于漏洞关联攻击代价的网络攻击图的自动生成算法。该算法能有效结合漏洞之间的相关性,科学地评估攻击代价,有效删除了攻击代价过高、现实意义不大的攻击路径,简化了攻击图,并通过实验检验了该算法的合理性和有效性。     

SQL盲注入快速攻击方法研究

为了给检测SQL注入漏洞提供理论依据和技术支持,通过对SQL注入攻击技术的研究和对SQL注入漏洞的本质特征的分析,提取了可动态配置内部参数的SQL攻击模板集,并以此模板集为基础,结合盲注入技术和多线程技术提出了一种SQL快速攻击方法,并建立了一套SQL盲注入快速攻击原型系统.系统利用SQL注入攻击模板集实施攻击行为,利用多线程技术提高系统攻击效率.实验结果表明,系统可以快速准确地实现攻击目的,获取后台数据库数据,可以很好地应用于检测Web应用程序存在的漏洞.     

基于攻击模式的攻击图自动生成方法研究

基于攻击图的网络漏洞分析是加强网络安全的重要方法。然而,当研究大规模网络时,怎样提高攻击图生成效率是当今研究的热点问题。该文在漏洞分析模型的基础上,提出一种攻击图自动生成方法的模型。从研究攻击者行为的角度入手,定义了攻击模式和相应的Prolog规则,来自动生成基本子攻击和攻击图,很大地提高了漏洞分析的效率。     

一种半监督学习的代码自动生成性能评估方法

为了提高软件开发的质量和效率,代码自动生成是当前的研究热点,代码自动生成的性能是其中的重要问题.现有代码自动生成的性能分析方法较简单,难以评估代码自动生成过程中程序员与代码自动生成工具各自的特征.本文综合考虑了代码自动生成过程中程序员与代码自动生成工具的作用,提出了一种基于半监督学习的代码自动生成性能评估方法,通过抽取程序员行为与代码自动生成工具行为的重要特征,划分代码自动生成的性能类别,建立了基于深度神经网络的代码自动生成过程性能评估模型,并计算程序员行为特征与代码自动生成工具行为特征对性能的影响程度.实验结果表明,该方法可以有效分析程序员行为与代码自动生成工具行为对代码自动生成过程性能的影响.     

基于指令集随机化的抗代码注入攻击方法

代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网（Generalized Stochastic Petri Net,GSPN）建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

代码自动生成的小程序漏洞实时检测系统设计

代码不够全面就会导致代码自动生成的小程序存有漏洞，为了确保代码自动生成小程序的安全性，就需要设计对代码自动生成的小程序漏洞实时检测系统，为此提出代码自动生成的小程序漏洞实时检测系统设计方法。该方法在系统中设计了多种不同的软件，利用软件采集小程序中的漏洞数据，便于后续的检测；同时在系统中设计不同的硬件功能模块，其中任务管理功能模块发挥着重要作用，该模块能够有效地分配检测任务，大大地提升了系统检测效率，基于设计的软件和硬件，实现检测系统的整体设计。实验结果表明，通过对该方法开展漏洞检测个数测试、耗时测试和漏检个数测试，验证了该方法的精准性强、可靠性高。     

基于EBNF和二次爬取策略的XSS漏洞检测技术*

跨站脚本（XSS）攻击是目前互联网安全的最大威胁之一。针对传统基于渗透测试技术的漏洞检测方法中攻击向量复杂度低易被过滤、整体检测流程繁琐等问题,提出了一种基于扩展巴科斯范式（EBNF）的攻击向量自动生成方法和XSS漏洞二次爬取策略。通过定义EBNF规则生成规则解析树,按层次遍历获得高复杂度攻击向量。在首次爬取页面时,将输入点信息嵌入到攻击向量后请求注入,之后进行二次爬取,请求合法参数获得返回页面。最后设计实现了原型系统,并使用两个平台进行漏洞检测。通过对比实验证明,该系统检测流程简单,在一定程度上提高了漏洞检测数,降低了漏洞误报率。     

高速网络下的DDoS检测

分布式拒绝服务（DDos）攻击是长期困扰网络安全领域的问题之一。特别是高速网络下，检测系统需要处理大量的数据，其检测策略和系统处理能力直接影响到DDoS检测的准确率和响应速度。该文提出了在高速网络下的DDoS检测系统DDES（DDoS Detection System）。DDES在协议分析的基础上，对处于危险状态的连接进行统计分析；它采用分布式的结构，多个探测子节点协同分析处理以提高处理性能；同时配合网络边缘设备对攻击源实施阻断。     

Reliable control strategy based on sliding mode observer against FDI attacks in smart grid

This paper is concerned with the reliable operation of cyber-physical systems under false data injection attacks. First of all, a robust adaptive sliding mode observer is designed to estimate the state of the power system; different from the traditional sliding mode observer, the observer we designed is not only robust to state errors but also can automatically adjust the parameter of attack identification. Secondly, a method of attack reconstruction has been given to estimate the actual attack signal. Finally, a reliable sliding mode control strategy is proposed to eliminate the impact of false data injection attacks; compared with the existing results, the designed defense strategy utilizes the reconstructed attack signal in the attack identification scheme and state error signal at the same time. Moreover, a power system with 3 generator buses and 6 load buses is taken as an simulation example to verify the availability of the proposed control strategy.     

微电网在虚假数据注入攻击下的增量检测机制

针对微电网环境下虚假数据注入攻击的状态估计问题，提出了一种基于分析状态测量值增量的攻击检测机制.在假设系统稳态的情况下，对系统测量值的增量，进行关于χ²的假设检验，能够有效检测出精心设计的攻击.对本文提出的方法在Matlab中进行仿真，实验结果表明在特定的系统情况下，对于非恒定的攻击，该方法能提高检测出攻击的成功率.     

自适应分布式拒绝服务攻击的防御机制研究

该文提出了一种基于路由器协同的自适应分布式拒绝服务攻击的入侵检测和防御机制。该机制基于对链路拥塞的检测及丢包率的分析实现攻击检测并构造攻击特征，然后对符合攻击特征的包进行速率限制，同时将攻击特征与速率限制请求通过路由器之间的回溯追踪协议向攻击源方向逐跳传递，并在沿途经过的路由器上实施速率限制，在迅速缓解网络拥塞和抑制DDoS攻击的同时最大程度地保护了正常网络流的通信。该文还在网络仿真平台NS2上实现了该机制，实验结果表明该算法有效地实现了抑制攻击和保护正常网络流的预期目的。     

基于指标依赖模型构建与监控的攻击检测方法

随着攻击技术的不断演进,防御的难度也与日俱增.为了及时有效地识别和阻断攻击的实施,学术界与工业界已提出众多基于攻击检测的防御技术.现有的攻击检测方法主要着眼于攻击事件,通过识别攻击特征或者定位异常活动来发现攻击,分别具有泛化性和攻击导向性不足的局限性,容易被攻击者精心构造的攻击变种绕过,造成漏报和误报.然而本文根据观察发现,尽管攻击及其变种可能采用众多不同的攻击机制来绕过一些防御措施,以实现同一攻击目的,但由于攻击目的不变,这些攻击对系统的影响依然具有相似性,因此所造成的系统影响并不会随攻击手段的大量增多而随之产生对应的增长.针对该特点,本文提出基于攻击指标依赖模型的攻击检测方法以更有效地应对攻击变种.本文所提出的指标依赖模型着眼于漏洞利用后对系统的影响而非变化多样的攻击行为,因此具有更强的泛化能力.基于模型指导,我们进一步采用多层次监控技术,以迅速捕获定位攻击迹,最终实现对目标攻击与变种的精确检测,有效降低攻击检测的误报率.本文在DARPA透明计算项目以及典型APT攻击组成的测试集上与现有的基于攻击事件分析的检测方法进行实验对比,实验表明在预设场景下本文所提出的方法可以以可接受的性能损耗实现99.30%的检出率.     

对Wu-Wang盲签名方案的攻击与改进

分析了Wu-Wang提出的基于离散对数问题的盲签名方案的安全性,给出了一个攻击,即签名请求者仅执行一次方案可以同时得到两则不同消息的有效签名。针对该攻击提出一种改进方案,通过在签名阶段引入一个随机数来抵抗此种攻击,使得方案安全性能提高。     

一种基于模糊关联规则挖掘的攻击识别系统

降低攻击识别中的漏报率和误报率是现在一个急需解决的问题。论文分析了攻击识别的需求与模糊关联规则挖掘的有关概念,并且以此为基础构建了一个攻击识别系统。该系统不但能够很好地满足攻击识别的要求,而且还能同时对异常攻击和滥用攻击进行识别,并且在很大程度上降低了攻击识别中的漏报率和误报率,极大地增强了信息系统的生存力。     

辫群上密钥协商协议的改进与安全性分析

对辫群上密钥协商协议进行安全性分析,指出该协议无法抵抗中间人攻击,在密钥协商协议基础上,提出一种改进的密钥协商协议。该协议在密钥协商的过程中,采用辫群上的数字签名进行认证,有效防止中间人攻击和重放反射攻击。分析结果验证了该协议的安 全性。     

基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

分布式拒绝服务（DDoS）攻击是网络环境中最具破坏力的攻击方式之一,现有基于机器学习的攻击检测方法往往直接将某时刻的特征值代入分类器进行分类,没有考虑相邻时刻特征之间的联系,因而导致误报率和漏报率较高。提出一种基于隐马尔科夫模型HMM时间序列预测和混沌模型的DDoS攻击检测方法。针对大规模攻击网络流量的突发性,定义网络流量加权特征NTWF和网络流平均速率NFAR二元组来描述网络流量的特点;然后采用层次聚类算法对训练集进行分类,以获取隐层状态HLS序列,利用NTWF序列和HLS序列对HMM进行监督学习获得状态转移矩阵和混淆矩阵,以预测NTWF序列;最后通过混沌模型分析NTWF序列的预测误差,结合基于NFAR的规则来识别攻击行为。实验结果表明,与同类方法相比,所提方法具有较低的误报率和漏报率。