防火墙通信日志处理技术研究

目前，防火墙已经成为最基本的网络安全设备，通信日志功能是其必不可少的功能。文章针对高速网络环境中防火墙通信日志具有的特点，提出了一种防火墙通信日志处理方案，该方案能完整、有效地记录到达或穿过放火墙的所有通信日志．既节省了通信日志存储空间，又提高了通信日志的审计效率。     

一个基于跟踪的计算机取证过程模型

为了克服基于“事后取证”理念而设计的计算机取证过程模型的不足，借鉴传统刑事案件侦查的“秘密侦查措施”，在计算机取证技术体系中引入“跟踪”、“监控”、“网络渗透”等主动采集技术，提出了一个基于跟踪的计算机取证过程模型。介绍了该模型的工作流程，分析了该模型的特色，指出了该模型的适用范围。     

基于数据流的启发式文件传输识别系统设计

为了防止文件通过网络泄露,研究了网络传输文件的格式、传送形式以及通信行为特征,提出一种基于网络数据流的文件传输识别方法。通过引入文件数据流的概念,构建了具有特异性的文件特征指纹库,采用自适应深度协议分析技术,对文件传输在通信协议中表现出的内容和行为特征信息进行多层次启发式的检测。测试结果表明,该系统运行高效,检测结果准确。     

基于运动轨迹分析的启发式木马检测系统

针对主动防御技术检测准确率不高的问题,提出了一种基于运动轨迹分析的启发式木马检测系统。提出了两种典型的木马运动轨迹,利用运动轨迹上的行为数据,结合判定规则与算法,实现对可疑文件危险等级的检测。实验结果表明,该系统检测未知木马性能优于传统方法,并且能够检测一些特殊木马。     

基于差异对比法的文件可疑通信行为检测

针对恶意程序对计算机用户造成的危害以及其数量上的快速增长,提出了一种基于文件网络通信行为数据的检测系统。重点介绍了基于差异对比法的可疑通信行为检测模型,给出了系统各模块协同工作流程图以及系统中关键技术的实现代码。测试结果表明,该系统具备通信检测、通信进程检测和域名信息检测功能。     

MS-CHAP鉴别协议安全性分析

微软质询-握手鉴别协议（MS-CHAP）通常被嵌入到其他协议中,通过＂三次握手＂对参与通信的实体进行身份鉴别.利用一种基于攻击者协议验证方法对MS-CHAP协议的安全性进行了形式化分析,发现该协议存在使攻击者无需破解口令即可通过身份鉴别的安全漏洞,并给出了相应的攻击剧本.研究表明MS-CHAP协议存在致命安全缺陷,不能达到预期的安全目标.     

特洛伊木马穿透个人防火墙技术综述

本文首先介绍了特洛伊木马的概念,然后着重介绍了在Windows操作系统环境下特洛伊木马如何利用网络协议躲避防火墙和系统工具的检查,成功地实现了木马的通信隐藏。     

IPSec通信截获与阻断系统研究*

由于IPSec协议本身具有的完备性和安全性,使得阻断IPSec通信非常困难,特别是在IPSec通信截获与阻断设备并联接入的情况下,一旦通信双方建立起IPSec安全关联再实施阻断几乎是不可能的。给出了一种截获并阻断IPSec通信的实现方案,在此基础上,介绍了发现并阻断IPSec通信的方法。     

基于验证欺骗的AVM2虚拟机逃逸技术

介绍了AVM2虚拟机的应用背景、安全研究价值和逃逸技术现状。从AVM2安全模型中的ABC验证缺陷入手,结合宿主环境漏洞和字节码仿真引擎漏洞,研究了基于验证欺骗的逃逸技术细节。最后根据当前研究成果,提出相应的防范策略,以及下阶段的改进目标。