基于RASP技术的Java Web框架漏洞通用检测与定位方案

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88. 2%,且该方案性能消耗小。     

基于深度学习的高结构化恶意样本的检测方法

随着攻击检测及缓解等安全防护能力的增强,高结构化的文件(如PDF、HTML等)成为当前漏洞利用的主要目标。由于高结构化的文件具有结构复杂、格式多样、自定义规则灵活等特点,恶意样本的模式与规则难以抽取,导致传统基于模式和规则的检测方法难以应对高结构化恶意样本的检测问题。边界值填充、恶意代码嵌入等操作使得恶意样本字节流分布有所改变,依据样本字节流分布差异,本文提出了一种基于深度学习的高结构化恶意样本的检测方法(JLMethod)。该方法使用卷积神经网络对样本文件的字节流特征进行分类,能有效检测出恶意样本。在文档型PDF文件实验中以4. 1‰的漏报率、99. 59%准确率和在非文档型HTML恶意样本(WebShell)检测实验中以8. 5‰的漏报率、98. 89%准确率,验证了本文方法在高结构化恶意样本检测方面的可行性。     

高隐蔽性的无线网络主动钓鱼攻击及其防范研究

提出一种新的无线网络钓鱼攻击,该攻击采用主动攻击方式,将受害者切换到钓鱼无线接入点,同时使用低速率无线网络攻击以提高隐蔽性,并讨论了高隐蔽性无线主动钓鱼攻击模型和攻击条件,给出了一种实现此攻击的具体方法以证明其可行性.同时,针对该类型攻击提出了一种基于累加和控制(CUSUM)的检测方法,并验证了其有效性.     

一种基于约束的指针程序路径选择方法

动态符号执行是对程序进行安全性分析的重要技术.在动态符号执行过程中,存在着符号地址,系统调用,路径选择等问题.针对符号地址导致的别名分析问题,本文提出了一种基于约束的指针分析方法,对程序进行过程内的指向分析,并对指针分析过程引入约束条件,产生可以进行路径选择的测试用例,以提高指针分析的精度.在国内首款某型号商用编译器的开发过程中实现了该方法,实验结果表明,该方法可以准确地分析C语言测试用例,缩短用例测试的时间.     

一种基于带权CAT的DDoS分布式检测方法

针对DCD(distributed change-point detection)方案存在受害端开销大、检测率低等问题,提出了一种基于带权CAT(change aggregation trees)的检测方案.采用分布式分级体系结构,将检测任务分布到互联网源端、中间网络和受害端,实现攻击的早期检测;利用CUSUM算法对微小变化的敏感性,在源端主机和中间网络的路由器处进行基于到达目标数据包数量的检测以及基于超级流聚合变化的检测;受害端进行基于域树权重的榆测.实验和分析表明,CAT方案对UDP攻击的检测率从DCD的最高0.72提高到0.94,TCP攻击检测率也略有提高;网络的通信开销和受害端的存储丌销从o(mnk)降为o(mk),受害端的计算开销从o(mn)降为o(m).系统在实现检测的同时,获得了攻击路径和攻击的准确位置,实现了DDoS攻击的分布式追踪.     

DroidFAR:一种基于程序语义的Android重打包应用抗混淆检测方法

为了使Android平台重打包应用检测的方法在面向大规模移动应用中既能实现快速、准确地检测重打包应用又能对抗代码混淆攻击,本文提出了一种基于程序语义的重打包应用抗混淆检测方法.该方法首先进行粗粒度的检测,即先将应用的程序依赖图抽象成程序语义特征,通过计算程序语义特征之间的相似性,实现快速的可疑重打包应用检测;然后使用程序依赖图作为应用的特征,完成可疑重打包应用细粒度的准确检测.基于文中的方法设计并实现了原型系统DroidFAR(Fast,Accurate and Robust).实验结果表明,本文方法检测的准确率达到95.1%,误报率低于1.2%,且能够有效地抵御代码混淆攻击.     

基于图像重照明的深度伪造检测躲避方案

现有的深度伪造检测技术并不鲁棒,容易遭受对抗攻击的干扰。为此,提出一种基于图像重照明的鲁棒并且隐蔽的对抗攻击方案,通过估计、分离原始光照,并使用精心设计的对抗光照对原始的输入进行重新渲染,可以有效绕过现有的基于空域、频域和生理信号域等三类常见的检测方法。实验评估了攻击的有效性、对现有检测方法的通用性、针对图像变换的鲁棒性以及视觉质量损失等。实验结果表明,本文方案针对现有的三种深度伪造检测方法,在白盒情况下攻击成功率达到99.6%,在黑盒情况下最优攻击率为69.8%,并可以抵御常见的图像变换的扰动攻击,具有很好的鲁棒性,可以有效地部署在真实环境中。     

针对随机时间片对抗的PA分析方法研究

在抗功耗分析的实际应用中,随机时间片作为一种常见的对抗方法,具有安全性高和开发成本低的优点.本文针对现有随机时间片下的攻击方法普遍具有的复杂度较高,以及通用性较低的问题,提出两种新型的PA(power analysis)攻击方法,即当量法和相关性法.这两种方法分别通过对不同单位周期的功耗以及相关性的比较对功耗曲线进行分析,以较小的代价确定目标轮次所在位置,并对曲线进行对齐操作,实现有效的功耗分析.与已有攻击方法的比较,以及实验结果均表明这两种攻击方法能以较低分析复杂度和较少分析样本,对工业级密码芯片中普遍采用的以时钟周期为插入单位的随机时间片对抗方法进行有效攻击.     

SDN环境下的DDoS攻击检测方案

DDoS攻击(分布式拒绝服务攻击)对于软件定义网络的危害是致命的,如何快速准确地检测出DDoS攻击对于SDN安全至关重要。提出一种SDN(software-define networking)环境下基于广义信息熵和GA-RBFNN(genetic algorithm-radical basis function neural network)的DDoS攻击检测方法。利用熵检测流量,根据划分的阈值把检测结果分为正常,异常和攻击。对于异常的警告,控制器通过提取OpenFlow交换机的8元流量特征,利用GA-RBFNN来检测是否发生DDoS攻击。实验表明,与其他方法相比本方案提高了检测准确率,降低了控制器开销,有较好的综合检测能力。     

云环境下基于内存总线的侧信道攻击检测方法

云计算环境下存在基于内存总线阻塞的侧信道,恶意用户可利用该侧信道以最低权限窃取客户敏感信息.针对这一问题,本文引入时序差分熵和虚拟机自省技术,提出了一种面向云计算的基于内存总线的侧信道攻击检测方法.该方法不仅可依据内存阻塞时序特征及系统负载状况对系统状态分类,而且实现了系统高危态的精确判定和恶意进程定位.实验结果表明:该方法能准确识别攻击的存在性,并能实现恶意进程的定位.     

开放式Web平台可信性:问题与对策

对近期出现的开放式Web平台共性特征进行了分析,提出了开放式Web平台由于其系统架构,在可用性、安全性及隐私性等方面存在的问题,并通过实验证明了上述问题的存在.对于增强此类系统可信性,本文认为应重视由RESTfulWebServices远程调用所带来的时间开销,在第三方服务器暂存请求副本并增加DDoS攻击检测功能;开放式Web平台应对其与第三方应用服务器之间的通信进行加密.提出了一种基于任意测试位置的第三方应用评测算法,该算法仅使用较少的测试数据.实验表明,该算法能有效检测存在安全性及隐私性漏洞的第三方应用.     

静态可信度量根安全证明方法

针对可信计算静态信任链中的度量核心CRTM存在着实现上的度量不完整、不准确、以及带来的安全威胁的问题,详细描述了静态可信度量根SRTM的度量漏洞,基于可信平台模块TPM时间戳和SMI中断,提出了一种完整的SRTM度量过程和安全证明协议,通过构造可靠的CRTM安全协议,使得攻击者对时间阈值的篡改攻击是不可行的,有效修补了SRTM系统存在的安全漏洞.     

无线钓鱼接入点攻击与检测技术研究综述

随着城市无线局域网热点在公共场所大规模的部署,无线局域网安全变得尤为突出和重要,其中无线钓鱼接入点(AP:Access Point)攻击是无线网络中严重的安全威胁之一.本文介绍了无线钓鱼AP攻击存在的威胁,详细分析了无线钓鱼AP攻击的基本原理和实现,阐述了无线钓鱼AP攻击主要目的和构造实现方法.基于无线钓鱼AP攻击的基本原理将无线钓鱼攻击实现方式分为被动式攻击和主动式攻击,并分别从物理层和MAC层详细分析了主动式攻击.对现有无线钓鱼AP检测技术:无线端、有线端和混合式三类嗅探检测技术,重点分析了基于802.11特征指纹的检测技术.对未来工作进行了展望,介绍了下一代无线钓鱼AP检测技术的特征.     

针对随机延迟防护的安全性评价方法

提出了一个针对随机延迟防护的攻击方法的分析评价框架.在这个框架的基础上分析了直接攻击和整合(integration)攻击的攻击效率.同时,提出了一种新的攻击方法 WIA(带权重的整合攻击),分析了其在各种条件下的攻击效率,得出了比现有文献更一般性的结论.试验结果表明,相比于已有的攻击方法,WIA的攻击效率更高,因此WIA的攻击结果更能科学地反映随机延迟防护的安全性强度.     

一种杀毒软件升级流程的安全性分析方法

针对杀毒软件升级中存在的安全风险问题,基于杀毒软件升级流程,提出了一种静态分析与动态分析相结合的杀毒软件升级流程的安全性分析方法.该方法利用网络抓包理清升级的基本流程,通过进程监视获得升级文件信息,采用静态分析方法理解升级代码,用动态调试确认升级流程存在的安全问题,定位漏洞.运用该方法对百度杀毒、金山毒霸、瑞星、360杀毒这四款国内常用杀毒软件的升级流程进行分析,发现其中存在密钥泄露、校验逻辑泄露等漏洞,通过中间人攻击证实了这些漏洞的存在.同时,本文提出了加强DNS防护,SSL协议加密、对网络传输的明文数据进行签名以及对升级前后的文件进行数字签名等安全加固建议.     

针对RED脆弱性的分布式LDoS攻击构造

针对随机早期检测(random early detection,RED)算法在慢速拒绝服务攻击(low-rate deny of serv-ice,LDoS)面前的脆弱性问题,本文通过对比路由器分别在RED和尾丢弃Drop-Tail算法管理下遭受LDoS攻击时的队列平均占用率及吞吐量,指出虽然路由器在RED算法下具有较大的空闲缓冲区,却不能对网络流量攻击起到缓冲作用.仿真对比实验表明,LDoS攻击使得路由器在RED下比Drop-Tail具有更大的链路损失带宽.指出现有LDoS的防范和检测方法的不足,构造了一种分布式LDoS攻击模型并给出一组模型实例,该模型说明现有突发流量检测方法不足以弥补RED脆弱性,也说明网络流量行为的关联复杂性.     

基于内存对象访问序列动态胎记的程序同源性判别方法

针对现有二进制程序同源性判别方法受限于特定编程语言或环境、难以应对复杂的代码混淆攻击、易受依赖库影响等问题,提出了一种基于内存对象访问序列动态胎记(dynamic birthmarks based on memory object access sequences, DBMOAS)的程序同源性判别方法。该方法将程序对数据结构的访问顺序流作为程序语义的一种鲁棒性特征并加以分析,能较好地应对复杂的代码混淆攻击;基于动态污点分析,表征程序的数据结构,解决了二进制程序缺少数据结构与类型的语义表示问题。为验证DBMOAS方法的可信性和弹性,在窗口大小取值不同的情况下,测试具有相似功能的独立程序间的相似度;针对不同编译器、编译选项、混淆方法、版本迭代产生的同源样本,测试程序间的相似度。实验结果表明,本文方法能有效判别程序间的同源性,可信性评估中误判率仅为6. 7%,弹性评估中无漏判情况。     

基于高频压电阻抗谱的钢框架损伤识别研究

采用压电阻抗技术(EMI)对三层钢框架进行了损伤模拟实验,通过拧松钢框架节点的螺栓来模拟损伤,测试了钢框架在不同损伤程度下的电导纳值.并采用均方差(Root Mean Square Deviation,RMSD)、协方差(Covariance)和均方根(Root Mean Square,RMS)作为损伤程度参数指标对实验数据进行了分析,验证了利用压电阻抗技术进行结构健康检测的有效性,表明RMSD指标对反映结构损伤程度更准确可靠.     

对ICBGCM混沌图像加密算法的安全性分析

针对一个用于图像加密的密码算法(ICBGCM)在已知罔像条件下的安全性问题,给出了求解加密算法等效密钥的攻击算法.该算法基于ICBGCM算法所使用的广义混沌Cat映射的短周期性和仿射特性,在已知图像的条件下,通过求解两个线性无关的加街前后的图像像素灰度值点,获得广义混沌Cat映射的全部等效密钥参数.利用穷尽方法求出加密算法的其余等效密钥.给出了应用该算法的具体步骤,并分析了攻击算法的计算复杂性.所得结果证明了lcBGCM算法在已知图像攻击下是不安全的.     

Android平台下勒索软件的主动实时检测

针对最近愈发猖獗的勒索软件,本文在Android平台上设计了一种针对Android勒索软件的主动实时检测方法.该方法可以在用户失去对设备或文件的控制权之前,检测并消除勒索软件恶意行为的危害.该方法对勒索软件检测分为两个阶段,静态特征分析阶段和动态行为实时监控阶段,这两个阶段分别实现了对锁屏策略检测和加密行为检测.对针对Android勒索软件的主动实时方法进行实现,并使用收集到的675个勒索软件样本和9 238个正常应用对系统进行评估.结果显示,该系统在检测勒索软件方面有很高的准确率和很低的误报率.同时系统在移动设备上的资源消耗低,具有很高的实用性.