面向密码协议在线安全性的监测方法

为解决现有方法无法在线监测协议逻辑进行的低交互型攻击的问题,提出一种密码协议在线监测方法CPOMA。首先构建面向密码协议的特征项本体框架,以统一描述不同类型的特征项,并基于该框架首次利用模糊子空间聚类方法进行特征加权,建立个体化的密码协议特征库;在此基础上给出自学习的密码协议识别与会话实例重构方法,进而在线监测协议异常会话。实验结果表明,CPOMA不仅能够较好地识别已知协议、学习未知协议、重构会话,而且能够有效在线监测协议异常会话,提高密码协议在线运行的安全性。     

基于熵估计的安全协议密文域识别方法

现有基于网络报文流量信息的协议分析方法仅考虑报文载荷中的明文信息,不适用于包含大量密文信息的安全协议。为充分发掘利用未知规范安全协议的密文数据特征,针对安全协议报文明密文混合、密文位置可变的特点,该文提出一种基于熵估计的安全协议密文域识别方法CFIA(Ciphertext Field Identification Approach)。在挖掘关键词序列的基础上,利用字节样本熵描述网络流中字节的分布特性,并依据密文的随机性特征,基于熵估计预定位密文域分布区间,进而查找密文长度域,定位密文域边界,识别密文域。实验结果表明,该方法仅依靠网络数据流量信息即可有效识别协议密文域,并具有较高的准确率。     

基于主体行为的多方安全协议会话识别方法

针对分布在多个相关流中的多方安全协议会话问题,提出了多方安全协议会话的3个启发式的主体行为特征——邻接主机行为、主体角色行为以及主机消息行为,给出了主体行为特征检测原理,提出了多方安全协议会话识别方法。针对3个典型的多方安全协议,分别在3种会话运行场景下进行实验,结果表明该方法识别率在90%以上,误报率和漏报率在6%以下,能够有效地识别协议会话。