Protecting Against Address Space Layout Randomisation (ASLR) Compromises and Return-to-Libc Attacks Using Network Intrusion Detection Systems

Writable XOR executable （W⊕X） and address space layout randomisation （ASLR） have elevated the understanding necessary to perpetrate buffer overflow exploits [1] . However, they have not proved to be a panacea [1 3] , and so other mechanisms, such as stack guards and prelinking, have been introduced. In this paper, we show that host-based protection still does not offer a complete solution. To demonstrate the protection inadequacies, we perform an over the network brute force return-to-libc attack against a preforking concurrent server to gain remote access to a shell. The attack defeats host protection including W⊕X and ASLR. We then demonstrate that deploying a network intrusion detection systems （NIDS） with appropriate signatures can detect this attack efficiently.

基于知识图谱的空管信息系统威胁评估研究

随着空管信息系统的智能化和开放化发展,风险暴露面正逐渐增大。威胁评估是有效评估空管信息系统脆弱性和安全风险的重要手段,但以往的威胁评估模型大多存在两方面的局限。一方面,通常只关注威胁信息的显性关联关系,导致潜在的攻击路径被忽视或未能被准确地分析;另一方面,在量化威胁时考虑的因素较为粗略,与实际系统环境脱节,导致威胁严重程度和实际情况不符。为此,提出一种基于知识图谱的空管信息系统威胁评估模型。将知识图谱本体模型范围扩展到资产安全属性、缓解措施和被攻陷资产等关键概念,充分融合资产、攻击、漏洞等多源威胁数据构建安全知识图谱,并设计逻辑推理规则弥补知识图谱描述能力的限制;提出推理规则融合广度优先策略的攻击路径识别算法,提取更加全面和准确的攻击路径和攻击关系;基于系统实际运行环境提出细粒度的威胁量化方法,考虑资产外部暴露程度、物理保护和网络防护等因素。实验表明该评估模型有助于识别空管信息系统中多漏洞联合利用形成的潜在攻击路径,同时根据威胁量化对攻击响应进行优先级排序,能有效提高网络安全防御效率。

基于知识图谱的网络攻击预测方法研究及应用

针对网络攻击知识图谱,同时引入了时序信息,提出一种基于知识图谱的网络攻击预测方案,并对其进行应用。通过对网络攻击知识图谱进行规则学习和应用,能够有效地得到网络攻击事件预测结果,为网络安全运维人员提供决策支持。以企业提供的网络安全运维知识图谱为例,将文中研究的方法应用到企业安全检测系统,结果证明该方法具有充分的准确性和可行性,同时为后续研究提供了思路。

栀子在《伤寒杂病论》中配伍应用规律探讨

栀子在《伤寒杂病论》中共涉及经方10首,根据对其相关原文以及文献资料的整理分析,对其配伍规律得出以下结论:(1)仲景对栀子的用量较为稳定,为14~15枚不等,约12.6~19.5 g,皆取生品入汤剂。(2)所伍经方主治症状多以烦、热为主,病位多在上焦,涉及中下二焦,原文提示六经多在太阳、阳明及厥阴,病机皆突出郁热内结的特点。(3)栀子的配伍甚为灵活,基于中医治疗八法分析,其配伍组方规律体现在:①以清法为主,如代表方栀子豉汤,栀子配豆豉而成清宣里热基本药对;②清中兼下-栀子配厚朴、枳实或大黄以清热通腑,利湿退黄,有栀子大黄汤、枳实栀子豉汤等;③清中兼消——栀子配茵陈、黄柏以清消湿热,解毒退黄,有茵陈蒿汤、栀子柏皮汤等;④清中兼温——即栀子干姜汤中配入干姜,寒温并用,清热温中;⑤清中兼补——即栀子甘草豉汤中配入甘草,补益中气,标本兼顾;⑥清中兼和——即栀子生姜豉汤中配入生姜以调理气机,降逆和中。仲景运用栀子灵活巧妙,药简力宏,探析其配伍规律对现代用药组方思路颇具指导性及启发性。

基于关联规则与离群点的新能源汽车动力域入侵检测

为提高新能源汽车动力域中针对篡改攻击的入侵检测系统效果,建立包括关联规则检测和离群点检测的动力域防护模型,通过实车采集固定工况下的动力域报文数据,基于关联规则算法建立规则库检测篡改攻击;在关联规则检测的基础上通过离群点检测,检测复杂类型的篡改攻击。仿真结果表明,该方法相比于传统的关联规则方法检测准确率提高5.83%,能有效检测针对新能源汽车动力域的篡改攻击。

基于潜在数据挖掘的小样本数据库对抗攻击防御算法

为了降低小样本数据库欺骗率,提升小样本数据库的攻击防御效果,设计了一种基于潜在数据挖掘的小样本数据库对抗攻击的防御算法(潜在数据挖掘的防御算法).采用改进的Apriori算法,通过频繁属性值集的工作过程获取准确的强关联规则优势,并从小样本数据库中挖掘潜在数据对抗攻击,同时优化候选集寻找频繁集的过程,然后利用关联分析检测对抗攻击,并通过可信度调度控制访问速率来防止产生恶意会话,实现小样本数据库对抗攻击防御.实验结果表明,潜在数据挖掘的防御算法可有效防御小样本数据库遭受的多种类型攻击,降低攻击产生的数据库欺骗率,保障小样本数据库服务器利用率的稳定性.

网络攻击和网络攻击事件判定研究

由于网络攻击技术的复杂性和攻击事件的紧耦合性,目前对网络攻击测评难以定量。对网络攻击、网络攻击事件的判定和计数规则进行研究,提出网络攻击、网络攻击事件分类判定和计数的原则,给出了其应用场景的具体建议。为网络攻击和网络攻击事件组织进行网络攻击和网络攻击事件判定提供技术支撑和标准建议,支撑网络攻击态势的共享和准确感知。

AES密码芯片DPA攻击的关联检测算法设计

当芯片在执行不同的指令各种运算时,对应的功率消耗也相应变化。DPA攻击使用数学统计技术,来检测和分析这些变化,从而得到芯片中的特定关键信息,对这种攻击准确检测至关重要。提出了基于关联规则的AES密码芯片DPA攻击检测算法。利用关联规则算法,获取加密数据的关联度主特征量,根据AES密码芯片遭受的单分量信号模型,获取DPA攻击信号的伸缩变化,通过对攻击信号的分解,结合尺度仿射变换,实现了AES密码芯片DPA攻击的检测。实验结果表明:所提方法能够准确检测到AES密码芯片遭受的DPA攻击,降低了误检率,提高了AES密码芯片的安全性。

基于红黑隔离架构的网络安全设备设计

基于IP(Internet Protocol)技术的天地一体化网络数据传输易受非法攻击,基于IPSec(Internet Protocol Security)的传统网络安全设备采用单主机同时连接内网和外网处理单元进行设计,存在非授权用户通过外网直接访问受保护内网的风险。文中提出了一种基于红黑隔离架构的网络安全设备新方案。方案采用红黑分区的设计理念和基于Linux下IPSec框架的VPN(Virtual Private Network)技术,通过在红区实现传输数据、基于“五元组”的安全保密规则合法性验证以及IPSec ESP(Encapsulating Security Payload)协议封装与解封装变换,在黑区实现ESP封装加密数据的公网收发,在安全服务模块实现根据外部指令完成加密算法动态切换和ESP封装数据的加解密处理,并将安全服务模块作为红区和黑区之间数据交换的通道,达到内网和外网相互隔离且有效保障内网安全的目的。实验结果表明,基于红黑隔离架构的网络安全设备抗攻击能力强,加密算法可更换,在百兆带宽条件下1024 Byte包长加密速率大于50 Mbit·s^(-1)。

近距引导战斗机自动攻击控制律实现

针对现代战斗机向目标空域的近距引导过程,建立了战斗机与目标相对运动的数学模型,提出了战斗机自动攻击的概念,并推导出一种基于瞄准误差的战斗机近距引导律。在此基础上,设计了近距引导战斗机自动攻击控制律。最后对基于瞄准误差的引导算法进行仿真,结果表明基于瞄准误差的近距引导方法很好地消除了瞄准误差,能够满足战斗机近距引导指标。

基于规则的域间路由系统异常检测

随着Internet的爆炸性增长,域间路由系统变得越来越复杂并难以控制,许多与域间路由安全相关的事件广泛引起了人们的关注。提出一个基于规则的域间路由监测框架,其中的规则可分为常规异常检测规则和特殊异常检测规则,它们能有效用于检测异常路由和可能的攻击行为,这两种规则的不同在于特殊异常检测规则是由大量路由得到的Internet模型来定义。研究了Internet层次模型与ISP商业关系模型的构造,基于这个框架实现了一个原型系统———ISP-Health,最后给出了检测能力结果。

基于数据挖掘的网络数据库入侵检测系统

提出一种基于数据挖掘的网络数据库入侵检测模型 (NDBIDS) ·讨论了NDBIDS的结构及各部件的功能·利用关联规则Apriori算法 ,对用户正常历史数据进行挖掘 ,并对产生的规则进行归并更新 ,通过训练学习生成异常检测模型 ,并利用此模型实现基于数据挖掘的异常检测·NDBIDS可以检测伪装攻击、合法用户的攻击和攻击企图三种类型的攻击 ,通过实验给出了相应攻击的检测率、假报警率、漏报率和检测正确率·本系统的建立不依赖于经验 。

Granger因果关系检验在攻击检测中的应用研究

在时态数据挖掘框架下,对基于Granger因果关系检验的攻击检测方法进行了研究。通过计算多个前兆输入时间序列与给定异常输出时间序列之间的因果关联程度,可从描述网络系统安全状态的多元时间序列数据集中检测出网络攻击行为的前兆,进而形成可供实际检测和预警使用的高置信度前兆规则和因果规则。对所提方法的正确性和精度进行了验证,并在设计的攻击检测与预警原型系统中对其进行了应用分析。

基于双枝模糊集的一致性模糊变权Petri网攻击模型

以Petri网为基础,结合双枝模糊集理论,定义了一种新型的一致性网络攻击模型CBBVFPN,并根据CBBVFPN模型的特点构造出了相应的形式化推理算法。该模型弥补了以往基于Petri网的攻击模型共同具有的一些缺陷,同时对"AND"和"OR"两种基本Petri结构进行了扩展。在推理过程中,为了防止以一个真实度很低的命题为前提继续推理,得出真实度更低的命题而背离事实,提出规则演化和变权的方法来处理真实度低的命题。推理算法使用统一的方式表示肯定命题和否定命题,并且在算法中加入控制条件,以保证推理过程和推理结果的一致性。最后以Botnet攻击为实例验证了本算法。

基于攻击严重性的模糊入侵检测系统模型

分析了影响攻击严重性的主要模糊信息,提出了一种基于攻击严重性的具有模糊判决能力的入侵检测系统模型,并给出了相应的模糊比例微分积分规则产生器结构模型。最后讨论了该模型的特性。

生化恐怖袭击下行人应急引导疏散仿真研究

地铁站厅等公共场所具有人员密集、空间封闭、地形环境复杂的特点,发生生化恐怖袭击时极易造成大量的人员伤亡。针对生化恐怖袭击时的地铁站厅应急疏散中存在的问题,在疏散时间经验公式基础上结合行人逃生规则制定引导方案对行人进行引导疏散。并分析不同特征的行人在生化恐怖袭击中行为差异,以及对引导疏散过程的影响。通过基于社会力开发的仿真模型模拟各种场景下的疏散过程,指出应急引导疏散方案制定中环境因素及行人行为特征的重要性。

基于粗糙集的实时网络安全态势评估的研究

针对网络安全态势评估中评估精度以及实时性不足的问题,提出了基于粗糙集的实时网络安全态势评估方法。通过粗糙集理论从多样本数据中发现高质量的攻击规则集,生成多级规则树,将规则与实时攻击感知引擎结合,实现对动态数据流的在线分析检测,最后将实时检测的结果作为态势评估的依据,并根据层次化态势评估模型实时计算整体网络的安全态势值。经测试证明该方法有效地提高了态势评估的客观性、实时性、准确性。

基于状态图的缓冲区溢出攻击分析

结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对缓冲区溢出攻击的检测,在此基础上构建一个基于状态图的缓冲区溢出攻击的分析模型。该模型对于进一步明确缓冲区溢出攻击过程和完善缓冲区溢出攻击的检测和防御有很大的理论和实际意义。

攻击行为系统化分析方法

针对日益严重的攻击行为,通过对大量攻击以及现有攻击分析方法的研究,本文提出了一个系统地分析和描述攻击行为的方法。此方法不仅能够有效地分析和描述攻击的本质特征,还能分析攻击的过程,具有广泛的适用性。文中还讨论和分析了在此基础上对该方案进行裁剪的原则和方法,以增加其适用性。通过诸多攻击实例验证了所给方案的有效性和适用性。

PLC控制系统入侵检测技术研究

由于PLC控制系统有别于传统的计算机网络系统,传统的病毒检测、网络入侵检测技术无法有效检测PLC控制系统攻击。设计一种非介入式的PLC控制系统入侵检测方法,采用以太网数据监听与现场控制网数据监听技术相结合的方法,通过PLC控制系统输入输出业务信息一致性检测,实现PLC恶意代码篡改数据攻击检测,通过业务规则检测实现违反业务约束的恶意控制指令检测。完成了PLC控制系统入侵检测系统开发,测试表明系统可以有效检测PLC系统的恶意代码攻击和恶意控制指令攻击。