NetExtractor:基于网络轨迹的未知协议逆向方法

网络协议逆向工程是许多安全领域面临的重要挑战.当前主流方法是对网络轨迹间的字符和令牌进行比对切分,但现有工作在推导时受限于二进制协议字段取值差异高、状态复杂等特性,存在格式过度切分和多状态字段标注精度低等问题.基于此,本文提出NetEx‐tractor工具,集成格式提取优化方法和状态标注优化方法.在格式提取阶段,提取网络轨迹时空特性进行粗聚类,而后进行多序列比对,利用统计特性进行优化合并,进一步提高格式提取的精准度.在状态标注阶段,引入编辑距离衡量字段间差异,结合随机森林和统计特性对候选状态字段进行约束,提升多状态字段标注精度.为验证该方法的有效性,本文使用NetExtrac‐tor工具对僵尸网络zeroaccess协议的格式和状态机进行自动化逆向,并在8个常用协议上开展评估实验验证方法效率,实验表明与领域最领先研究工作相比,NetExtractor可提升协议格式和协议状态识别准确度,对网络安全分析具有较大意义.

物联网应用场景下自助终端网络安全威胁评估与应对

自助终端作为传统人工操作的补充,在政务、交通以及能源等领域广泛应用.随着电子和信息技术的飞速发展,以及支付宝和微信等移动支付方式的普及,自助终端的性能不断提升,成本不断降低,其应用领域和范围不再受设备体积、支付方式和网络接入等因素制约.然而,在自助终端日益普及的同时,相关的网络安全问题不断暴露.在分析当前自助终端现状的基础上,本文以成都市范围内的政务服务以及交通运输领域为例,分析自助终端在关键基础设施领域部署,应用及管理方面存在的网络安全风险与隐患,并提出在物联网应用场景下针对自助终端近源渗透攻击的网络安全威胁评估模型及应对策略.

基于深度学习的智能合约漏洞检测方法综述

智能合约是区块链三大特点之一,也是区块链具有应用价值和灵活性的领域.本质上,智能合约是一段用特定脚本语言实现的代码,不可避免地存在安全漏洞风险.如何及时准确地检查出各种智能合约的漏洞,就成为区块链安全研究的重点和热点.为了检测智能合约漏洞,研究者提出了各种分析方法,包括符号执行、形式化验证和模糊测试等.随着人工智能技术的快速发展,越来越多基于深度学习的方法被提出,并且在多个研究领域取得了很好的效果.目前,针对基于深度学习的智能合约漏洞检测方法并没有被详细地调查和分析.本文首先简要介绍了智能合约的概念以及智能合约漏洞相关的安全事件;然后对基于深度学习的方法中常用的智能合约特征进行分析;同时对智能合约漏洞检测中常用的深度学习模型进行描述.此外,为了进一步推动基于深度学习的智能合约漏洞检测方法的研究,本文将近年来基于深度学习的智能合约漏洞检测方法根据其特征提取形式进行了总结分类,从文本处理、静态分析和图像处理3个角度进行了分析介绍;最后,总结了该领域面临的挑战和未来的研究方向.

基于符号执行的二进制代码漏洞发现

软件漏洞是安全问题的根源之一,fuzzing(模糊测试)是目前漏洞发现的关键技术,但是它通过随机改变输入无法有效地构造出测试用例,也无法消除测试用例的冗余性。为了克服传统fuzzing测试的缺点、有效生成测试输入且无需分析输入格式,针对二进制程序设计并实现了基于符号执行的漏洞发现系统SEVE。将程序的输入符号化,利用动态插桩工具建立符号变量的传播关系;在分支语句处收集路径约束条件,最后用解析器求解之并将其作为新的测试用例。用mp3和pdf软件进行了实验,结果表明,该系统有效地提高了漏洞发现的效率与自动化程度。

基于流相似性的两阶段P2P僵尸网络检测方法

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。

基于流量时空特征的fast-flux僵尸网络检测方法

僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。

具有异构感染率的僵尸网络建模与分析

僵尸网络作为共性攻击平台,采用目前先进的匿名网络和恶意代码技术为APT攻击提供了大量有效资源。为了有效控制僵尸网络的大规模爆发,需研究其构建规律。考虑到在传播过程中僵尸网络的不同区域具有不同的感染率,结合疾病传播模型,提出了一种具有异构感染率的僵尸网络传播模型。首先,通过对僵尸网络稳态特征的分析,使用平均场方法从动力学角度研究了其传播特性;然后,在BA网络中通过模拟实验来分析异构感染率如何影响僵尸网络的传播阈值。实验结果表明,该模型更符合真实情况,且僵尸程序传播阈值和异构感染率的关系与节点数量无关。

ROPDetector:一种基于硬件性能计数器的ROP攻击实时检测方法

面向返回编程(Return-Oriented Programming,ROP)是针对软件漏洞利用最广泛的攻击技术之一,能够绕过数据执行保护、地址空间布局随机化等防御机制.本文提出了一种基于硬件的ROP攻击实时检测方法,在不需要任何边缘信息(如源代码、编译器支持)和二进制重写的情况下,利用现代CPU中的硬件性能计数器监控目标程序执行过程,提取ROP攻击发生时底层硬件事件特征来实时检测ROP攻击.然后,在32位Linux实验环境下实现了原型系统ROPDetector,使用真实的ROP攻击与漏洞进行实验,并与同类方法进行了对比实验,最后评估了系统的性能消耗.实验结果表明,该方法能有效地检测真实的ROP攻击,在分别以6次和9次错误预测返回指令为检测周期时,系统性能消耗仅有5.05%和5.25%,磁盘I/O性能消耗仅有0.94%和2%,网络I/O性能消耗仅有0.06%和0.78%.

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。

基于复合域SM4密码算法S盒的量子电路实现

S盒是SM4分组密码算法中重要的非线性组件。使用Toffoli门、CNOT门和NOT门构建S盒的量子电路。首先,基于S盒的代数表达式,通过同构映射矩阵,将有限域GF(28)中的求逆运算转化到有限域GF((24)2)中的运算;其次,在GF(24)中分别给出了平方计算、乘法计算和求逆运算的量子电路;再次,通过最小化同构矩阵中“1”元素的个数,求出最优的同构映射矩阵,并给出相应的量子电路;然后,通过高斯消元法给出S盒表达式中仿射变换的量子电路;最后,综合出SM4密码算法S盒的量子电路。该量子电路的正确性通过IBM量子平台的Aer模拟器进行了验证。复杂度分析表明:所给出S盒的量子电路一共使用了21个量子比特,55个Toffoli门、176个CNOT门和10个NOT门,电路深度为151。相比于已有结果,所使用的量子资源进一步减少,效率进一步提高。

基于区块链的DApp数据与行为分析

区块链技术近年来发展迅速,很多组织和企业开始使用基于区块链和智能合约的去中心化应用(Decentralized Applications,DApp)来增强其信息系统的功能、安全性以及扩展新业务。但由于区块链和智能合约本身可能存在安全与性能问题,因此DApp也会带来新的问题。为了深入研究和分析DApp的数据与行为现象,从而帮助用户更好地应用区块链和DApp,首先收集了21类共2565个DApp,并收集了这些DApp从2015年7月30日至2020年5月4日(约1000万区块高度)的相关数据,共包括16302个智能合约,7678185个EOA,95889930笔外部交易和30833719笔内部交易;然后从数量、时间、类型以及智能合约这4个角度对DApp分布进行了深入分析,从中总结出了一些发现,这些发现可以为DApp开发者与区块链研究者提供有价值的参考。

基于区块链的大宗商品供应链物流方案研究

大宗商品供应链物流是大宗商品物流的系统化发展方向,区块链技术有着分布式信任、不可纂改、可追溯和去中心化等特性,为解决物流全过程中存在的信息孤岛、货权难确认、货物安全难保障和信任度较低等问题提供了有效帮助。文章综述了区块链技术与供应链物流结合的现有研究与应用实例,对大宗商品供应链物流体系现状和区块链原理进行了简要叙述,进而提出“区块链加云”的大宗商品供应链物流数据信息存储方案,设计链上元数据构建方法,构建基于联盟链的大宗商品供应链物流方案框架,详细阐述了框架中各层的功能与效用,在具体描述物流场景的基础上完成仿真实验,并对所得结果进行分析,最后展望未来区块链在供应链中的进一步应用,为同类型的研究提供相关思路。

面向Android平台的混淆算法研究

随着智能手机的不断普及,Android平台上的软件安全性越来越受到重视。以其他平台中应用最普遍且效果最好的代码混淆技术为基础,对比分析经典的控制流混淆算法,结合Android平台自身特点,提出一种面向Android平台的Dalvik字节码层次的控制流混淆算法,并从代码量、执行开销角度对主流混淆工具Proguard进行对比测试,丰富了混淆手段,进一步增强了Android应用程序的安全性。

APT攻击检测与反制技术体系的研究

高级持续威胁(APT)是近年兴起的新型网络攻击,一直受到网络安全界的重视.该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢.同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘.实验得出,同一组织使用的工具集间存在相似性规律.综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用.

基于量子计算的分类和聚类算法综述

越来越多的研究表明,借助量子计算技术可以提高有监督分类算法和无监督聚类算法的计算效率,甚至是学习精度.通常采用的方法有:基于量子理论将经典信息转换为量子态的形式存储起来,用量子态来表示所有样本;以量子态之间的距离替代样本数据之间的经典距离,形成新的相似度来度量样本数据间的相似性等.通过理论和模拟验证表明,量子计算可以实现对经典机器学习算法的加速.最后,总结了量子机器学习技术的优势和目前所存在的问题,并展望了未来该领域的发展趋势.