基于特征分析的访问控制混合模型设计与实现

针对网络空间中缺乏可靠来源的访问控制列表的问题,提出了基于IP特征分析的访问控制混合模型.模型共分为2层:1)通过分析大量基于流的时间特征、空间特征和速度特征,利用统计学与值域压缩方法,挖掘恶意IP的流之间和良性IP的流之间的关联信息差异,形成基于IP特征的特征空间;2)采用1)中提取的特征,结合无监督学习和有监督学习,形成访问控制混合模型,然后通过访问控制混合模型,生成访问控制列表.提出的方法在UNSW-15公开数据集、CICIDS2017公开数据集以及作者实验室人工收集的数据集上进行了测试和验证.实验结果表明,提出的方法的精确率为100%,采用该方法获得的可用于访问控制列表的IP数目要多于其他算法.

基于SVM的ICMP网络存储隐蔽信道检测

隐蔽通道利用了网络协议的特点来秘密进行数据的传输,严重威胁信息安全.大多数ICMP流量可以躲避防火墙等网络设备的检测,因此,攻击者利用网际控制报文协议(Internet control message protocol,ICMP)将数据隐藏在ICMP的有效负载部分,形成ICMP隐蔽通道.传统ICMP通道检测基于有效负载单一特征,为了更有效进行检测,通过分析ICMP协议,对正常ICMP流量的类型、数据包大小、数据固定格式等基本数据特征信息进行充分讨论,并用现有的一些ICMP隐蔽信息工具构建隐蔽通道,基于ICMP协议信息的12个特征,提出了基于支持向量机(support vector machine,SVM)的ICMP隐蔽信道检测算法.该算法通过提取网络流特征字段,采用SVM训练模型,检测结果表明,能较准确检测到ICMP隐蔽流量,且检测率较高,达到99%左右.