基于融合序列的远控木马流量检测模型

针对现有远控木马流量检测方法泛化能力较弱、表征能力有限和预警滞后等问题,提出了一种基于融合序列的远控木马流量检测模型。通过深入分析正常应用网络流量与远控木马流量在包长序列、包负载长度序列和包时间间隔序列方面的差异,将流量表征为融合序列。将融合序列输入Transformer模型,利用多头注意力机制与残差连接挖掘融合序列内在联系,学习木马通信行为模式,有效地提升了对远控木马流量的检测能力与模型的泛化能力。所提模型仅需提取网络会话的前20个数据包进行检测,就能够在木马入侵早期做出及时预警。对比实验结果表明,模型不仅在已知数据中具有优异的检测效果,在未知流量测试集上同样表现出色,相比当前已有的深度学习模型,各项检测指标有较大提升,在远控木马流量检测领域具备实际应用价值。

基于函数调用指令特征分析的固件指令集架构识别方法

不同的固件常采用不同的指令集架构,固件指令集架构的识别是对嵌入式固件进行逆向分析和漏洞挖掘的基础。现有研究和相关工具在针对特定类型的嵌入式设备固件指令集架构识别时存在识别正确率低、误报率高的情况。针对上述问题,提出了一种基于函数调用指令特征分析的固件指令集架构识别方法,通过同时利用指令中操作码和操作数所包含的信息识别目标固件中的函数调用指令,将其作为关键特征实现对不同指令集架构的分类,并基于该方法开发了原型系统EDFIR(Embedded Device Firmware Instruction set Recognizer)。实验结果表明,相比IDAPro,Ghidra,Radare2,Binwalk以及ISAdetect这些当前应用最广泛和最新的工作,该方法具有更高的识别正确率、更低的误报率并具备更强的抗干扰能力,其对1000个真实设备固件的识别正确率高达97.9%,比目前识别效果最好的ISAdetect提升了42.5%。此外,相关实验还证明,即使将分析规模缩小至完整固件的1/50,所提方法仍能保持95.31%的识别正确率,具有良好的识别性能。

一种基于容器的Cisco IOS-XE系统入侵检测方法

IOS-XE网络操作系统被广泛地应用于Cisco核心路由交换节点中,其安全性非常重要。然而由于其设计时专注于数据的快速转发功能,缺少对自身的安全的防护,因而面临重大的风险。此外,现有的针对传统IOS系统的入侵检测方法移植到IOS-XE系统后存在实时性差、检测结果不准确、检测覆盖面不全等问题。为了加强IOS-XE系统自身的安全,提出了一种基于容器的CiscoIOS-XE系统入侵检测方法,通过在路由器上部署检测容器,实时监控路由器状态变化和用户访问请求,解决了配置隐藏攻击检测、路由器https管控流量解密以及路由器状态实时监控等问题,实现了对IOS-XE系统入侵行为的实时检测。实验结果表明,所提方法可有效检测针对IOS-XE路由器的常见攻击行为,包括口令猜解、Web注入、CLI注入、配置隐藏和后门植入等,与已有的检测方法相比具有较高的实时性和准确性,有效提升了IOS-XE路由设备的防护能力。

基于控制流和数据流分析的内存拷贝类函数识别技术

内存错误漏洞仍是当前网络攻击中造成危害最严重的漏洞之一.内存错误漏洞的产生往往与对内存拷贝类函数的误用有关.目前针对内存拷贝类函数的识别主要借助于符号表和代码特征模式匹配,具有较高的误报率和漏报率,并且适用性较差.提出了一种内存拷贝类函数识别技术CPYFinder(copy function finder).该技术在内存拷贝类函数控制流特征的基础上,将二进制代码转换为中间语言表示VEX IR(intermediate representation)进行数据流的构建和分析,根据内存拷贝类函数在数据流上的特征进行识别.该技术能够在较低的运行时间下对多种指令集架构(x86,ARM,MIPS,PowerPC)的二进制程序中的内存拷贝类函数进行识别.实验结果表明,相比于最新的工作BootStomp和SaTC,CPYFinder在对内存拷贝类函数识别上具有更好的表现,在精准率和召回率上得到更好的平衡,并且运行时间与SaTC几乎相等,仅相当于BootStomp耗时的19%.此外,CPYFinder在漏洞函数识别上也具有更好的表现.

面向Cisco IOS-XE的Web命令注入漏洞检测

思科公司的新型操作系统Cisco IOS-XE广泛部署于Cisco路由器、交换机等平台,但系统的Web管理服务中存在通过命令注入实现权限逃逸的安全漏洞,使网络安全面临严重威胁。近年来,模糊测试常被用于检测嵌入式设备的安全漏洞,然而目前没有针对Cisco IOS-XE系统Web管理服务的模糊测试框架,由于IOS-XE特有的系统架构和命令模式,现有IoT模糊测试方法在IOS-XE上的检测效果不佳。为此,提出了一个针对Cisco IOS-XE系统Web管理服务的模糊测试框架CRFuzzer,用于检测命令注入漏洞。CRFuzzer结合Web前端请求和后端程序分析以优化种子生成,基于命令注入漏洞的特征发现脆弱代码以缩小测试范围。为了评估CRFuzzer的漏洞检测效果,在实体路由器ISR 4000系列和云路由器CSR 1000v上对31个不同版本共124个固件进行了测试,共检测出11个命令注入漏洞,其中2个为未公开漏洞。

一种Tor匿名通信系统的改进方案

为提高Tor匿名通信系统的安全性,通过分析Tor系统中目录服务器可能采取的攻击方法,提出一种基于目录服务器保护的改进方案。通过在用户与目录服务器之间加入一个P2P构架网络,并在网络中设置随机抛弃参数动态调整安全参数,增加攻击者对目录服务器攻击的代价,从而提高了Tor系统的安全性。从攻击代价的角度对Tor系统安全性进行了理论分析,结果表明,Tor系统安全性的提升程度取决于嵌入P2P网络的规模和随机抛弃参数,该方案可有效改进Tor系统的安全性。

基于语义的多架构二进制函数名预测方法

丰富的可读性源信息对逆向工作具有重要意义,尤其是高质量的函数名对程序理解非常重要。然而,软件发布者无论是出于防止逆向或者精简软件大小的角度,往往会发布剥离掉源级调试信息的可执行文件,可读性信息缺失导致逆向分析难度加大。因此,提出了一种多架构函数名预测(Multi-architecture Function Name Prediction,MFNP)方法,利用LLVM RetDec反编译X86,ARM,MIPS架构的二进制文件为中间语言(IR)文件解决不同架构之间存在差异的问题。对中间语言.ll文件中的函数名进行形态上、语义上的相似性比较,对函数名进行相似性融合来降低函数名数据稀疏性。将携带顺序指令语义信息的基本块以及以基本块为基本单位的函数体控制流图作为函数体的语义特征,结合神经网络来实现X86,MIPS,ARM这3种架构下剥离二进制文件的函数名预测。相比DEBIN,所提方法额外支持MIPS架构下的剥离二进制函数名预测工作,其在Precision和F1方面相比NERO提高了13.86%和11.93%。最后验证了MFNP选用以基本块为基本单位提取的顺序指令序列和控制流图作为语义特征的有效性。

堆栈型虚拟机代码入口点定位方法研究

在采用虚拟化技术保护的程序中定位x86代码和虚拟机代码的临界点是实现被虚拟机保护代码自动化提取和还原的前提,目前尚不存在能有效实现虚拟机代码入口点定位的方法。针对该问题,构建一个程序状态转移模型,并在此模型的基础上,提出基于栈监控的自建栈型虚拟机代码入口点定位方法和基于寄存器值聚类分析的复用栈型虚拟机代码入口点定位方法,有效解决了虚拟机代码入口点的定位问题。实验结果表明,该方法能有效实现堆栈型虚拟机代码入口点的准确定位。

“双轨互促”式社区健康管理模式的服务流程和岗位描述

社区卫生服务是我国当前卫生事业的重要内容。本研究在探索健康管理和基本医疗的"分离模式"的基础上,在实践应用中不断丰富完善,建立了"双轨互促"式社区健康管理模式,并对该模式的服务流程及岗位进行详细描述及分析论证,以供社区卫生服务工作者借鉴参考。

葡萄灰霉病生防芽胞杆菌的筛选与防效评价

本研究从新疆、山东及河北等地区采集的健康葡萄根际土壤中分离生防菌,以葡萄灰霉病菌Botrytis cinerea为靶标菌,通过平板对峙试验、葡萄叶片和果实上的离体抑菌试验,筛选获得4株生防菌BF1-1、BF2-1、BF3-1和BF4-1具有较好的拮抗作用,经形态学和分子生物学方法分别鉴定为地衣芽胞杆菌Bacillus licheniformis、解淀粉芽胞杆菌B.amyloliquefaciens、枯草芽胞杆菌B.subtilis和蜡样芽胞杆菌B.cereus;4株生防菌所制成的生物菌肥,对葡萄灰霉病的田间防效可达到66.50%~85.68%,具有开发应用潜力。

基于语义规则的污点传播分析优化方法

离线污点分析中的针对轨迹记录文件的污点传播分析的时间开销非常巨大,因此研究快速高效的污点传播分析具有重要意义。针对上述问题,提出了一种基于语义规则的污点传播分析优化方法。该方法定义了一种指令的语义描述规则,用于描述指令的污点传播语义,利用中间语言自动生成汇编指令的语义规则,再根据语义规则进行污点传播分析,避免了现有污点分析方法中指令重复执行导致的重复语义解析,提高了污点分析的效率。实验结果表明,所提方法能够有效降低污点传播分析的时间开销,仅占传统基于中间语言污点分析的14%左右,提高了分析效率。

基于社团检测算法的固件二进制比对技术

固件比对是二进制比对技术的重要分支.然而,既往研究关注于函数的表示方法的优化却忽略了对过滤器的设计优化,导致固件常因包含同构函数引发误匹配,以致现有二进制比对技术应用于固件比对时效果不够理想.为此,提出基于社团检测算法的固件比对技术,首次将复杂网络相关理论应用于二进制比对领域.通过社团检测算法将固件内的函数划分为若干社团,利用社团匹配实现过滤器的功能,再根据匹配社团寻找匹配函数;此外,优化了函数相似度计算方法,设计了操作数相似性计算方法.在实现原型系统后,使用1382个固件构建2个数据集进行实验,验证了可行性,分析了基于社团检测算法的固件比对方法的性能,确定了各参数的合理取值,设计了评估指标可信匹配率,并比较了该方法与Bindiff的比对效果.实验表明:该方法可以提升Bindiff比对结果5%~11%的正确率.

基于流量分析发现未知UDP反射放大协议

近年来,DDOS攻击的频率和规模日益扩大,对网络安全造成了极大挑战。其中,UDP反射放大攻击因其攻击成本低、攻击流量巨大、难以追踪溯源等特征成为了黑客青睐的攻击手段。当前的过滤和防御策略大多来源于受攻击后的分析与复盘,面对层出不穷的新型UDP反射攻击存在一定的被动性和滞后性。文中提出了一种基于流量分析来发现存在UDP反射放大潜力的未公开协议的方法。该方法立足放大性和反射性这两个根本特征,从日常网络流量中筛选出符合反射放大特性的流量样本,然后通过重放攻击验证样本是否具备可重复性,记录符合条件的样本,用于对相关服务协议进行研究,最终成功发现新型未公开反射放大协议。用所提方法构建的检测程序,在实验环境和互联网中分别进行了准确率及处理速率测试,成功发现了多种反射放大协议,以积极主动的方式来防御可能出现的反射放大攻击。

TRACCS:一种基于诱骗路由的匿名通信系统

在分析洋葱网络和折射网络类匿名系统的基础上,设计一种新的基于诱骗路由的匿名通信系统。针对现有折射网络类系统匿名性不强的问题,结合洋葱网络层次化加密思想和“端到中”架构的折射网络系统诱骗路由器不可见的特点,提出了基于两级诱骗路由加两层数据加解密构建的匿名通信系统TRACCS。系统利用折射网络系统中隐藏标签的设计机制结合ECDH算法协商生成数据层次化加密所需密钥,并利用该密钥对TLS记录协议承载数据进行加密封装传输。利用幽灵地址的嵌套使用破坏消息发送者与接收者的对应关系,实现发送者匿名和通联关系匿名。实验结果表明,该系统在实现更高匿名性的基础上,通信性能没有显著下降,实用性较好。

一种针对弱监管路由设备的恶意行为检测方法

当前,互联网安全领域对路由设备的重视程度日渐加深,但传统的安全防护策略存在一定的局限性,特别是弱监管的路由设备,难以有效地监管和维护。提出一种轻量级的针对路由设备的恶意行为检测系统,利用加载于弱监管路由设备的轻量级程序监控其流量和配置的变化,识别恶意攻击行为并告警。通过在Cisco路由器与Mikrotik路由器上部署监测程序验证该方法的有效性。测试结果表明本文研究的方法能有效发现针对路由设备的恶意行为,且适用于不同厂商、多种类型的设备,可快速、有效、便捷地监测弱监管路由设备,提升路由器的防护能力。

基于启发式的程序轨迹记录优化方法

离线污点分析的轨迹记录过程的时空开销非常巨大,因此研究高效的轨迹记录方式在离线污点分析中具有重要意义。基于此,针对传统指令级轨迹记录存在的时空开销过大的问题,结合程序重放的思想,提出了一种启发式的轨迹记录方法,只在基本块和特殊事件发生时记录寄存器变化状态信息,并对该种记录方法的信息等价性进行了理论证明。实验表明,该方法能够有效降低离线污点分析中轨迹记录的时空开销,提高污点分析效率。

基于阶段性目标达成的计算机网络实验教学改革探索

针对线上开展实验课程教学过程中存在的课堂信息单向传递、互动缺乏、学生“静默式搬砖作业”等实际问题,以提升学生实验动手能力为目标,提出基于阶段性目标达成的线上实验课程教学方式,通过优化实验内容设置阶段性目标,层次化推进,培养学生自信,激发学习热情,实时跟踪线上实验全过程、最终通过阶段目标增值的过程化考核方式完成教学考核评价。

浅析我国城市规划环评中存在的问题及立法完善

城市规划的环境影响评价是实现城市可持续发展战略的有效工具,是一个城市在规划过程中的重要步骤。目前我国城市规划环境影响评价存在着实施困难、环评技术人员缺乏实践经验等不足。完善我国城市规划环评要坚持环评与城市规划相结合的原则、战略性、综合性和可持续发展原则。从加强对环境准入的监管,推进规划环评公众参与,积极参与综合决策等方面强化城市规划环评的实施机制。