僵尸网络活动调查分析

僵尸网络已经成为网络攻击者首选的攻击平台,用以发起分布式拒绝服务攻击、窃取敏感信息和发送垃圾邮件等,对公共互联网的正常运行和互联网用户的利益造成了严重的威胁。较大规模地发现和监测实际僵尸网络的活动行为并对其规律进行深入调查分析,是更为全面地监测僵尸网络和对其实施反制的必要前提。通过对所监测的1 961个实际僵尸网络的活动情况进行了深入调查和分析,从中给出了僵尸网络数量增长情况、控制服务器分布、僵尸网络规模、被控主机分布以及僵尸网络各种攻击行为的分析结果。

一个基于单向散列函数的实用等级密钥管理方案

针对等级角色的权限管理和访问控制,形式化地定义与分析了等级密钥管理问题,提出了一个基于单向散列函数的实用的等级密钥管理方案。该方案允许各等级角色自主选择主密钥,并利用安全的单向散列函数和公开的辅助参数构造角色间的等级权限关系,其密钥生成与密钥推导过程简单快捷,能够有效地满足等级系统权限管理的安全需求。与目前已有的等级密钥管理方案相比较,密钥推导效率及存储开销均有所优化,同时能够更好地适应等级角色访问控制的动态变化。

一种基于丢包依赖体现的E模型的自适应播放延迟算法

在Internet通信播放延迟算法的基础上,使用E模型作为分析工具,并考虑丢包依赖在E模型中的体现以及对用户语音感受的影响,提出了一种应用于多方实时通信领域的新的自适应播放延迟算法,使得用户终端在获得良好Internet通信参数的同时,进一步提升用户的语音感受。实验测试结果发现,这种算法相比于目前其他算法,在丢包率、延迟等方面都有显著的改善,同时能够降低系统的连续丢包现象。

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.

SIP标准中的核心技术与研究进展

由 IETF 最年轻的工作组之一的 SIP(session initiation protocol)工作组发布的 SIP 相关标准已经成为通信和网络界的研究热点.目前 SIP 工作组发表的协议和草案超过 30 个,除了核心协议以外,其他协议涵盖 QoS、安全、消息头和方法扩展、与 PSTN 等其他协议的互操作性、穿透防火墙和 NAT、应用、多消息体、即时消息等诸多话题,其最终目标是为所有 Internet 成功的应用提供无所不在的接入,成为联系 Internet 和电信、多媒体的媒介.对 SIP标准中的核心技术和研究进展进行了综述.着重介绍了以上 SIP 相关标准及应用中的核心技术和相关领域最新的研究动态,并指出了进一步的研究方向和应用前景.

蜜罐技术研究与应用进展

蜜罐是防御方为了改变网络攻防博弈不对称局面而引入的一种主动防御技术,通过部署没有业务用途的安全资源,诱骗攻击者对其进行非法使用,从而对攻击行为进行捕获和分析,了解攻击工具与方法,推测攻击意图和动机.蜜罐技术赢得了安全社区的持续关注,得到了长足发展与广泛应用,并已成为互联网安全威胁监测与分析的一种主要技术手段.介绍了蜜罐技术的起源与发展演化过程,全面分析了蜜罐技术关键机制的研究现状,回顾了蜜罐部署结构的发展过程,并归纳总结了蜜罐技术在互联网安全威胁监测、分析与防范等方向上的最新应用成果.最后,对蜜罐技术存在的问题、发展趋势与进一步研究方向进行了讨论.

HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器

恶意代码已成为互联网最为严重的安全威胁之一,自动化捕获恶意代码样本是及时有效地应对恶意代码传播的必要前提,提出了一个基于高交互式蜜罐技术的恶意代码自动捕获器HoneyBow。相比较于基于低交互式蜜罐技术的Nepenthes恶意代码捕获器,HoneyBow具有恶意代码捕获类型更为全面、能够捕获未知恶意代码的优势,互联网上的实际恶意代码捕获记录对比和Mocbot蠕虫的应急响应处理实例对其进行了充分验证。

基于敏感字符的SQL注入攻击防御方法

SQL注入攻击历史悠久,其检测机制也研究甚广.现有的研究利用污点分析(taint analysis)结合SQL语句语法分析进行SQL注入攻击检测,但由于需要修改Web应用程序执行引擎来标记和跟踪污点信息,难以部署,并且时间和空间性能损失过大.通过分析SQL注入攻击机理,提出一种基于敏感字符的SQL注入攻击防御方法.1)仅对来自常量字符串的可信敏感字符进行积极污点标记;2)无需修改Web应用程序执行引擎,利用编码转换将污点信息直接存储在可信敏感字符的编码值中,动态跟踪其在程序中的传播;3)无需SQL语句语法分析,只需利用编码值判断SQL语句中敏感字符的来源、转义非可信敏感字符,即可防御SQL注入攻击.基于PHP的Zend引擎实现了系统原型PHPGate,以插件方式实现、易部署.实验证明:PHPGate可精确防御SQL注入攻击,且有效提升污点传播效率,页面应答的时间开销不超过1.6%.

一个面向Android的隐私泄露检测系统

针对Android软件中存在的用户隐私信息泄露问题,基于动态污点跟踪技术实现TaintChaser自动化检测系统。该系统能对软件中存在的用户隐私信息泄露行为进行细粒度的跟踪,实现对手机软件规模化自动化的检测与分析。利用该系统对28 369个Android程序进行检测,结果表明,有24.69%的程序可能存在泄露用户隐私信息的行为。

网页木马机理与防御技术

网页木马是一种以JavaScript,VBScript,CSS等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web的客户端攻击.网页木马的表现形式是一个或一组有内嵌链接关系的页面/脚本,有漏洞的客户端在访问该(组)页面时会"过路式下载"木马等恶意程序.网页木马通过这种被动攻击模式,能隐蔽、有效地将恶意程序植入客户端,这已经成为恶意程序传播的一种重要方式.近年来,围绕网页木马的攻防博弈在持续进行.首先阐述网页木马的机理和特点,然后从检测、特征分析、防范这3个方面对网页木马防御方的研究进行总结和分析,最后对网页木马攻防双方的发展趋势进行讨论.

基于扩展目标规划图的网络攻击规划识别算法

在人工智能领域经典规划识别方法的基础上,针对网络攻防领域攻击规划识别问题的特性,对目标规划图进行进一步扩充,引入观察节点以区分规划者动作以及识别者对动作的观察,将动作节点分化为由具体动作层和抽象动作层组成的层次结构,并根据抽象攻击模式在抽象攻击层面上维护与安全状态节点的前提和后果条件,形成扩展目标规划图(ExtendedGoalGraph,EGG)模型;并进一步提出基于扩展目标规划图的攻击规划识别算法,该算法能够有效地从大量底层入侵报警信息中正确识别背后蕴藏的攻击者意图及规划.通过DARPA2000入侵场景关联评测数据集和在蜜网环境中捕获的实际僵尸网络攻击场景数据的实验测试以及与TIAA入侵报警关联分析系统[5]的实验结果对比,验证了该文提出算法的完备性与有效性.

基于分隔符的跨站脚本攻击防御方法

通过分析跨站脚本攻击的特性,提出一种基于分隔符的跨站脚本攻击防御方法,该方法适用于UTF-8编码的Web应用程序。首先,仅对可信数据中的分隔符进行积极污点标记;然后,利用字符UTF-8编码值的转换轻量级完成污点标记,该污点信息可随着字符串操作直接传播到结果页面;最后,根据结果页面中分隔符的污点信息及页面上下文分析,检查脚本执行节点的合法性和脚本内容的可靠性,精确地检测并防御跨站脚本攻击。针对PHP平台实现了原型系统XSSCleaner。实验证明,XSSCleaner可轻量级地完成污点分析,并且能够对跨站脚本攻击进行精确防御,页面生成的时间开销平均为12.9%。

扩频卷积指纹及其安全性分析

数字指纹是一种在每个数字作品拷贝中添加唯一性信息的版权保护技术.文中证明了扩频序列对组合、平均及噪声攻击具有有效的合谋容忍性质,并提出一种卷积码与扩频水印码相链接的安全指纹方法.译码方法也通过将备选子码集应用于Viterbi译码算法给予改进,进而合谋安全性和性能被分析与证明.结果表明该方法具有更短的码长和更快的叛逆者搜索性能.

Kad网络恶意索引节点行为研究

作为当前十分流行的P2P文件共享网络,Kad网络容易受到来自索引节点层面的攻击.索引节点负责存储资源索引,并响应其他节点的搜索请求,其行为正确性会对P2P网络服务质量产生直接的影响.文中基于Anthill测量系统,从IMDb,iTunes和Amazon网站中选取热门资源作为测量目标,在真实Kad网络中系统地测量和分析了资源共享过程中各类节点的行为;通过与标准Kad协议进行对比,对节点行为的正确性进行全面验证,从而获取恶意节点的行为特征.结果显示,目前Kad网络中存在两类恶意索引节点:选择性拒绝服务节点和无意义应答节点.这两类节点广泛存在于Kad网络中,总数高达数十万,并且其攻击行为具有相当的隐蔽性,严重干扰了正常文件搜索和下载过程.文中对两类节点的行为特征进行了深入分析,并在此基础上,提出了针对性较强、易于部署的防御方法.

会话初始化协议及其应用:现状、问题与展望

会话初始化协议(SIP)是下一代网络中的核心协议之一。3G、网络控制、多媒体分发、网络电话、多媒体会议、即时消息、网络用具等方面的应用已初具规模。该文介绍了SIP的体系结构,给出了一个基本应用模型,针对其各个重要应用领域的现状进行了评述,并指出了目前存在的问题和今后的发展方向。

基于蜜网技术的攻击场景捕获和重构方法

形攻击场景重构能够为安全分析人员提供精简、更容易理解的安全态势描述,提高攻击检测与分析的能力。鉴于蜜网技术在捕获和了解Internet威胁方面具有独特优势,本文提出了一种基于蜜网技术的攻击场景捕获及重构方法。通过结合使用Argus,Sebek,Argos,Snort等开源工具,并对其捕获数据构建关联分析系统,本文提出的方法能较好地再现高交互式蜜罐所捕获的网络攻击。概念验证性原型实现在基于蜜场技术的大规模网络主动安全防护系统中得到了应用。

系统安全中的科学问题

系统安全面临的问题人们常用'道高一尺,魔高一丈'来形容信息安全对抗。虽然各国政府及社会对信息安全投入越来越大,网络安全监测、防护系统可谓'重峦叠嶂',但各类网络入侵、病毒危害事件仍有增无减。以计算机病毒为例,从最早的自我复制型蠕虫,到僵尸工具,到网站挂马,再到震惊全球的跨互联网及工业控制系统的病毒,检测防护体系基本是'事后诸葛亮'。系统安全服务及科研工作者常有'按下葫芦起了瓢'、疲于奔命之感。

面向蜜场环境的网络攻击流重定向机制的研究与实现

网络攻击流重定向是蜜场中的关键技术之一。文中对其机制进行了研究,提出了基于网络环境信息自动感知技术与入侵检测技术相结合的网络攻击检测机制,以及基于OpenVPN与策略路由的透明网络流重定向机制,并实现了一个基于上述机制的网络攻击流重定向系统,最后通过实验验证了系统的有效性。

Smart-blacklisting:P2P文件共享系统假块污染攻击对抗方法

在当前十分流行的P2P文件共享网络中,假块污染攻击严重地干扰了正常的文件下载过程。提出了基于概率统计及多轮筛选的对抗假块污染攻击策略——Smart-blacklisting,从理论上证明了该策略的有效性。仿真实验结果表明,该策略可以保证目标文件成功下载并降低假块污染攻击对下载时间及带宽消耗的影响。当攻击强度为0.2时,下载时间仅为eMule系统黑名单方法的13%,在带宽消耗方面也仅为其50%。

一种多层次的自动化通用Android脱壳系统及其应用

为解决Android平台应用程序使用加壳服务后难以进行静态代码分析的问题,研究应用程序自动化通用脱壳技术.在Android Dalvik虚拟机的基础上,设计并实现了一种多层次的自动化通用脱壳系统,提出了多粒度的数据还原方案,保证数据还原的完整性和有效性,能正确还原出加壳应用中被加密的代码内容.实验表明,该系统适用于市面上主流的加壳服务.利用该系统,对市场上被加壳的应用程序进行安全性评估,发现加壳应用比未加壳应用存在更多的安全问题,证明了脱壳系统的实际应用价值.