攻击特征自动提取技术综述

攻击特征自动提取系统不需要人工干预便能够自动地发现新攻击,并为入侵检测系统提取出新攻击的特征。由此概括了攻击特征自动提取技术研究的意义;提出了系统评价标准,并将当前主要系统分为基于网络(NSG)和基于主机(HSG)2类,分别进行比较和介绍;最后分析了攻击特征自动提取技术的研究当前面临的问题和未来发展的趋势。

基于多序列联配的攻击特征自动提取技术研究

误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质量.该文提出一种基于多序列联配的攻击特征自动提取方法:首先将可疑的网络数据流转化为序列加入到可疑数据池中;通过聚类将这些序列分为若干类别;最后利用该文提出的多序列联配算法对同一类中的序列进行联配,并以产生的结果代表一类攻击的特征.该方法的核心是该文提出的两种序列联配算法:奖励相邻匹配的全局联配算法CMENW(Contiguous-Matches Encouraging Needleman-Wunsch)和层次式多序列联配算法HMSA(Hierarchical Multi-Sequence Align-ment).CMENW算法克服了Needleman-Wunsch算法易产生碎片的问题,使得连续的特征片段能够尽量地予以保留;HMSA算法以层次式策略对多序列进行联配,支持通配符,并带有剪枝功能.该方法可以自动地提取包括变形病毒和缓冲区溢出在内的新攻击的特征,其主要优点是:(1)产生的攻击特征包含位置相关信息,因而相对传统的方法结果更加准确;(2)具有良好的抗噪能力.

基于序列比对的攻击特征自动提取方法

在对生物信息学序列比对理论研究的基础上,将序列比对算法应用到入侵检测模型中,提出一种序列比对攻击特征自动提取新方法.针对Needleman-Wusch算法缺乏攻击知识积累,设计一种基于知识积累的序列比对算法IASA(Information Accumulation Sequence Alignment).新方法首先调整数据去噪并进行数据聚类,使用IASA进行序列比对,使得序列比对的特征片段趋向于更合理结果,再将比对结果所代表的攻击特征转化为IDS规则.实验结果表明,该方法能提高攻击特征生成质量,降低系统误报率.

基于可回溯动态污点分析的攻击特征生成方法

现有黑盒或白盒的攻击特征生成方法面临样本采集困难、自动化程度较低、依赖源代码等问题。为此提出了一种基于可回溯动态污点分析的攻击特征生成方法,通过监控进程动态执行流程,提取与攻击输入相关的操作序列和约束条件,重建特征执行环境并添加判定语句,生成图灵机式的攻击特征。构造原型系统并进行测试的结果表明该方法能快速生成简洁高效的攻击特征。

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。

一种基于攻击特征描述的网络入侵检测模型

文章在对网络入侵检测技术进行分析的基础上,结合网络攻击特征的描述方法和分布式系统的特点,提出一种新的网络入侵检测的模型。攻击特征描述是提取攻击的本质属性,分布式系统则很好地利用了集群的优势。对于高速网络的出现,如何减少丢包并提高入侵检测的效率成为一个重要的研究课题。该文提出的分层检测方法,充分考虑了攻击特征分类描述方法,实验证明可以提高网络入侵检测准确率。

抗噪的攻击特征自动提取方法

现有的特征提取方法或不具有良好的抗噪性,或具有一定抗噪能力但特征提取的准确性较差。针对这一问题,利用多序列比算法能够求解序列间相同元素的全局最大一致性这一特点,提出一种包括多序列比对算法ClustalW+CSR、自适应噪声消除、特征转化这3个步骤的抗噪特征提取方法。实验结果表明,与当前其他基于网络的攻击特征自动提取方法相比较,该方法不仅特征提取的准确性较高,而且还具有良好的抗噪能力。

入侵检测系统攻击特征库的设计与实现

攻击特征库是基于误用的入侵检测系统的重要组成部分。本文主要介绍了入侵检测系统攻击特征库的设计思想和实现过程,运用Snort规则语言描述了规则库设计,规划了规则库的结构,并对规则解析进行了阐述。

基于SVM和序列联配的攻击特征提取方法

针对序列联配应用于攻击特征提取时的碎片和噪声干扰问题,采用SVM分类器将多攻击样本转换成单一攻击样本,以减少联配过程中的噪声序列;在两序列联配Smith-Waterman算法的基础上,改变空位罚分方式,引入连续匹配字符奖励,提出一种改进的Smith-Waterman(ISW)算法。结合SVM分类器与ISW算法构建攻击特征提取模型。研究结果表明:该模型的联配结果能准确地表达攻击特征,降低检测系统的误报率。

基于攻击特征的DTN黑洞节点检测机制

物联网中的时延容忍网络(DTN)采用存储-搬运-转发的路由方式,节点之间的合作程度直接影响DTN网络的性能,而DTN节点的恶意行为严重影响了节点间的配合,其中黑洞攻击是典型的一种恶意行为。为有效检测和遏制节点的黑洞攻击,提出一种基于黑洞攻击特征的黑洞节点检测机制AFD-Prophet。该检测机制可提取出黑洞攻击的3个本质性特征:虚假的高转发能力,消息数目的不平衡性和高丢包率。在上述特征的基础上,采用本地投票和节点间联合检测方式确定某个节点为黑洞节点的概率。仿真实验结果表明,与基于信誉的检测机制T-Prophet相比,该检测机制在保证不增加递交时延的前提下,能有效提高消息的递交率。

利用SSDF攻击特征的加权分布式频谱感知算法

协作频谱感知可以提高频谱感知的可靠性,但易遭到篡改感知数据(Spectrum Sensing Data Falsification,SSDF)攻击。该文利用SSDF攻击特征,判断邻居节点发送值是否是恶意状态值,并提出一种加权分布式协作频谱感知算法。该算法根据状态值在本地节点网络中的偏离程度,设定其融合权值。仿真结果表明,所提算法在节点收敛率和鲁棒性两方面,比基于梯度的协作频谱感知算法和基于最大差值的协作频谱感知算法都有所提升,检测性能也因此显著提高。

网络攻击特征数据自动提取技术综述

攻击特征自动提取技术是目前网络安全研究的一种重要技术。从网络现状研究入手,对攻击特征自动提取技术进行了定义以及分类,并对每一类技术进行了详细的介绍,同时列出了几种攻击特征自动提取技术,最后对目前这些技术存在不足和可能发展方向进行了阐述。

基于多序列比对的网络攻击特征数据提取算法分析

网络安全是目前网络工作者研究的主要问题,随着计算机技术的不断发展,网络攻击方式层出不穷.攻击特征自动提取技术是目前网络安全研究的一种重要技术.该文以研究网络攻击特征数据提取算法为切入点,通过几种序列比对自动提取算法的分析,引入了一种改进算法,并对其进行应用.应用结果表明,该算法能有效地降低误报率,与其他算法相比有一定的应用价值.

基于攻击特征的自动证据筛选技术

为了自动获得入侵证据,提出一种基于攻击特征的自动证据筛选方法.其原理是首先根据被调查攻击的特征重构出攻击行为细节,并从中抽取筛选证据需要的"特征信息".然后,再根据候选数据与这些特征信息的匹配程度筛选出该攻击相关的证据.基于DARPA2000的实验表明这种方法具有很高的准确率,其完备性更是接近100%.而与现有方法的比较则显示出这种方法能克服现有方法人工干预较多、效率低下、仅能筛选特定证据类型、不适合处理复杂攻击等诸多缺陷.

网络攻击特征提取算法在序列比对中的运用分析

随着计算机技术的不断发展,网络攻击方式层出不穷,所以网络安全成为了目前网络工作者研究的主要问题。目前网络安全研究的一种重要技术就是攻击特征自动提取技术,这种技术切入点是研究网络攻击特征数据提取算法。经过多种序列比对进行自动提取算法分析,引入一种改进算法,它能有效降低误报率,具有一定的应用价值。

基于多层剪枝的攻击特征自动提取方法

针对现有攻击特征自动提取方法抗噪能力弱和准确性不高的问题,利用多层剪枝策略进行攻击特征自动提取。采用多层次架构使得各层间的序列比对相对独立,在同一时间可进行不同层次的多个双序列比对,从而提高计算效率。双序列比对使用改进的NLA算法,修改其相似度得分函数,对连续空位使用线性罚分,同时鼓励连续字符匹配,并用0代替得分为负的值且遇0时回溯,从而得到最优值。通过剪枝判据和置信区间辨别出噪声序列并保留,再与其他序列比对完成后生成的序列进行比对,进而判断剪枝,得到最终的序列比对结果,从而消除了结果中的部分噪声干扰。研究结果表明:该方法具有良好的抗噪能力,提取的攻击特征准确度更高。

形意拳进步崩拳发力阶段攻击特征的运动生物力学研究

目的:对形意拳进步崩拳的攻击速度、位置、力量等系列参数进行量化,科学认识传统拳术,为更好地传承中国武术提供数据支持。方法:采用Vicon光学三维运动捕捉系统和AMTI三维测力台对山西省形意拳协会8名平均拳龄30年形意拳传承者的进步崩拳动作进行采集。结果:形意拳进步崩拳最高拳速为7.6m/s,攻击范围为1.21±0.09m,击打高度为身高的66.16±4.70%,最佳攻击距离为0.44±0.06m,前后方向单腿蹬地产生3.32±1.43倍体重的力,攻击过程中髋关节屈伸角度变化幅度为45.49±15.48度。影响形意拳进步崩拳拳速最主要的因素是骨盆前后倾角和X-factor。结论:形意拳进步崩拳利用骨盆核心部位产生攻击动力,具有身手齐进的整体力量特征,有速度快、攻击范围大、近身攻击和攻击部位隐蔽的特点。

开放式网络攻击特征库的设计与实现

随着网络攻击的全球化,入侵检测系统要保护的不再是个别子网,而是整个的网络环境.由此,产生了对入侵检测开放式资源的迫切需求.本文的工作实现了一个开放式的网络攻击特征库系统,它包括了1200多条有效的攻击特征.本文设计并实现了用于攻击特征实时更新的攻击特征交换协议(ISEP),并描述了其中基于数字证书和角色的访问控制技术.最后,通过Nachi蠕虫的实例说明了本特征库中攻击特征的提取方法.

基于网络攻击特征差异的入侵检测模型研究

入侵检测系统是网络安全防御的一个重要安全工具,提高检测效率一直是研究的重点。该文针对网络攻击的三个主要特征描述来建立分层的入侵检测模型,提高了系统的检测效率。

基于攻击特征的Apache Shiro反序列化攻击检测模型

Apache Shiro框架作为广泛应用的安全框架,提供身份验证、授权、密码和会话管理等功能,但其反序列化漏洞易导致任意代码执行等问题,而现有检测方法存在误报较多的问题,因此提出了一种基于攻击特征的Apache Shiro反序列化漏洞攻击检测模型.通过分析正常情况及漏洞利用情况下网络包特征,归纳总结出4个攻击特征,并基于此构建模型检测Apache Shiro反序列化漏洞攻击,同时判断攻击是否疑似成功并流转至人工确认及处置环节.实验结果表明,该方法不但能检测Apache Shiro反序列化漏洞攻击,而且能够进一步确定攻击是否疑似成功,提高安全事件处置效率.与现有方法相比,该方法能够有效降低误报率,从而降低误处置率,减少对正常业务的影响.