Protecting Against Address Space Layout Randomisation (ASLR) Compromises and Return-to-Libc Attacks Using Network Intrusion Detection Systems

Writable XOR executable （W⊕X） and address space layout randomisation （ASLR） have elevated the understanding necessary to perpetrate buffer overflow exploits [1] . However, they have not proved to be a panacea [1 3] , and so other mechanisms, such as stack guards and prelinking, have been introduced. In this paper, we show that host-based protection still does not offer a complete solution. To demonstrate the protection inadequacies, we perform an over the network brute force return-to-libc attack against a preforking concurrent server to gain remote access to a shell. The attack defeats host protection including W⊕X and ASLR. We then demonstrate that deploying a network intrusion detection systems （NIDS） with appropriate signatures can detect this attack efficiently.

An Intrusion Detection Algorithm for Wireless Networks Based on ASDL

Wireless networks are more vulnerable to cyberattacks than cable networks. Compared with the misuse intrusion detection techniques based on pattern matching, the techniques based on model checking(MC) have a series of comparative advantages. However, the temporal logics employed in the existing latter techniques cannot express conveniently the complex attacks with synchronization phenomenon. To address this problem, we formalize a novel temporal logic language called attack signature description language(ASDL). On the basis of it, we put forward an ASDL model checking algorithm. Furthermore, we use ASDL programs, which can be considered as temporal logic formulas,to describe attack signatures, and employ other ASDL programs to create an audit log. As a result, the ASDL model checking algorithm can be presented for automatically verifying whether or not the latter programs satisfy the formulas, that is, whether or not the audit log coincides with the attack signatures. Thus,an intrusion detection algorithm based on ASDL is obtained. The case studies and simulations show that the new method can find coordinated chop-chop attacks.

An Algorithm for Generation of Attack Signatures Based on Sequences Alignment

This paper presents a new algorithm for generation of attack signatures based on sequence alignment. The algorithm is composed of two parts: a local alignment algorithm-GASBSLA (Generation of Attack Signatures Based on Sequence Local Alignment) and a multi-sequence alignment algorithm-TGMSA (Tri-stage Gradual Multi-Sequence Alignment). With the inspiration of sequence alignment used in Bioinformatics, GASBSLA replaces global alignment and constant weight penalty model by local alignment and affine penalty model to improve the generality of attack signatures. TGMSA presents a new pruning policy to make the algorithm more insensitive to noises in the generation of attack signatures. In this paper, GASBSLA and TGMSA are described in detail and validated by experiments.

A Method for Detecting Intrusion on Networks in Real-time Based on IP Weight

A new rule to detect intrusion based on IP weight, which is also well implemented in the rule base of author’s NMS, is presented. Compared with traditional ones, intrusion detecting based on IP weight enhanced analysis to packet content. The method also provides a real-time efficient way to analyze traffic on high-speed network and can help to increase valid usage rates of network resources. Practical implementation as a rule in the rule base of our NMS has verified that the rule can detect not only attacks on network, but also other unusual behaviors.

基于多序列联配的攻击特征自动提取技术研究

误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质量.该文提出一种基于多序列联配的攻击特征自动提取方法:首先将可疑的网络数据流转化为序列加入到可疑数据池中;通过聚类将这些序列分为若干类别;最后利用该文提出的多序列联配算法对同一类中的序列进行联配,并以产生的结果代表一类攻击的特征.该方法的核心是该文提出的两种序列联配算法:奖励相邻匹配的全局联配算法CMENW(Contiguous-Matches Encouraging Needleman-Wunsch)和层次式多序列联配算法HMSA(Hierarchical Multi-Sequence Align-ment).CMENW算法克服了Needleman-Wunsch算法易产生碎片的问题,使得连续的特征片段能够尽量地予以保留;HMSA算法以层次式策略对多序列进行联配,支持通配符,并带有剪枝功能.该方法可以自动地提取包括变形病毒和缓冲区溢出在内的新攻击的特征,其主要优点是:(1)产生的攻击特征包含位置相关信息,因而相对传统的方法结果更加准确;(2)具有良好的抗噪能力.

基于序列比对的攻击特征自动提取方法

在对生物信息学序列比对理论研究的基础上,将序列比对算法应用到入侵检测模型中,提出一种序列比对攻击特征自动提取新方法.针对Needleman-Wusch算法缺乏攻击知识积累,设计一种基于知识积累的序列比对算法IASA(Information Accumulation Sequence Alignment).新方法首先调整数据去噪并进行数据聚类,使用IASA进行序列比对,使得序列比对的特征片段趋向于更合理结果,再将比对结果所代表的攻击特征转化为IDS规则.实验结果表明,该方法能提高攻击特征生成质量,降低系统误报率.

网络安全态势感知分析框架与实现方法比较

信息技术已经深入到全社会政治、经济、文化的方方面面,信息革命改变了全世界的沟通方式,促使人类社会有了巨大的发展,也使网络安全问题受到了前所未有的关注.针对网络安全问题的研究主要经历了理想化设计保证安全、辅助检测被动防御、主动分析制定策略、全面感知预测趋势4个主要阶段,在各国都在争夺数字控制权的新战略制高点背景下,针对网络安全态势感知的探讨无论是在学术研究上还是在产业化实现上都呈现出了全新的特点.本文对网络安全态势感知进行了尽可能详尽的文献调研,首先介绍了国内外研究现状及网络安全态势感知与传统态势感知之间的区别与联系;然后从数据价值链角度提出了网络安全态势感知的逻辑分析框架,将整个过程分解为要素采集、模型表示、度量确立、求解分析和态势预测五个连续的处理阶段,随后对每个阶段的作用,主流的方法进行了阐述,并对在实验对象上的应用结果以及方法间的横向比较进行了说明.本文意图对网络安全态势感知提供全景知识,为网络安全的产业化方案提供辅助思想,希望能够对此领域的科研和工程人员起到参考作用.

基于应用的高速网络入侵检测系统研究

传统的网络入侵检测方法基于传输层以下的数据包特性来检测入侵,因此存在一些难以克服的缺点,如易受欺骗(evasion)、误报警(false positive)多、检测效率低等,难以适应高速的网络环境。为了解决这些问题,本文提出将应用协议分析方法应用到网络入侵检测中,实现基于应用的检测,并提出了一个改进的多模式匹配算法,进一步提高检测的效率;同时针对高速网络环境,利用基于数据过滤的压缩技术与负载均衡技术提出了一个新的网络入侵检测系统结构模型,给出了系统的设计与实现方法。实验测试表明系统能够对吉比特以太网进行有效的实时检测。

基于攻击树的网络攻击建模方法

攻击树(AttackTree)是一种具有树表示结构的网络攻击建模工具。它具有结构化、可重用的优点。已有一些工作在它的基础上展开。但总的来说,现有的研究都着重于针对具体的攻击事件进行建模,在利用攻击树进行分析时缺乏系统性和整体性,难以对攻击树进行有效的利用。该文利用攻击树从系统的角度来对攻击进行建模,并尝试利用建模后得到的攻击树对系统整体的安全性进行分析与评估;此外,通过对攻击过程进行阶段划分,大大降低了构造出的攻击树的复杂度,使得攻击树更易于使用、分析和维护。实例分析表明,该方法能很好地刻画网络攻击的特征,可以为系统的安全分析和评估提供比较令人满意的指导,具有较好的实用性。

基于协议分析的网络入侵检测技术

网络协议分析是网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析。文章基于状态转换进行协议分析和检测,以充分利用协议的状态信息检测入侵,有效地完成包括应用层协议在内的网络各层协议的分析,更加精确地定位了检测域,提高了检测的全面性、准确性和检测效率;这种方法综合了异常检测和误用检测技术,可以更有效地检测协议执行时的异常和针对协议的攻击,并且可检测变体攻击、拒绝服务攻击等较难检测的攻击。

高效的模式匹配算法研究

对入侵检测中模式匹配的方法进行了研究,分析了当前常用的模式匹配方法的弱点与不足,提出了一种基于三叉树结构的自动机方法,较好的避免了传统树型结构中由于节点数目变化而导致的不便。此外,利用匹配失败的信息,实现了跳跃匹配,提高了模式匹配的速度。*

入侵检测系统中特征匹配的改进

有效的入侵检测是保证系统安全所必不可少的。特征匹配是现有入侵检测系统所使用的基本方法。网络的高速发展,现有的特征匹配方法已成了高速网络环境下入侵检测的瓶颈。文章论述了通过在现有匹配方法的基础上引入协议分析的多层次入侵检测匹配,能减小目标匹配范围,提高系统检测效率。

网络入侵检测中的深度协议分析方法

为了探索一种能体现基于网络的入侵检测系统规则的复杂性和联系性,并具备降低规则冗余的入侵检测方法,提出一种基于深度协议分析对网络事件进行重新解构的方法。该方法不仅将协议分析抽象到基于事件的整体上对网络事件进行层次分析,同时还将协议分析深入到具体的应用层数据里。实验表明,该方法具有更高的检测准确率和检测速率,大幅度地减少了规则库冗余,更适用于高速网络环境,同时还具备一定的检测未知入侵的能力。

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

随着网络技术的发展,网络环境变得越来越复杂,对网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,包括无法解决安全后门问题,不能阻止网络内部攻击等问题。在众多的网络安全威胁中,DDoS攻击以其实施容易,破坏力度大,检测困难等特点而成为网络攻击检测与防御的重中之重。近年来,针对网络流量相关性的DDoS攻击检测方法层出不穷,文章在分析DDoS攻击检测方法的基础上,利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。

基于网络事件和深度协议分析的入侵检测研究

针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比,新模型有效降低了误检率和特征库冗余;具有随网络流量和特征库快速增长,而CPU占用率维持低水平增长的特性,能更好地适应高速网络环境;同时还具有一定的特征泛化和检测未知入侵的能力。

基于决策树和协议分析的入侵检测研究

当前大多数入侵检测产品使用的是基于规则的简单模式匹配技术,它们存在着资源消耗量大、误报率高以及随着网速的提高出现丢包等问题。针对这些问题,提出了用决策树算法实现基于协议分析的入侵检测方法。试验结果表明,该方法具有较高的检测速度和较低的正误报率。

一种基于网络处理器的入侵检测系统

针对目前入侵检测系统的处理速率远远不能满足网络的高速发展,通过对现有IDS的体系结构和算法进行重新设计,提出了一种新的网络入侵检测体系结构。新的体系结构采用网络处理器在网络底层实现数据的采集与分析,提高了IDS的运行速度和效率,能较好地适应高速网络环境下的入侵检测。

协议分析技术在入侵检测中的应用

入侵检测技术是安全防护的重要手段,但是传统的入侵检测系统在高速网络环境下由于误报率和漏报率过高而难以满足实际需要。文中分析了基于模式匹配的入侵检测系统的不足,提出了把协议分析技术和模式匹配技术相结合的检测模型,最后讨论了一种对入侵检测系统的规则库进行精简的方法。这些方法提高了检测准确率和效率,使得入侵检测系统能够适应高速网络环境。

IPv6下的网络攻击和入侵分析

IPv6有更好的安全特性,但 IPv6消除不了网络攻击和入侵。本文分析了 IPv6带来的安全增强,IPv6网络中依然存在的安全问题,以及 IPv6引入的新的网络攻击和入侵方式,并特别分析了 IPv4向 IPv6过渡阶段技术带来的网络入侵问题,最后给出了网络管理和配置的建议。

网络攻击源追踪系统模型

入侵检测是识别网络攻击的主要手段 ,现有的入侵检测系统可以检测到大多数基于网络的攻击 ,但不能提供对真实攻击来源的有效追踪 .据此 ,结合现有的入侵检测技术提出了网络攻击源追踪系统的模型 ,阐述了该系统的体系结构和各部分的主要功能 ,给出了利用相关性分析对攻击者的攻击路径进行回溯的基本思想 .模拟结果表明 ,所提出的系统模型和相关性分析的思想是可行有效的 .最后 ,从安全性。