CAPT:Context-Aware Provenance Tracing for Attack Investigation

APT attacks are prolonged and have multiple stages, and they usually utilize zero-day or one-day exploits to be penetrating and stealthy. Among all kinds of security techniques, provenance tracing is regarded as an important approach to attack investigation, as it discloses the root cause, the attacking path, and the results of attacks. However, existing techniques either suffer from the limitation of only focusing on the log type, or are highly susceptible to attacks, which hinder their applications in investigating APT attacks. We present CAPT, a context-aware provenance tracing system that leverages the advantages of virtualization technologies to transparently collect system events and network events out of the target machine, and processes them in the specific host which introduces no space cost to the target. CAPT utilizes the contexts of collected events to bridge the gap between them, and provides a panoramic view to the attack investigation. Our evaluation results show that CAPT achieves the effective provenance tracing to the attack cases, and it only produces 0.21 MB overhead in 8 hours. With our newly-developed technology, we keep the run-time overhead averages less than 4%.

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

基于白盒CLEFIA实现的软件防篡改方案

2002年,CHOW等人根据数字版权管理(Digital Rights Management,DRM)应用场景定义了白盒攻击环境的概念,并将其模型化为一种极端的攻击模型,即白盒模型。白盒模型颠覆了以往攻击模型中对攻击者能力的诸多限制,从软件保护角度考虑,攻击者被认为拥有对目标软件及其执行的完全控制权。因此,在白盒模型中,数字版权管理系统中的设备,如智能卡、机顶盒等都存在被攻击者篡改的可能。文章基于CLEFIA算法的白盒实现方案,为数字版权管理系统提供一种软件防篡改方案。该方案将软件的二进制代码文件所解释的查找表隐藏在CLEFIA算法的白盒实现方案的查找表集合中,使软件的防篡改安全性与CLEFIA算法的白盒实现方案的加解密正确性结合在一起。一旦软件发生篡改,CLEFIA算法的白盒实现方案的加解密结果将产生错误。CLEFIA算法白盒实现方案的明密文对也将发生变化,而攻击者很难对其进行修复。

基于改进PCFG算法的口令猜测方法

近年来口令泄露事件频出,有效的口令猜测方法是保障口令安全的重要手段,其中基于概率上下文无关文法(PCFG)的口令猜测方法效果尤为显著,然而仍存在无法生成新的口令字符子段、对生成口令的概率估计不准确等问题。以基于PCFG的口令猜测方法为研究对象,对其在口令构造过程中关键阶段的命中率进行分析,提出基于Backoff-RNN与概率平衡的改进PCFG口令猜测方法。在口令结构划分阶段,通过分析用户在构造口令时的行为与偏好,将口令从汉语拼音和英文单词两方面进行更细粒度的结构划分,提取口令更深层次的结构信息。在口令填充阶段,将Backoff思想应用于字符级RNN模型,生成子结构中长序列字符子段,提高模型准确性和泛化能力。在口令概率计算阶段,改进口令生成概率的计算方法,解决了使用传统计算规则时因口令结构长度不一致造成的概率不平衡问题。实验结果表明:在中英文两种语言环境交叉数据集上,该方法的漫步口令猜测攻击命中率相较于基于PCFG的口令猜测方法分别提升了20.6%和22.4%;在中文语言环境数据集上,定向口令攻击命中率相较于TarGuess-I模型提升了2.8%。

基于攻击感知的能量高效源位置隐私保护算法

提出了一种静默池机制方法(SPA,silent-pool approach),当传感器节点感知到附近移动攻击者的存在,通过控制节点的转发状态从而阻止和减少攻击者收到有效数据分组。在此基础上,进一步提出了对当前路由路径没有任何影响的安全机制——池外虚假信息注入(DPIOP,dummy packet injection out pool)法,诱使攻击者远离传输路径。实验结果验证了SPA和DPIOP的隐私性能,与现有方法相比可减少能耗约为63%,降低时延约为35%。

白盒攻击环境下的任务规划系统安全传输方法

针对任务规划系统中的安全传输在白盒攻击环境(WABC)下通信密钥容易被窃取的问题,提出基于修改之后的白盒高级加密标准(白盒AES)的任务规划系统中的安全传输方法。首先,将高级加密标准(AES)拆分成许多查找表,并将密钥嵌入到查找表当中,然后再将查找表按照AES的执行顺序进行合并;其次,在地面按照给出的白盒AES生成算法利用不同的密钥生成不同的白盒AES程序;最后,将这些白盒AES程序嵌入到任务规划系统的安全传输当中,当需要更换密钥时,再在地面将原先的白盒AES程序擦除,生成新的白盒AES。理论分析表明,与传统的任务规划系统中的安全传输相比,修改后的任务规划系统中的安全传输方法可使攻击复杂度提高到291,达到足够的安全强度,可以保护通信密钥。

基于攻击威胁监控的软件保护方法

为了增加软件逆向分析的难度,提高软件的安全性,提出了一种基于攻击威胁监控的软件保护方法。该方法通过在软件中部署威胁监控网,来实时检测并处理软件执行过程遇到的多种攻击威胁,确保软件处于一个相对安全的执行环境中,难以被逆向分析。对该保护方法的研究,主要分为以下三个方面:1)攻击威胁描述。分析软件面临的潜在攻击威胁,并按照〈威胁目的,实施方式,作用对象〉的表示方式对每种威胁进行描述。2)攻击威胁监控网部署。分析各种威胁的特点并设计对应的检测方法,生成节点库;根据节点自身特点,选取合理的部署方案,将节点安插到软件的不同位置。3)原型系统实现与实验设计。按照保护方案的思路实现原型系统,保护一组程序实例,对提出的方案从性能损耗和安全性影响两方面来评估,实验分析结果表明该保护方案是可行且有效的。

基于RSA的可截取签名改进方案

在多方参与的签名环境中,可截取签名体制(CES)解决了信息的多次签名和多次传递等问题。对现有CES方案进行了分析,发现现有方案截取后的文档存在版式凌乱的缺陷。针对该缺陷,结合批签名思想,提出了一种基于RSA的可截取签名改进方案,并分析了截取者的各种行为对签名验证的影响。研究表明,新方案在保持原方案安全性能不变的基础上,优化了截取文档的结构,提高了签名效率。

一种分布式恶意流量检测系统设计与实现

现代军事网络拓扑复杂,恶意流量告警数量呈爆炸性增长,一级分析师作为最直接的告警数据处理人员,完全淹没在告警数据的海洋中,很难发现真正有威胁的告警。本技术通过研究基于上下文的综合研判模型,利用大数据流处理技术,对海量告警流量数据进行时域、空域综合研判,关联和挖掘威胁时间,有效过滤无用告警数据,提升分析师的工作效率,为更快处理威胁事件提供技术支撑。

SM4算法的一种新型白盒实现

在白盒攻击环境中,攻击者能够访问密码算法的实现过程,观测密码算法的动态执行,掌握算法的内部细节,并任意修改.Chow等人提出白盒密码的概念,以应对白盒攻击环境,并给出白盒AES实现和白盒DES实现.本文提出一种SM4算法的新型白盒实现方案,对密码算法的内部状态进行扩充并在密码算法运行的过程中加入随机数对密钥进行混淆,使每一轮通过查找表加密后有一半信息是有用的,一半信息是混淆的.整个加密过程使用查找表与仿射变换进行表示,该方案需占用内存空间276.625 KB,查找表对应的白盒多样性与白盒含混度的值分别为2^646与2^86.该方案针对林婷婷等人的分析方法的复杂度为O(2^51),针对潘文伦等人的分析方法的密钥空间为61200·2^32,针对仿射等价算法的时间复杂度为O(2^97),可以有效抵抗代码提取攻击以及BGE攻击.

CLEFIA算法的一种新型白盒实现

针对苏帅等人以干扰项技术实现的白盒CLEFIA算法的不足,采用MICHIELS等人的分析方法,可以在不超过2.5×229的时间复杂度内恢复出主密钥。为保证CLEFIA算法在白盒攻击环境中安全运行,提出一种基于查找表技术的CLEFIA算法的白盒实现方案。该方案需占用内存空间36.034 MB,方案中两类查找表对应的白盒多样性的值分别为2829和2813,且针对仿射等价算法的时间复杂度可以达到O(276)。该方案可以有效地抵抗代码提取攻击密钥提取攻击、MICHIELS等人的攻击以及MULDER等人的攻击。

上下文关联敏感的XML数字签名方案研究

针对XML数字签名的上下文无关性导致其在应用中面临诸如XML数字签名包装攻击的问题.文中提出了XML元素中上下文关联元素的概念,建立了上下文参考完整性模型,并融合XML数据的内容完整性、结构完整性以及上下文参考完整性,构建了XML数字签名中数据完整性模型.设计基于三元组的上下文关联敏感的XML数字签名方案.研究结果表明:在确保XML数字签名优点的前提下,使XML数字签名成为一种上下文关联敏感的数字签名模式,有效阻止在应用中的注入式攻击,为Web服务安全及云计算安全中提高XML数据签名的安全性找到突破口,同时为多重XML数字签名的依赖关系奠定理论基础.

上下文关联敏感的XML数字签名实现

文中以前期研究成果上下文关联敏感的XML数字签名方案为基础,结合光学测量标定报告管理系统对XML数据安全的需求,以XML原生数据库存储标定报告,根据应用流程阐述了XML数据完整性保护在实际使用中的生成流程及方法,在此完整性结果基础上实现了上下文关联敏感的XML数字签名的签名过程及验证过程.结果表明,文中提出的签名方案在实际应用中可行,并与现有的XML数字签名规范兼容,可有效阻止云计算中面临的XML数字签名包装攻击.

一种基于结构划分及字符串重组的口令攻击方法

身份认证是网络安全的一道重要防线,口令长期以来一直是身份认证的主流方式,口令攻击是口令安全研究的重要手段.基于概率上下文无关文法(Probabilistic Context-Free Grammar,PCFG)和基于Markov链的模型是目前效果最为显著的两类口令攻击方法,它们分别从子结构组成层面和字符前后依赖层面对口令进行有效地建模刻画.该文中,作者在综合上述两类模型优点的基础上提出了一种基于结构划分及字符串重组的口令攻击方法,记为SPSR模型:首先将口令划分成抽象的子结构,然后利用改进的Markov链模型生成子结构中字符、数字和符号等构成的子串,以同时兼顾模型的准确性和泛化能力.此外,作者在结构划分阶段还额外引入了常用字符段,并加入了索引位对特殊字符在口令中的位置进行了明确地刻画;在字符串重组阶段,通过递归的思想减少子串概率计算中的重复计算,给出了一个改进的OMEN算法——Recursive-OMEN算法.为了验证SPSR模型的有效性,分别在6个真实的中英文口令集上进行了实验测试.结果表明,按概率递减顺序生成相同规模的猜测口令集时,新提出的Recursive-OMEN算法比OMEN算法用时缩短了10倍左右;在相同的猜测次数下考察攻击效果时,SPSR模型比基于Markov链的模型能多破解出40%～50%的口令,比基于PCFG的模型能多破解出20%左右的口令.

Meaning Guessing Strategies in English Reading

In the course of reading we can guess or infer the meaning of some new words, difficult words or keywords through the information, logic, background knowledge and language structure, etc. And it is a very useful reading skill. When obtaining this kind of skill, the readers can quickly infer the meaning of new words from the clue offered by the context or the structure characteristic of new words, therefore, to improve the reading speed and reading ability.

基于上下文感知计算的网络攻击组织追踪方法

对大部分网络监管单位和企业来说,网络安全运营很大程度上已经变为一个大数据分析和处理问题。如何从海量多模态的告警数据中快速发现高危安全事件是目前监管单位和企业的一个重要课题。文章针对这一问题提出了一种基于上下文感知计算框架的攻击组织追踪方法。首先结合上下文感知计算框架从多源威胁情报和本地沙箱告警日志中采集攻击组织相关威胁语义知识构建攻击组织知识库;然后基于大数据流式计算对实时、海量和多模态告警数据进行范式化理解和攻击链关联;结合构建的攻击组织知识库进行事件威胁语义富化和攻击组织特征关联计算,最终发现海量告警背后值得关注的攻击组织相关高危事件。经过在实际生产环境中部署系统,验证了文章提出方法的有效性。

白盒密码的设计与研究

白盒攻击环境指的是密码软件的执行对攻击者完全可见的环境。在白盒攻击环境中,攻击者通过观察或者执行密码软件,很容易就可以获得密钥信息。白盒密码是针对这种环境提出来的,其目的是为了在白盒攻击环境中,有效地防止攻击者获得密钥信息,并介绍了白盒密码的主要设计方法并进行了分析。