一种基于风险代码抽取的控制流保护方法

代码复用攻击是控制流安全面临的主要威胁之一.虽然地址分布随机化能够缓解该攻击,但它们很容易被代码探测技术绕过.相比之下,控制流完整性方法具有更好的保护效果.但是,现有的方法要么依赖于源码分析,要么采用无差别跟踪的方式追踪所有的控制流转移.前者无法摆脱对源码的依赖性,后者则会引入巨大的运行时开销.针对上述问题,本文提出一种新的控制流保护方法MCE(Micro Code Extraction).MCE的保护目标是源码不可用的闭源对象.与现有的方法相比,MCE并不会盲目地追踪所有的控制流转移活动.它实时地检测代码探测活动,并仅将被探测的代码作为保护目标.之后,MCE抽取具有潜在风险的代码片段,以进一步缩小目标对象的大小.最后,所有跳转到风险代码中的控制流都会被追踪和检测,以保护它的合法性.实验和分析表明,MCE对代码探测和代码复用攻击具有良好的保护效果,并在一般场景下仅对CPU引入2%的开销.

基于时间特征的HTTPS中间人攻击检测方法

中间人攻击是网络攻击的一种常用手段,其中超文本传输安全(Hypertext Transfer Protocol Secure,HTTPS)协议的中间人攻击危害较大,已有检测方法主要面向单客户端,以证书匹配验证为主要手段,部署成本和性能开销较高。通过分析SSL(Secure Sockets Layer)握手阶段的密钥协商、证书验证等关键报文,提出基于时间特征的HTTPS中间人攻击检测方法,从流量角度提供了一种检测思路,具有更广泛的适用场景。实验结果表明,该方法在互联网环境测试数据集下具有较高的准确率。

基于拟态防御的VPN流量劫持防御技术

VPN技术能够有效保障通信流量的保密性和完整性,但是近年来出现的名为blind in/on-path的流量劫持攻击利用VPN协议规则,通过将伪造报文注入加密隧道的方式来实施攻击,严重威胁了VPN技术的安全性。针对此类威胁,提出了基于拟态防御的VPN流量劫持防御技术,并设计了拟态VPN架构(Mimic VPN,M-VPN)。该架构由选调器和包含多个异构的VPN加解密节点的节点池组成。首先选调器根据节点的可信度动态地选取若干加解密节点,来并行处理加密流量;然后对各加解密节点的处理结果进行综合裁决;最后将裁决结果作为响应报文以及更新可信度的依据。通过对来自不同节点的同一响应进行裁决,有效阻止了攻击者注入伪造报文。实验仿真结果表明,相比传统的VPN架构,M-VPN可以降低blind in/on-path攻击成功率约12个数量级。

KMBox:基于Linux内核改造的进程异构冗余执行系统

随机化技术防御进程控制流劫持攻击,是建立在攻击者无法了解当前内存地址空间布局的基础之上,但是,攻击者可以利用内存信息泄露绕过随机化防御获得gadget地址,向程序注入由gadget地址构造的payload,继续实施控制流劫持攻击,窃取敏感数据并夺取或破坏执行软件的系统。目前,异构冗余执行系统是解决该问题的方法之一,基本思想是同一程序运行多个多样化进程,同时处理等效的程序输入。随机化技术使冗余的进程对恶意输入做出不同的输出,同时正常功能不受影响。近年来,一些符合上述描述的系统已经被提出,分析进程异构冗余执行系统的表决设计可以发现,基于ptrace的实现方法会引入大量的上下文切换,影响系统的执行效率。率先直接修改内核设计出一种进程异构冗余执行系统,表决过程完全在内核中完成,冗余的进程独立地采用内存地址空间随机化技术,构建相互异构的内存地址空间布局,在与内存信息泄露相关的系统调用处进行表决,发现泄露信息不一致,阻断进程控制流劫持攻击。即使攻击者跳过内存信息泄露进行漏洞利用,异构内存空间布局也使得注入由gadget地址构造的payload无法同时在冗余的进程中有效,阻断进程控制流劫持攻击。实现了原型系统KMBox,实验证明该系统能够有效抵御进程控制流劫持攻击,性能相较于基于ptrace的进程异构冗余执行系统有所提高。

一种解决视频会议客户端DLL劫持的新方案

随着2020年疫情的来临,基于云会议系统的线上会议突然兴起,各式各样的视频会议系统进入人们的日常生活中,而视频会议系统带来便利的同时,也在使用过程中暴露出很多信息安全问题,包括拦截、中断、篡改、伪造等攻击方式。因此,针对目前视频会议系统存在的信息安全问题,以解决信息安全问题为创新目标,文章对恶意动态链接库进行安全性分析,分析其对会议系统的危害现状,基于客户端安装包攻击和注入攻击分别提出和设计相对应的信息安全系统,用来加强整个信息系统的安全性,并进行结果对比分析,得到针对劫持漏洞的初步解决方案。

SIP网络安全性研究

针对 SIP 网络所面临的典型安全威胁,提出了 SIP 攻击方法的有限状态机描述模型。利用该模型深入研究了注册劫持攻击、INVITE 攻击、re-INVITE 攻击、会话终止攻击和拒绝服务攻击的原理和方式,并在实际环境下重现了这5种攻击方法。同时提出并实现了针对注册劫持的禁止第三方注册或注册权限级别划分的解决方案,以及针对 INVITE 攻击、re-INVITE 攻击和会话终止攻击提出了改进的 HTTP Digest 认证协议和 Proxy 间逐条加密的解决方案,提高了 SIP 网络的安全性和可用性。

缓冲区溢出攻击与防止技术

详细讨论和分析了由于 C/C+ +语言不进行数组和指针的边界越界检查造成缓冲区、堆栈溢出的原理、要素、以及对系统造成的危害 .对“禁用栈执行、使用安全 C库支持、编译器技术”当前最新的几种防御技术进行了讨论 ,并给出了部分具体的实例程序源代码 .

对IEEE802.1x协议的安全性分析

80 2 .1x协议是IEEE在 2 0 0 1年 3月推出的基于端口的用户访问控制协议。简要介绍了80 2 .1x协议的结构、认证方式 ,分析了 80 2 .1x协议存在的一些安全问题 。

多接口非限制下组件化手机Web前端会话劫持攻击检测方法研究

多接口非限制下组件化手机的Web前端容易遭遇会话劫持攻击。当前会话劫持攻击检测方法需建一个含有全部攻击特征的检测模型,不易实现,且检测结果不可靠。提出一种新型组件化手机Web前端会话劫持攻击检测方法,分析多接口非限制下组件化手机Web前端会话劫持攻击,预处理RTT历史数据,以降低多接口非限制下组件化手机Web前端奇异数据对正常数据RTT特征提取的影响。采用滑动数据窗和最小二乘平滑结合的方法对组件化手机Web前端正常数据的RTT特征进行提取,依据RTT特征提取结果,通过滑动窗口平均方法对会话劫持攻击进行检测。实验结果表明,所提方法具有很高的攻击检测精度和效率。

组合Web服务劫持攻击的研究与实现

组合Web服务在给基于异构平台的应用集成带来极大便利的同时,其自身面临着各种恶意攻击的威胁.根据组合Web服务开放性、分布式的特点,提出了针对组合Web服务的服务劫持攻击方案,包括劫持洪泛攻击、服务假冒攻击和服务重放攻击.详细介绍了这些攻击方式的设计思想,模拟实验结果表明设计的攻击方案对组合Web服务产生了严重影响.论文的研究成果有助于设计针对组合Web服务的攻击检测方法.

Web应用中的攻击防御技术的研究与实现

该文介绍了SQL注入式攻击、XSS跨站脚本攻击、会话劫持3种网络攻击手段的原理,并在此基础上重点论述了如何防范这些攻击的方法。

TCP／IP协议的漏洞分析及防范

本文针对TCP／IP在安全领域的应用展开论述，详细分析了TCP／IP在几个关键地方存在的问题．对其安全漏洞进行了研究，给出了一些建设性的解决办法，为今后的进一步研究奠定了基础。

ARP网页劫持攻击分析及防御

论文主要分析了ARP网页劫持攻击的原理,描述了其表现特征、攻击过程,并提出了防范的措施。

动态链接库预加载漏洞检测方法

目前操作系统中的安全机制使常规的溢出漏洞难以被利用,动态链接库(DLL)预加载攻击能够绕过这些保护机制,执行恶意指令。为了防范该攻击,介绍两种DLL预加载漏洞的检测方法。基于这两种方法,设计了新的基于系统调用监控的检测方法,并提出了相应的防范措施。实验结果表明,该方法具有一定的有效性和可靠性,能够检测出主流软件中存在的此类漏洞。

不可靠路由会话劫持攻击分析与检测

为了检测会话劫持,通过分析在路由节点上进行会话劫持的网络数据的RTT特征,用NS(network simu-lation)仿真了会话劫持过程,最后提出CRD(compare RTT detecting)方法,能够有效地检测到会话劫持攻击。

基于安全容器的Activity钓鱼劫持防御方案

钓鱼劫持作为窃取用户隐私数据的恶意攻击行为,对用户的隐私数据造成了严重的安全威胁。针对钓鱼劫持攻击链中的恶意试探环节,文章提出了利用安全容器将应用与外部环境隔离,使得外部的恶意应用无法获取在容器中运行的应用的状态和在容器中运行的任务栈的栈顶信息,只能获取虚假的代理组件,有效阻止外部的恶意应用对Activity界面进行覆盖。文中方案从钓鱼劫持的攻击流程角度进行分析,设计拦截手段,阻止Activity钓鱼劫持的发生。实验结果表明,文中方案能够有效地为应用提供安全可靠的运行环境,并且不会对系统内核进行修改,保证应用免受Activity钓鱼劫持的恶意攻击。

内存数据污染攻击和防御综述

内存数据被污染往往是程序漏洞被利用的本质所在,从功能角度把内存数据划分为控制相关和非控制相关,由此引出控制流劫持攻击和非控制数据攻击。两者危害程度相当,前者因利用成本较低而成为主流,但随着控制流劫持防御方法的不断完善,非控制数据攻击逐渐被重视。研究者先后在顶级会议上提出了数据导向攻击得自动化利用框架Data-oriented Exploits(DOE)以及图灵完备性地证明Data-oriented Programming(DOP),使得非控制数据攻击成为热点。本文基于这两种攻击形式,首先简化内存安全通用模型,并对经典内存数据污染攻击和防御的原理进行分析,其次分别论述新型控制流劫持和非控制数据攻击与防御的研究现状,最后探讨内存安全领域未来的研究方向,并给出两者协作攻击和防御的可能方案。

俄罗斯恐怖活动探析

详细介绍俄罗斯境内恐怖活动的特点 ,分析俄罗斯政府针对恐怖活动所采取的各项策略 ,以期对我国的反恐有所借鉴。

基于硬件的代码复用攻击防御机制综述

给出了代码复用攻击挟持控制流的过程,介绍了代码复用攻击防御机制研究现状。重点论述了基于硬件的防御机制,包括基于硬件的存储安全、代码指针完整性、攻击特征检查、控制流完整性、数据执行保护与隔离技术。讨论了基于硬件的防御机制存在的问题、优势及硬件与软件的关系。展望了基于硬件的代码复用攻击防御机制的发展方向:基于硬件的代码指针完整性有望成为防止控制流挟持攻击的有效手段,针对非控制数据的攻击与防御有可能成为新的研究热点,支持可配置的硬件防御架构是硬件防御的重要趋势之一。

对IEEE802.11局域网RSN(Robust Security Network)架构的安全分析

由于现行的IEEE802.11标准并没有真正可行的安全机制,IEEE委员会为IEEE802.11推出了一个安全架构,他们称之为RSN(Robust Security Network)。RSN利用IEEE802.1X标准来实现访问控制、认证以及密钥的管理。IEEE802.1X是IEEE委员会于2001年制定的一个标准,该标准为基于802标准的局域网提供了一个认证的框架。在本文中,我们给出了关于IEEE802.1X标准在IEEE802.11应用过程中产生的两个安全问题:接管会话(Session hijacking)和MIN(Man-in-the-middle)攻击。这两个问题暴露了IEEE802.1X标准本身以及该标准在IEEE802.11标准的应用过程中产生的一些设计缺陷。如果不对相应的协议和标准进行修改,RSN就不能提供足够的安全。