面向蜜场环境的网络攻击流重定向机制的研究与实现

网络攻击流重定向是蜜场中的关键技术之一。文中对其机制进行了研究,提出了基于网络环境信息自动感知技术与入侵检测技术相结合的网络攻击检测机制,以及基于OpenVPN与策略路由的透明网络流重定向机制,并实现了一个基于上述机制的网络攻击流重定向系统,最后通过实验验证了系统的有效性。

一种基于完整性度量架构的数据封装方法

封装存储是可信计算平台的一项重要功能,它能将数据的加密存储与平台状态结合起来,提供了更强的安全存储保证.但现代操作系统结构越来越复杂,各种启动项的加载顺序也相对随机;平台配置的频繁改变、软件更新及系统补丁等都限制了封装存储的应用.而操作系统级的完整性度量架构(IMA)能将信任链扩展到整个计算平台,为封装存储提供了支持.为此,基于IMA提出一种新的数据封装方法,采用相对固定的标准状态来封装,结合易变IMA度量列表和结果以及经过签名的名单策略来评估平台状态,解决了操作系统复杂性带来的配置寄存器(PCR)的值不确定性和软件更新及系统补丁带来的频繁封装问题.

一种多项式时间的路径敏感的污点分析方法

提出了一种解决静态污点分析方法在进行路径敏感的分析时面临的路径爆炸的问题的方法.该方法将污点分析问题转化为加权下推自动机的广义下推后继问题,进一步利用污点数据在程序中的可达性,减少后续分析中需要精确执行的路径数.从而该方法能够以多项式的时间复杂度实现程序状态空间遍历,并能在发现程序违反安全策略时自动生成反例路径.设计实验使用该方法对击键记录行为进行了刻画,对恶意代码程序和合法软件进行了两组分析实验,并与现有的方法进行了对比分析.实验证明本文的方法可以有效地对具有较多分支的程序进行路径敏感的污点分析。

基于下推系统可达性分析的程序机密消去机制

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效.

基于元搜索引擎实现被篡改网站发现与攻击者调查剖析

网站篡改是目前一类主要的网络攻击形式,对网站安全运营和形象造成了严重的威胁。网站篡改攻击发现与监测是安全研究和应急响应的一个重要任务,本文引入元搜索引擎技术对网站篡改攻击进行发现,并对攻击者的互联网踪迹进行进一步搜索和调查分析。概念验证性实验结果表明元搜索引擎技术可用于构建简单有效的网站篡改监测方案,并在攻击者调查剖析方面具有其他方法不可替代的优势。

基于蜜网技术的攻击场景捕获和重构方法

形攻击场景重构能够为安全分析人员提供精简、更容易理解的安全态势描述,提高攻击检测与分析的能力。鉴于蜜网技术在捕获和了解Internet威胁方面具有独特优势,本文提出了一种基于蜜网技术的攻击场景捕获及重构方法。通过结合使用Argus,Sebek,Argos,Snort等开源工具,并对其捕获数据构建关联分析系统,本文提出的方法能较好地再现高交互式蜜罐所捕获的网络攻击。概念验证性原型实现在基于蜜场技术的大规模网络主动安全防护系统中得到了应用。