基于NLA的Polymorphic蠕虫特征自动提取算法研究

随着Polymorphic蠕虫变形技术的不断发展,如何快速有效地提取其特征是入侵检测中特征提取领域的一个重要研究方向。采用基于模式的特征提取算法NLA(Normalized Local Alignment),通过对多个可疑Polymorphic蠕虫流量进行序列比对,自动提取高相似度公共子序列,以向量的形式构造蠕虫特征。实验结果表明该算法在误报率和漏报率方面均优于传统算法。     

Polymorphic蠕虫特征自动提取算法及检测技术研究

入侵检测系统检测蠕虫攻击的关键在于蠕虫特征是否准确,随着蠕虫Polymorphic技术的不断发展,如何快速有效地提取Polymorphic蠕虫特征,是入侵检测中特征提取领域的一个重要的研究方向。采用基于模式的特征提取算法,通过对多个可疑Polymorphic蠕虫流量进行序列比对,自动提取它们的最长公共子序列,结果用两种形式的向量表示;并采用相似度度量的检测方法,利用已提取的特征向量,判别新到来的Polymorphic蠕虫流量所属的类别,从误报率和漏报率方面验证了特征提取算法的有效性以及相似度度量检测方法的有效性。     

一种改进的多态蠕虫特征提取算法

大多数多态蠕虫特征提取方法不能很好地处理噪音,提取出的蠕虫特征无法对多态蠕虫进行有效检测。为此,提出一种改进的多态蠕虫特征提取算法。采用Gibbs算法从包含n条序列(包括k条蠕虫序列)的可疑流量池中提取出蠕虫特征,在识别蠕虫序列的过程中基于color coding技术提高算法的运行效率。仿真实验结果表明,该算法能够减少时间和空间开销,即使可疑池中存在噪音,也能有效地提取多态蠕虫。     

基于彩色编码的多态蠕虫特征自动提取方法

快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测.     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

一种基于序列比对的入侵特征提取算法

本文提出了一种新的基于多序列比对1的入侵特征提取算法.该算法包括两部分:基于局部比对的两序列比对算法SLA(Sequence Local Alignment)和多序列比对算法MSA(Multi-Sequence Alignment).SLA算法借鉴了生物信息学中两序列比对的思想,用局部序列比对思想和仿射空位罚分模型代替了目前在攻击特征提取中常用的全局序列比对思想和权值恒定空位罚分模型,以提高攻击特征的泛化程度.MSA算法利用一种新的剪枝策略来提高现有多序列比对算法在攻击特征提取中的抗噪声能力.本文详细介绍了两个算法,并给出了算法分析,最后对算法的有效性、提取的攻击特征在检测中的有效性以及抗噪声能力进行了实验验证.     

基于特征提取的未知蠕虫攻击防御模型设计

本文提出了一种基于特征提取的蠕虫攻击防御模型,该模型能早期检测蠕虫攻击流量,提取未知蠕虫的代码特征片断,动态更新入侵检测系统规则库.本文给出了整体模型及组成功能模块的详细设计.     

基于改进蚁群算法的多态蠕虫特征提取

多态蠕虫特征提取是基于特征的入侵检测的难点,快速提取出精确程度更高的多态蠕虫特征对于有效防范蠕虫的快速传播有着重要的作用。针对层次式的多序列匹配(HMSA)算法进行多序列比对的时间效率较低和由迭代方法提取出的特征不够精确等问题,提出了基于改进蚁群算法的多态蠕虫特征提取方法antMSA。该方法首先对蚁群的搜索策略进行了相应的改进,并将改进后的蚁群算法引入到奖励相邻匹配的全局联配(CMENW)算法中,利用蚁群算法快速收敛能力,在全局范围内快速生成较好解,提取出多态蠕虫的特征片段;然后将其转化为标准入侵检测系统(IDS)规则,用于后期防御。实验表明,改进后的蚁群算法能够较好地克服基本蚁群算法的停滞现象,扩大搜索空间,能够有效提高特征提取的效率和质量,降低误报率。     

基于扫描流量统计的本地网蠕虫检测方法

为了准确检测外网蠕虫对本地网的传播,在研究蠕虫扫描行为模式的基础上,提出一种基于扫描流量统计的本地网蠕虫检测方法,并给出蠕虫检测方法实现的总体思路、关键算法和检侧过程.该检侧方法分为异常流量检测和扫描包特征匹配检测两个步骤,即首先使用马尔科夫和坎泰利不等式在网络边界检测进入本地网的扫描流量,提取异常流量中的可疑扫描包的特征;然后监控本地网,检测与可疑扫描包特征相匹配的本地网扫描活动,进而判定本地网是否感染外网蠕虫.分析与初步实验证明,该方法能够检测准确检测外网蠕虫对本地网的传播.     

多态蠕虫特征码自动提取算法

针对多态技术下变形蠕虫的特征与自动提取算法的问题, 提出一种多态蠕虫特征描述方法, 并给出特征码自动提取算法. 这种结合了PADS和Polygraph优点的MS-PADS特征提取方法, 能在强噪声下快速提取高质量的多态蠕虫特征, 具有低误报率、检测精度高和通用性好等特点.     

Investigations of automatic methods for detecting the polymorphic worms signatures

This paper investigates the current automatics methods used to generate efficient and accurate signatures to create countermeasures against attacks by polymorphic worms. These strategies include autograph, polygraph and Simplified Regular Expression (SRE). They rely on network-based signature detection and filtering content network traffic, as the signature generated by these methods can be read by Intrusion Prevention systems and firewalls. In this paper, we also present the architecture and evaluation of each method, and the implementation used as patterns by SRE mechanism to extract accurate signatures. Such implementation was accomplished through use of the Needleman–Wunsch algorithm, which was inadequate to manage the invariant parts and distances restrictions of the polymorphic worm. Consequently, an Enhanced Contiguous Substring Rewarded (ECSR) algorithm is developed to improve the result extraction from the Needleman–Wunsch algorithm and generate accurate signatures. The signature generation by SRE is found to be more accurate and efficient as it preserves all the important features of polymorphic worms. The evaluation results show that the signature contains conjunctions of tokens, or token subsequence can produce a loss of vital information such as ignoring one byte token or neglecting the restriction distances. Furthermore, the Simplified Regular Expression needs to be updated and accurate when compared with autograph and polygraph methods.     

面向蠕虫自动特征产生系统的设计与实现

计算机以及网络的的迅速发展在带给人类方便的同时,也为恶意代码的传播提供了良好的条件。一种具有传播速度快,破坏力大和高智能性等特点的恶意代码一蠕虫,已引起人们的广泛重视。由于蠕虫传播速度极快,安全厂商很难迅速获得检测相应蠕虫的恶意代码的特征,而特征的迟后获得可能会给用户带来很大的潜在危害,因此,本文从协议分析的角度提出了一种特征的自动生成方法,并将产生的特征用来检测蠕虫,取得了良好的效果,并在此基础上用实例探测的方法进一步提高了准确性（降低了漏报与误报）。     

基于椭圆曲线的数字签名系统的设计与实现

基于椭圆曲线的数字签名系统是目前主流的数字签名系统之一,并且被认为是经典的RSA系统的最佳替代者。基于椭圆曲线离散对数问题的数字签名系统使用的签名协议主要来自于签名等式的不同变形,通过对协议进行面向实现的优化可以使整个系统更加高效。在协议的实现过程中底层算法对系统的效率有着至关重要的影响。基于椭圆曲线的数字签名系统主要包括两个层次的底层运算:椭圆曲线上点的运算;有限域上元素的运算。对曲线上点的运算的优化主要是通过对标量乘算法和曲线上点的坐标系统的优化(减少求元素逆的操作)实现的,对有限域上元素运算的优化主要是通过使用类Mersenne素数模数优化求模操作,从而加快模乘和模平方操作。经过以上优化设计与实现的系统比以往实现的系统更加高效。     

一种新的蠕虫防范方法*

提前对特定漏洞可能出现的攻击数据包进行特征提取,并以此特征为基础描述了一种可以阻断未来针对特定漏洞恶意攻击的蠕虫防范方法,最后提出一种新的蠕虫防范模式和存在的一些问题。     

基于漏洞的蠕虫特征自动提取技术研究

提出一种新的基于漏洞的蠕虫特征,其区别于传统的基于语法或语义分析的技术,对蠕虫攻击的漏洞特征进行分析,将该算法应用于检测系统中。通过实验证明,该检测系统能有效地检测出各种多态变形蠕虫。     

基于信息融合的在线手写签名算法研究

为了进一步提高认证效果,在演化计算、神经网络和离散F距手写签名认证算法的基础上,提出了基于信息融合的在线手写签名认证算法。该算法将测试签名和参考签名分别通过三种算法进行认证,得出测试签名为真实签名的置信度,然后对三种认证算法的结果进行加权融合,根据最终的融合结果进行签名真假的判定。实验结果表明,信息融合算法的误拒率和误纳率都有显著的减少。     

一种新颖有效的在线/离线门限签名方案

基于以前提出的门限签名方案的不足,给出了一种新的在线/离线门限签名方案。给出了密钥生成、离线阶段和在线阶段的具体算法步骤,并在随机预言模型下,从完备性和可靠性等方面证明了该方案的安全性,采用零知识证明验证部分签名的方法保证了方案的健壮性,并对方案的计算复杂度,存储复杂度,和通信复杂度进行了效率分析和比较,验证了方案的可行性。证明和分析结果表明,方案解决了密钥泄露问题,大大降低了离线阶段的计算量和存储量,降低了在线阶段的通信量,极大地提高了签名的响应速度,具有良好的安全性和健壮性。