基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

基于信道指纹的毫米波MIMO系统身份欺骗攻击检测方案

针对毫米波多输入输出系统(MIMO)中的身份欺骗攻击问题，该文提出一种基于信道指纹的攻击检测方案。在波束域中，毫米波信道图样呈现波束的稀疏性和高方向特性，且这种波束域特性与终端位置有极高的相关性。该文将该波束域信道图样作为一种信道指纹，提出了一种基于信道指纹的身份欺骗攻击检测方案，将欺骗攻击中的终端身份认证问题建模成对其信道指纹的二分类问题，并使用基于监督学习的支持向量机算法求解该分类问题。为获得好的分类效果，基于对信道指纹的数值分析，比较了皮尔逊相关系数、余弦相似度、相关矩阵距离、欧氏距离等相似度指标。根据比较结果，选择最优的指标作为分类特征训练分类模型。仿真结果表明，即使在低信噪比条件下，该方案仍具有高认证准确性和鲁棒性。与现有相关机制相比，攻击检测精度显著提高。     

物理层认证的中间人导频攻击分析

现有物理层认证机制依赖合法信道状态信息(CSI)的私有性,一旦攻击者能够操控或窃取合法信道,物理层认证机制就会面临被攻破的威胁。针对上述缺陷,该文提出一种中间人导频攻击方法(MITM),通过控制合法双方的信道测量过程对物理层认证机制进行攻击。首先对中间人导频攻击系统进行建模,并给出一种中间人导频攻击的渐进无感接入策略,该策略允许攻击者能够顺利接入合法通信双方;在攻击者顺利接入后,可对两种基本的物理层认证机制发起攻击:针对基于CSI的比较认证机制,可以实施拒绝服务攻击和仿冒接入攻击;针对基于CSI的加密认证机制,可以实现对信道信息的窃取,从而进一步破解认证向量。该攻击方法适用于一般的公开导频无线通信系统,要求攻击者能够对合法双方的导频发送过程进行同步。仿真分析验证了渐进无感接入策略、拒绝服务攻击、仿冒接入攻击、窃取信道信息并破解认证向量等多种攻击方式的有效性。     

物理层认证的中间人导频攻击分析

现有物理层认证机制依赖合法信道状态信息(CSI)的私有性,一旦攻击者能够操控或窃取合法信道,物理层认证机制就会面临被攻破的威胁.针对上述缺陷,该文提出一种中间人导频攻击方法(MITM),通过控制合法双方的信道测量过程对物理层认证机制进行攻击.首先对中间人导频攻击系统进行建模,并给出一种中间人导频攻击的渐进无感接入策略,该策略允许攻击者能够顺利接入合法通信双方;在攻击者顺利接入后,可对两种基本的物理层认证机制发起攻击:针对基于CSI的比较认证机制,可以实施拒绝服务攻击和仿冒接入攻击;针对基于CSI的加密认证机制,可以实现对信道信息的窃取,从而进一步破解认证向量.该攻击方法适用于一般的公开导频无线通信系统,要求攻击者能够对合法双方的导频发送过程进行同步.仿真分析验证了渐进无感接入策略、拒绝服务攻击、仿冒接入攻击、窃取信道信息并破解认证向量等多种攻击方式的有效性.     

基于多重协议的网络隐蔽信道设计与实现

在网络信息安全问题日益突出的背景下,研究了网络隐蔽信道的通信机制。提出一种基于多重协议建立网络隐蔽信道的方法:通信双方通过ICMP协议进行密钥协商,用协商密钥加密传输的隐蔽信息,加密后的信息写入TCP协议的32位序列号字段,加密后的会话密钥写入IP协议的16位标识位字段。该方法在Linux平台下实现并检验。实验结果表明,此隐蔽信道隐蔽性高、传输速度快、切实可行,为防范隐蔽信道的恶意攻击提供了理论依据和技术支持。     

可证明安全的MANET按需源路由协议分析

对MANET安全按需源路由协议的一种形式化分析模型进行了深入分析,指出其中存在的合并相邻敌手节点等不合理操作以及该模型下endairA协议安全性证明过程中的错误,并给出了一种针对endairA协议的隐蔽信道攻击,表明该协议即使在其安全分析模型下也不能满足其安全目标.     

可信平台中抗侧信道攻击的RSA算法改进研究

可信计算是信息安全领域研究的热点,研究可信平台模块的安全性具有重要意义。可信平台模块传统RSA加密算法缺少物理保护,具有受到侧信道攻击的风险。根据抵抗侧信道攻击的传统RSA算法,提出了一种改进方法,将RSA添加伪随机数操作方案改进为在遇到0 b时通过0,1随机数判断是否执行伪随机操作,减少了模乘运算量。研究表明,在保证安全性的前提下,改进的RSA算法可提高模块计算效率。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变，域名系统（domain name system，DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性，一旦受到攻击会造成严重的后果，因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击，包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS（distributed denial of service）攻击、DNS 反射放大攻击、恶意 DGA 域名；然后，从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结；接着，从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术；最后，对未来的研究方向进行了展望。     

改进椭圆曲线加密算法抗边际信道攻击的研究

纯粹的加密算法的应用对于边际信道的攻击的防御是比较弱的，椭圆加密算法是近年来人们认为加密能力比较强的算法之一。本文讨论了目前存在的增强椭圆曲线算法抗边际信道攻击的方法，就其可行性提出了一些看法．并对其中几种方法的时间、空间复杂度进行比较。最后探讨了此类研究的应用前景。     

一种侧信道风险感知的虚拟节点迁移方法

为防御网络切片(NS)中的侧信道攻击(SCA),现有的基于动态迁移的防御方法存在不同虚拟节点共享物理资源的条件过于松弛的问题。该文提出一种侧信道风险感知的虚拟节点迁移方法。根据侧信道攻击的实施特点,结合熵值法对虚拟节点的侧信道风险进行评估,并将服务器上偏离平均风险程度大的虚拟节点进行迁移;采用马尔科夫决策过程描述网络切片虚拟节点的迁移问题,并使用Sarsa学习算法求解出最终的迁移结果。仿真结果表明,该方法将恶意网络切片实例与其他网络切片实例隔离开,达到防御侧信道攻击的目的。     

云环境下关键词搜索加密算法研究

现有方案将关键词搜索加密和属性基加密相结合,解决了云环境下访问控制问题,但是未充分考虑信道安全以及关键词猜测攻击等安全问题。针对上述问题,提出了一种指派搜索服务器的关键词搜索属性加密方案,实现了关键词搜索访问权限控制,且检索不需要安全信道,可抵抗离线/在线关键词猜测攻击。实验结果表明,方案性能方面可取得较好结果,可应用于云环境。     

基于攻击图的渗透测试方法

传统的病毒检测系统、网络防火墙、入侵检测系统等技术只能够检测出已知的大部分威胁,但却无法检测出网络中存在的潜在的问题。为此,文中提出了一种基于攻击图的渗透测试方法。首先,考虑到攻击持续时间、攻击类型等方面因素,对现有的攻击图方法进行改进,提出一种新的攻击图技术;其次,基于实际应用,从攻击的路径、时间、代价、方式等方面综合考虑,提出攻击图最优攻击路径选择策略;最后,设计基于攻击图的渗透测试模型,并进行了试验测试。测试结果表明,该渗透测试算法能够更好的模拟现实世界中的真实攻击。同时能够对当前设备的安全状态进行评估,可以在实际渗透测试中进行应用。     

顶层金属防护层研究综述

以聚焦离子束攻击和微探针攻击为代表的侵入式物理攻击对集成电路安全造成了极大威胁。目前主流的抗侵入式物理攻击的手段是顶层金属防护层。顶层金属防护层采用顶层金属形成复杂的布线网络,以遮蔽芯片加密模块等关键组件,再配合完整性感知单元,实现对侵入式物理攻击的有效感知与防护。顶层金属防护层以较低的开销实现了芯片抵抗物理攻击能力的提升,大大增加了攻击成本。总结了近年来顶层金属防护层的研究成果,介绍了防护层面临的挑战和未来的发展方向。     

强物理不可克隆函数的侧信道混合攻击

物理不可克隆函数（Physical Unclonable Function,PUF）凭借其固有的防篡改、轻量级等特性,在资源受限的物联网安全领域拥有广阔的应用前景,其自身的安全问题也日益受到关注.多数强PUF可通过机器学习方法建模,抗机器学习的非线性结构PUF难以抵御侧信道攻击.本文在研究强PUF建模的基础上,基于统一符号规则分类介绍了现有的强PUF侧信道攻击方法如可靠性分析、功耗分析和故障注入等,重点论述了各类侧信道/机器学习混合攻击方法的原理、适用范围和攻击效果,文章最后讨论了PUF侧信道攻击面临的困境和宜采取的对策.     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

A survey on attack vectors in stack cache memory

Over past few decades, various ways have been conducted through side channel attacks to steal information for a computer system. Unlike conventional hardware-based methods, i.e. power-based side channel, side channel on micro-architecture does not require any physical access to the devices under interest. Instead, only compromised programs need to be co-located on the same machine as the victim. For some other scenarios, malicious users can form side channel information leveraging the timing of program execution. In this survey, we are presenting a comprehensive taxonomy of attack vectors in stack cache memory modules, which mostly are the points of attack by side channel. Due to the significance of side channel attacks, the challenges and overheads of these attack vectors are described through the course of this study. We discuss what side channel attacks are, how they are used, and how they can be prevented through the use of obfuscation techniques. To accomplish this, we introduce the findings of a number of relevant works. These include successful attacks on systems using novel variations of side channel attacks and preventative measures against the attacks.     

Efficient group signature scheme with revocation

A group signature scheme which combines the subset cover framework with Camenisch-Stadler scheme was proposed.This scheme allowed any group members’ entrance and revocation without changing other members’ secret key.Meanwhile,the scheme added a knowledge signature while registering,that realized coalition resistance.It is shown that the scheme not only has the characteristics of anonymity and no-relation,but also can resist conspiracy attacks,forgery attack and authority trap attack.As for efficiency,the scheme just slightly increases the length of group members’ certificates,with the signature and verification complexity remaining at constant level.     

DDoS attack detection and defense based on hybrid deep learning model in SDN

Software defined network (SDN) is a new kind of network technology,and the security problems are the hot topics in SDN field,such as SDN control channel security,forged service deployment and external distributed denial of service (DDoS) attacks.Aiming at DDoS attack problem of security in SDN,a DDoS attack detection method called DCNN-DSAE based on deep learning hybrid model in SDN was proposed.In this method,when a deep learning model was constructed,the input feature included 21 different types of fields extracted from the data plane and 5 extra self-designed features of distinguishing flow types.The experimental results show that the method has high accuracy,it’s better than the traditional support vector machine (SVM) and deep neural network (DNN) and other machine learning methods.At the same time,the proposed method can also shorten the processing time of classification detection.The detection model is deployed in SDN controller,and the new security policy is sent to the OpenFlow switch to achieve the defense against specific DDoS attack.     

针对Web-mail邮箱的跨站网络钓鱼攻击的研究

客户端脚本植入攻击是近年来攻击者常用的一种攻击手段,给Web应用程序带来了相当大的安全隐患。介绍了跨站脚本攻击和网络钓鱼攻击的原理及防御。分析了两种攻击在获取用户信息时的不全面,从而提出了一种针对Web-mail邮箱的跨站网络钓鱼攻击方法。这种攻击方法结合了跨站脚本攻击和网络钓鱼攻击,不仅能够获取用户邮箱的cookie、账号及密码,而且还可以获取用户的个人相关信息。最后,针对提出的攻击方法给出了防御措施。