基于行为时序逻辑的磁盘入侵取证研究

运用假设行为时序逻辑理论体系对磁盘的文件系统进行描述,建立入侵系统模型,使用模型检测工具予以取证。该方法的目标是在反侦察攻击环境下,即在证据缺失的情况下,也能顺利地进行取证调查。     

基于攻击特征的自动证据筛选技术

为了自动获得入侵证据,提出一种基于攻击特征的自动证据筛选方法.其原理是首先根据被调查攻击的特征重构出攻击行为细节,并从中抽取筛选证据需要的"特征信息".然后,再根据候选数据与这些特征信息的匹配程度筛选出该攻击相关的证据.基于DARPA 2000的实验表明这种方法具有很高的准确率,其完备性更是接近100%.而与现有方法的...     

基于时序逻辑的3种网络攻击建模

与其他检测方法相比,基于时序逻辑的入侵检测方法可以有效地检测许多复杂的网络攻击。然而,由于缺少网络攻击的时序逻辑公式, 该方法不能检测 出常见的back,ProcessTable以及Saint 3种攻击。因此,使用命题区间时序逻辑(ITL)和实时攻击签名逻辑(RASL)分别对这3种攻击建立时序逻辑公式。首先,分析这3种攻击的攻击原理;然后,将攻击的关键步骤分解为原子动作,并定义了原子命题;最后,根据原子命题之间的逻辑关系分别建立针对这3种攻击的时序逻辑公式。根据模型检测原理,所建立的时序逻辑公式可以作为模型检测器(即入侵检测器)的一个输入,用自动机为日志库建模,并将其作为模型检测器的另一个输入,模型检测的结果即为入侵检测的结果,从而给出了针对这3种攻击的入侵检测方法。     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

基于贝叶斯攻击图的网络入侵意图识别方法

现有入侵意图识别方法对报警证据的有效性缺乏考虑,影响了入侵意图识别的准确性。为此提出基于贝叶斯攻击图的入侵意图识别方法。首先建立贝叶斯攻击图模型,然后通过定义报警的置信度及报警间的关联强度,去除低置信水平的孤立报警;根据提取到的有效报警证据进行贝叶斯后验推理,动态更新攻击图中各状态节点遭受攻击的概率,识别网络中已发生和潜在的攻击行为。实验结果表明,该方法能有效提取报警证据,提高网络入侵预测的准确性。     

用于自动证据分析的层次化入侵场景重构方法

为了能够自动分析入侵证据,提出了一种层次化入侵场景重构方法.其原理是:首先,基于报警关联技术重构出入侵者的抽象攻击步骤及步骤间关系;然后,基于攻击特征和依赖追踪技术重构出各步骤的行为细节;最后,通过两层重构结果的彼此映射,调整获得完整的入侵行为图.基于DARPA 2000的实验结果表明,该方法的重构结果准确性和完备性均比较高,而且抽象与细节相结合的表示方法更易理解,也更适合作为法律证据.而与现有方法相比,该方法在重构场景的完整性、适用行为的复杂性以及方法安全性等方面也有一定的改善.     

一种基于投影时序逻辑模型检测的入侵检测方法

基于时序逻辑模型检测的入侵检测技术降低了误用检测的漏报率,然而却几乎不能描述并发攻击和分段攻击,因而对这些复杂的攻击模式漏报率仍很高。本文针对该问题,提出了一种基于投影时序逻辑模型检测的入侵检测方法。对若干复杂攻击实例的检测表明,新方法可有效降低对并发攻击和分段攻击的漏报率。     

一种基于并发命题投影时序逻辑模型检测的入侵检测方法

基于投影时序逻辑模型检测的入侵检测方法具有描述网络入侵者分段攻击的能力,然而对并发攻击仍无能为力,因为该逻辑无法直接描述并发。针对此问题,在该逻辑的基础上定义了一种新的并发算子,并给出基于并发投影时序逻辑模型检测的入侵检测方法。对复杂攻击实例的检测表明,新方法可有效提高对并发攻击的检测能力。     

面向入侵的取证系统框架*

在分析常见入侵攻击的基础上抽象出入侵过程的一般模式,提出针对入侵攻击的取证系统应满足的特征。提出了入侵取证模型,并基于这一取证模型在操作系统内核层实现了取证系统原型KIFS(kernel intrusionforensic system)。在对实际入侵的取证实验中,根据KIFS得到的证据,成功记录并重构了一个针对FreeBSD系统漏洞的本地提升权限攻击的完整过程。     

一种自适应的动态取证机制

随着网络入侵技术和计算机犯罪技术的发展,动态取证变得越来越重要.利用入侵检测系统和蜜罐来实现入侵取证的方法在取证的实时性方面有很大优势,但这些方法没有过多考虑系统被入侵时证据可靠性以及系统可靠性的问题,而且取证的时机难以掌握.提出了一种自适应的动态取证方法,该方法采用入侵检测系统作为取证触发器,利用影子蜜罐对疑似攻击进行确认和进一步观察分析,自适应调整取证过程,获取关键证据,最后采用有限状态机对该机制进行建模,并对该机制中的状态转换时机、影子蜜罐、证据安全存储等关键技术进行描述.利用该机制来实现动态取证,可以使得取证过程更可控,可以减少不必要的证据量,并增强系统的容侵性.     

多目标机电子证据的在线收集与分析模型

针对多台目标机和一台取证服务器,可同时在线收集多台计算机的关键证据,并提供案件管理、智能分析等功能,实现证据获取.服务器端主要通过网络通信来获取多台目标机内的证据,并采取知识推理和数据挖掘技术,从大量的电子证据中分析、推理出有效的鉴定结论,改变了目前只能人工对计算机活证据进行分析的现状,提高了工作效率和准确度,具有很大的价值.     

UNIX系统下的计算机取证证据收集与分析

针对UNIX系统下的计算机取证工具难以及时收集所有现场证据的问题,对基于UNIX系统的计算机取证关键技术——UNIX证据收集、UNIX证据分析进行深入研究。提出用UNIX系统命令对现场证据进行收集与分析。实验证明,该方法能为实时取证提供更完整、更及时的数据,从而更有效地打击计算机犯罪。     

基于一维卷积神经网络与改进D-S证据理论的警务云安全数据融合技术

针对系统内评估信息来源单一、准确度偏差过大与异构数据提取融合不充分的问题,提出了一种可扩展攻击行为的多源异构网络安全数据融合框架。首先,建立以攻击模式为核心的安全事件分析模型,进一步精简安全数据;其次,针对决策层数据特征提取不足的问题,建立了基于攻击行为的1D-CNN （1D convolutional neural network,1D-CNN）模型,对警务安全数据进行特征学习和重构;为了进一步提高警务云安全数据的分类能力,模型改进了D-S证据理论并结合多源安全数据的可信度进行数据融合。实验分析表明,基于1D-CNN的改进D-S证据理论模型进一步提高了警务云中安全事件的报警识别率,与其他相关技术相比,该模型具有较好的分析能力,对警务云的安全入侵检测和漏洞分析具有重要意义。     

基于DS证据理论的无线传感器网络MAC层安全研究*

研究了无线传感器网络MAC层安全问题,分析了现有无线传感器网络MAC层协议安全体系的不足之处,针对无线传感器网络遭到非法入侵的情况,提出了一个基于D-S证据理论的MAC层入侵检测机制。该机制利用碰撞率、数据包平均等待时间、RTS包到达率以及邻居节点的报警作为证据,对网络的状态进行实时的分析检测,根据网络的状态作出响应。该算法能够应用于现有的MAC协议如S-MAC、IEEE 802.15.4中,仿真结果表明,该算法能够较好地抵御针对MAC层的攻击,保证网络的安全运行。     

基于攻击描述语言的计算机网络攻击演练研究*

提出攻击描述语言(CNADL)面向攻击树建模,采用上下文无关文法设计,描述攻击企图、特征和步骤,由解释器生成相应操作的命令交互执行.基于CNADL在GTNets仿真平台上开发攻击演练系统.实验结果表明,基于CNADL的攻击演练系统能有效地刻画攻击特征,实现了拒绝服务、蠕虫、口令窃取和IP欺骗四种攻击仿真.     

面向网络取证的网络攻击追踪溯源技术分析

定位网络攻击事件源头然后进行有效电子证据的收集是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而现有的网络攻击追踪溯源技术研究工作主要从防御的角度开展,以通过定位攻击源及时阻断攻击为主要目标,较少考虑网络取证的要求.这导致网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的价值.为此提出了一套取证能力评估指标用于评估网络攻击追踪溯源技术的取证能力,总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力并针对不足之处提出了改进建议,最后提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.     

针对基于内容邮件过滤器的攻击及过滤改进

基于内容的过滤技术是反垃圾邮件技术中最有效的方法,但是垃圾邮件发送者千方百计利用各种方法对基于内容的垃圾邮件过滤器进行攻击,严重影响了过滤器的正确率和健壮性.在介绍主要基于内容的垃圾邮件过滤技术基础上,分析了针对基于内容垃圾邮件过滤器的常用攻击方法,并提出了相应的过滤改进技术.同时,针对单词沙拉攻击,在几种过滤器上进行了模拟攻击实验.最后分析了垃圾邮件技术的发展趋势和未来反垃圾邮件技术的主要改进方法.     

解决冲突证据的两级组合方法

针对DS理论(DST)中Dempster组合规则在处理高冲突证据时的不足,提出一种解决冲突证据的两级组合方法。该方法将高冲突和低冲突区别对待,在第一级组合中采用基于DSm理论(DSmT)的PCR6规则,化解可能的高冲突证据;在第二级组合中采用Dempster规则,保证良好的收敛速度和计算性能,从而合理、有效地处理各种程度的冲突证据。通过算例分析验证了该方法的有效性。     

一种基于马尔科夫链的冲突证据组合方法

针对智能信息处理中Dempster组合规则不能处理高度冲突的问题,考虑到序贯证据的序列性具有高效的抗干扰性能,因此本文提出了一种基于马尔科夫链的冲突证据组合方法. 首先,从经典马尔科夫链中的确定性状态描述扩展到不确定性状态描述;然后,以滑动窗口宽度l对序贯历史证据进行采样, 并利用相似性测度计算的权重来修正它们,从而对修正后的历史证据进行马尔科夫建模,并根据转移概率矩阵,计算证据代表;最后,利用Murphy组合规则对该证据代表组合l-1次. 当然,本文方法也比较适合批量同步融合. 大量的仿真实验对比分析表明,该方法优势比较明显, 有效地解决了冲突证据合成出现的问题,并能有效兼顾合成结果的鲁棒性和灵敏性.