用于自动证据分析的层次化入侵场景重构方法

为了能够自动分析入侵证据,提出了一种层次化入侵场景重构方法.其原理是:首先,基于报警关联技术重构出入侵者的抽象攻击步骤及步骤间关系;然后,基于攻击特征和依赖追踪技术重构出各步骤的行为细节;最后,通过两层重构结果的彼此映射,调整获得完整的入侵行为图.基于DARPA 2000的实验结果表明,该方法的重构结果准确性和完备性均比较高,而且抽象与细节相结合的表示方法更易理解,也更适合作为法律证据.而与现有方法相比,该方法在重构场景的完整性、适用行为的复杂性以及方法安全性等方面也有一定的改善.     

安全攻击特征自动提取技术研究

安全攻击特征的提取是基于特征的入侵检测技术的关键.攻击特征自动提取能够自动地发现新攻击,并提取出新攻击的特征.从攻击特征自动提取的现状入手,对安全攻击特征自动提取技术进行了分类研究和详细介绍.     

基于时序特征数据高效索引技术的物联网感知设备安全自动监测技术

物联网设备已经被广泛应用于各个领域,为保证物联网的安全,排除内部隐患,基于时序特征数据高效索引技术设计物联网感知设备安全自动监测方法。结合时序特征数据高效索引技术提取物联网信息特征,在报文传输过程的基础上,区分不同流量数据之间的差异、恶意攻击软件与感知设备的系统特征,计算样本数据的表征值,得到物联网感知设备的原始信息特征。对数据特征进行分类,计算其数据内的缺失值和错误值,得到特征向量的筛选优化结果,计算训练损失函数,调整实际操作的阈值,保证数据特征分类的准确性。搭建物联网感知设备监测模型,训练判别器,进行物联网的自动监测。分别对数据包、字节以及数据流量进行识别,该监测技术可以准确地区分良性数据与攻击数据,从而保证物联网感知设备的安全。     

基于异常诊断的代码注入攻击自动分析和响应系统

提出了一种基于进程异常场景分析的代码注入攻击自动分析和响应系统.该系统根据进程异常场景自动分析攻击载荷句法,并生成面向漏洞的攻击特征,由该攻击特征,可以识别和阻断基于同一未知漏洞同种利用方式的各种代码注入攻击的变形.通过在生成攻击特征以及响应攻击的过程中结合网络协议和进程的状态,可以在不升高检测漏警概率的前提下显著地降低响应虚警概率和系统对外服务的响应时间.另外,还简要介绍了基于Linux和Windows 2000的原型系统,并给出了功能和性能的实验结果.     

基于图像特征点的数字水印算法

几何攻击作用在加载有水印的图像上,水印同步信息被破坏,导致水印检测失败。为了恢复已失去的同步信息,提出一种基于筛选尺度不变特征估计几何攻击参数的数字水印算法。首先提取图像的尺度不变特征,利用像素差的平方和筛选尺度不变特征,去除易受几何攻击影响的尺度不变特征,保证最小二乘法迭代运算快速收敛,迭代一次就能得到基本准确的几何变换参量;水印信息进行游程编码,在其码值对应的载体图像的DCT块内嵌入。实验结果表明,该算法能获得很好的图像质量,且能十分有效地抵抗各种几何攻击。     

基于类信息的文本特征选择与加权算法研究

文本自动分类中特征选择和加权的目的是为了降低文本特征空间维数、去除噪音和提高分类精度。传统的特征选择方案筛选出的特征往往偏爱类分布不均匀文档集中的大类,而常用的TF·IDF特征加权方案仅考虑了特征与文档的关系,缺乏对特征与类别关系的考虑。针对上述问题,提出了基于类别信息的特征选择与加权方法,在两个不同的语料集上进行比较和分析实验,结果显示基于类别信息的特征选择与加权方法比传统方法在处理类分布不均匀的文档集时能有效提高分类精度,并且降维程度有所提高。     

基于特征选择和支持向量机的托攻击检测方法

为了提高支持向量机的托攻击检测效果,提出一种不同于单一算法的基于特征选择和支持向量机的托攻击检测方法。首先定义特征的样本差异性度量,并由此推导出特征的类别可分性度量作为特征选择准则,然后用支持向量机评估所选特征子集的有效性,在不损失样本信息的前提下,通过递归反向特征剔除算法实现检测特征的自动优选,最后利用支持向量机来检测攻击用户概貌。在标杆数据集上与文献中的经典方法进行实验比较和分析,结果显示该方法可以有效地提取最具检测能力的特征子集,同时能获得更好的检测效果,证明了方法的有效性。     

一种针对LDoS攻击的分布式协同检测方法

针对近年来提出的一类新型攻击--低速率拒绝服务攻击(LDoS:Low-rate Denial of Service),提出一种位于中间网络的分布式协同检测方法DCLD(Distributed Collaborative Ldos Detection).该方法运用小波分析从多角度对LDoS攻击进行特征提取,并根据D-S证据理论,组合各种特征证据对攻击进行综合判决.各检测节点之间采用分布式协同算法实现信息交互.模拟实验结果表明,DCLD能够以较高精确度检测LDoS攻击及其分布式形式,并于靠近攻击源处对其进行响应,有效减小了攻击及防范机制本身对合法流量的影响.     

一种安全网关智能生成特征的方法

提供了一种安全网关设备生成特征的方法.该方法包括在安全网关设备上设置特征生成条件,以及设置自动生成的攻击行为特征的特征字段;安全网关设备根据预先设置的所述特征生成条件进行检测,判断当前是否有满足所述特征生成条件的情况,如果是,则根据预先设置的攻击行为特征的特征字段,生成特征.     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

一种自适应的动态取证机制

随着网络入侵技术和计算机犯罪技术的发展,动态取证变得越来越重要.利用入侵检测系统和蜜罐来实现入侵取证的方法在取证的实时性方面有很大优势,但这些方法没有过多考虑系统被入侵时证据可靠性以及系统可靠性的问题,而且取证的时机难以掌握.提出了一种自适应的动态取证方法,该方法采用入侵检测系统作为取证触发器,利用影子蜜罐对疑似攻击进行确认和进一步观察分析,自适应调整取证过程,获取关键证据,最后采用有限状态机对该机制进行建模,并对该机制中的状态转换时机、影子蜜罐、证据安全存储等关键技术进行描述.利用该机制来实现动态取证,可以使得取证过程更可控,可以减少不必要的证据量,并增强系统的容侵性.     

基于多Agent的分布式计算机动态取证模型研究

传统的计算机取证大多采用静态取证技术,通过事后分析的方法提取证据,证据的收集和提取比较困难,证据的法律效力低.将计算机取证技术与入侵检测技术结合,提出一种基于多Agent的分布式计算机动态取证模型,采用多Agent的分布式数据采集策略,扩展了取证范围;通过入侵检测系统实时监测,动态获取入侵证据,提高了证据的证明能力;同时,采用证据融合的数据分析技术,通过多源联合信息降低了误警率,增加了证据的可信度,提高了证据的有效性.     

基于RBFCM和ECM的分层取证分析

为实现入侵证据的自动分析,设计一种基于取证图的分层取证分析方法。采用基于规则的模糊感知图模型,从局部识别出网络实体的状态,通过特征向量中心度计算得到重要的种子结点,再从大量攻击场景的关联结点中抽取攻击组。基于DARPA2000的实验结果表明,该方法在攻击组抽取和场景抽取方面具有较高的覆盖率和准确率。     

Network forensics based on fuzzy logic and expert system

Network forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. In the past, network forensics was only used by means of investigation. However, nowadays, due to the sharp increase of network traffic, not all the information captured or recorded will be useful for analysis or evidence. The existing methods and tools for network forensics show only simple results. The administrators have difficulty in analyzing the state of the damaged system without expert knowledge. Therefore, we need an effective and automated analyzing system for network forensics. In this paper, we firstly guarantee the evidence reliability as far as possible by collecting different forensic information of detection sensors. Secondly, we propose an approach based on fuzzy logic and expert system for network forensics that can analyze computer crimes in network environment and make digital evidences automatically. At the end of the paper, the experimental comparison results between our proposed method and other popular methods are presented. Experimental results show that the system can classify most kinds of attack types (91.5% correct classification rate on average) and provide analyzable and comprehensible information for forensic experts.     

基于Multi-Agent的网络入侵动态取证

在分析计算机动态取证基本原理和Multi-Agent特点的基础上,将Multi-Agent技术应用到计算机取证中,提出了一种基于Multi-Agent的网络入侵动态取证系统结构.该系统在多种Agent的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程,从而克服了静态取证所存在的实时性差和证据收集困难等缺陷.     

基于加权模糊推理的电子取证入侵重构系统

针对目前电子取证入侵重构多用人工分析的方式导致效率低的问题,将AI领域中加权模糊推理方法引入电子取证入侵重构分析中,建立了基于加权模糊推理的电子取证入侵重构专家系统,该系统采用预先定义好的入侵特征,与取证现场获取的入侵痕迹相匹配,并结合相应的权值来推断实际可能的攻击场景。     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击。     

计算机取证的相关法律技术问题研究

法律界研究计算机证据的有关法律特性及其认定,而计算机科学领域的研究人员则从技术的角度研究计算证据的技术特征及其获取技术.由于这一学科是建立在法学和计算机科学之上的交叉学科,必须从这两个学科及其派生学科上体现出的特殊性的角度对其进行研究.在这一领域把法律和技术分离的做法会导致法律认定上的错误和技术上的无序性.通过将法律和计算机技术相结合对计算机取证进行了研究.阐明了计算机取证的相关法律问题,重点研究了计算机取证的技术方法和工具,并给出了一个计算机取证实验的技术过程.提出了目前计算机取证相关法律法规和计算机取证技术的不足,指出了今后法律法规的进一步健全、计算机取证工作的规范化和计算机取证技术的发展趋势.     

BP算法在网络入侵动态取证中的设计与实现

计算机动态取证主要是用于计算机网络数据的采集和分析。为了实现入侵的动态取证,及时分析入侵企图,文中设计并实现了一个人侵动态取证系统。通过事先建立系统行为特征轮廓,利用BP神经网络技术分析系统行为,及时分析人侵企图,达到动态取证的目的。     

基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题，定义入侵事件的形式化描述和黑客攻击场景的表示，将事件关联方法引入电子取证入侵重构分析中，建立了事件关联的动态实时电子取证入侵重构系统，该系统预先了因果关联表，找出事件问的因果关联度，并消除它们的冗余关系，来获得入侵过程图。最后，通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。