基于可控重连的Tor流量隐蔽

以往的Tor(The Onion Router)流量隐蔽方案(Pluggable Transports,PT)使用对通信数据的混淆或伪装等手段来躲避检测,但仍无法隐藏TCP连接层面的流量特征,如连接时长和数据包大小,应用机器学习等检测方法仍能识别出Tor流量。对此,提出面向Tor的可控重连算法,从连接层面开展了Tor流量隐蔽的研究工作,即对PT客户端与服务端之间的TCP通信进行定时断开和重连,实现对连接时长的精细控制,同时控制数据包的大小使之与正常流量分布接近。实验证明,在局域网环境下,该算法能以秒级精度控制连接时长,并生成大小符合正常流量分布的数据包,有助于提升Tor流量隐蔽的效果。     

流量混淆技术及相应识别、追踪技术研究综述

流量混淆技术是目前审查规避系统常用技术之一.为了提升网络流量识别精度和监管能力,针对混淆流量的识别和追踪技术也备受关注.通过深入分析随机化、拟态和隧道这3类主流的流量混淆技术,对比了其技术框架、隐蔽性、易用性和应用场景;分析了深度包检测、机器学习等两类识别技术,对比了其识别精度;分析对比了被动关联、主动关联两类流量追踪技术.最后给出了流量混淆、识别和追踪技术的发展趋势.     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

基于改进IPD质心的Tor网络流水印检测方法

Tor是一种为隐藏流量源提供服务的匿名网络机制，但其存在入口流量特征明显、易被识别的问题。obfs4等网桥协议为解决此问题应运而生，由此带来的新挑战尚未攻克，因此，提出一种IPD质心方案，利用k-means的聚类特性将原方案进行改进，使加入的流水印在obfs4网桥3种模式上均能被高效地检测出。实验结果表明，改进后的算法有更高的检测率和识别率，且应对不同的网络环境有较强的适应能力，有利于良好安全网络环境的构建。     

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时, 也为恶意流量检测带来新的挑战. 根据处理加密流量的方式不同, 加密恶意流量检测可分为主动检测和被动检测. 主动检测包括对流量解密后的检测和基于可搜索加密技术的检测, 其研究重点是隐私安全的保障和检测效率的提升, 主要分析可信执行环境和可控传输协议等保障措施的应用. 被动检测是在用户无感知且不执行任何加密或解密操作的前提下, 识别加密恶意流量的检测方法, 其研究重点是特征的选择与构建, 主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法, 给出有关模型的实验评估结论. 最后, 从混淆流量特征、干扰学习算法和隐藏相关信息等角度, 分析加密恶意流量检测对抗研究的可实施性.     

一种基于随机森林算法的MQTT异常流量检测方法

工业物联网系统所面临的网络安全威胁随着物联网技术的广泛应用日益增加,信息安全问题已成为其发展过程中的一大挑战。MQTT（Message Queuing Telemetry Transport）协议是物联网通信的主流协议,基于该协议的物联网通信安全研究是当前研究的热点话题。传统的流量识别技术如深度包检测无法有效地识别符合包格式的异常流量,而基于机器学习理论的异常流量识别技术则表现出很好的效果。对此提出一种基于随机森林算法的MQTT异常流量检测方法,实现整体高于90%的MQTT异常流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

基于动态占空比的流量自适应MAC协议

提出一种基于动态占空比的流量自适应MAC协议,在基于S-MAC和TDMA流量自适应MAC协议的基础上,引入动态占空比机制,将原S-MAC协议的侦听/睡眠周期划分为多个短侦听/睡眠周期以实现多次数据传输。仿真结果表明,该协议在多竞争节点情况下能减少系统时延,维持较高的吞吐率,实现协议的平滑切换。     

DDOS攻击检测和防御模型

提出了基于聚集和协议分析防御分布式拒绝服务攻击(aggregate-based protocol analysis anti-DDoS,简称APA-ANTI-DdoS)模型来检测和防御DDoS攻击.APA-ANTI-DDoS模型包括异常流量聚集、协议分析和流量处理.异常流量聚积把网络流量分为正常流量和异常流量;协议分析寻找异常流量中DDoS攻击流量的特征;流量处理则根据当前的DDoS攻击流量特征,过滤异常流量并测试当前聚积流量的拥塞控制特性,恢复被误判的流量.随后实现了APA-ANTI-DDoS系统.实验结果表明,APA-ANTI-DDoS模型能很好地识别和防御DDoS攻击,能在误判时恢复非攻击流量,保证合法的正常网络通信.     

面向高速网络流量的加密混淆型WebShell检测

WebShell 是一种常见的 Web 脚本入侵工具。随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的 WebShell 恶意攻击事件,特别是对于对抗性样本、变种样本或 0Day 漏洞样本的检测效果不够理想。搭建网络采集环境,在高速网络环境中利用数据平面开发套件（DPDK,data plane development kit）技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流行的WebShell管理工具通信过程中的HTTP数据包,从而构建面向加密混淆型WebShell流量的有效特征集;基于该有效特征集使用支持向量机（SVM,support vector machine）算法实现对加密混淆型 WebShell 恶意流量的离线训练和在线检测。同时,利用遗传算法改进参数搜索方式,克服了由人工经验设置参数方位以及网格搜索陷入局部最优解的缺点,模型训练效率也得到提升。实验结果显示,在自建的WebShell攻击流量数据集上,保证了检测高效性的同时,检测模型的精确率为97.21%,召回率为98.01%,且在对抗性WebShell攻击的对比实验中表现良好。结果表明,所提方法能够显著降低WebShell攻击风险,可以对现有的安全监控体系进行有效补充,并在真实网络环境中部署和应用。     

网络应用流量模拟技术

当前网络安全设备的测试软件可以产生大流量的网络数据流,但难以构造大流量特定内容的应用协议流量,因而不能很好满足基于内容检测的网络安全设备的测试要求。本文所提出的网络应用流量模拟技术,能够模拟用户上网的PPPo E或IPo E方式连接互联网的接入方式、模拟IPv4和IPv6网络互访的应用场景,可以模拟用户访问特定网络应用,产生HTTP、FTP、SMTP、POP3、IMAP、DNS等典型应用协议的大流量完整数据流量,并且能够构造含有特定内容的网络数据。实现的系统还可以通过隧道、翻译或代理技术实现IPv4和IPv6互通,产生IPv4和IPv6网络数据流量。通过大量实验验证,系统能正确生成上述协议数据报文和含有特定内容的网络流量。     

基于Bagging算法和遗传神经网络的交通事件检测

提出一种集成遗传神经网络的交通事件检测方法,以上下游的流量和占有率作为特征,RBF神经网络作为分类器进行交通事件的自动分类与检测。在RBF神经网络的训练过程中,采用遗传算法GA（Genetic Algorithm）对RBF神经网络的隐层中心值和宽度进行优化,用递推最小二乘法训练隐层和输出层之间的权值。为了提高神经网络的分类能力,采用Bagging算法,进行网络集成。通过Matlab仿真实验,证明该方法相对于传统的事件检测算法能更准确、快速地实现分类。     

基于LSTM循环神经网络的恶意加密流量检测

加密流量已经成为互联网中的主要流量,攻击者使用加密技术可以逃避传统的检测方法。在不对应用流量进行解密的情况下,网络管理者对传输内容进行深度包解析和恶意字符匹配进而检测恶意通信。针对该问题,在不对流量解密的情况下使用网络层的传输包序列和时间序列识别流量行为,使用过采样方法处理不平衡的黑白样本,基于LSTM循环神经网络建立检测模型。使用清华2017年-2018年边界网关的正常流量数据,在沙箱中采集恶意样本产生的流量数据进行检测实验,结果表明该模型能够较好地检测恶意软件的加密通信流量。     

How to block Tor’s hidden bridges: detecting methods and countermeasures

Tor network has been widely used for protecting the privacy of users while accessing various online services. Since Tor can be easily blocked by blacklisting the publicly published Tor relays, the hidden bridges-based blocking-resistance mechanism is designed and implemented in the current Tor network. Any user can subscribe a tuple of three bridges via email, https, twitter etc. However, we have found that there exist high correlations among those published tuples, which can be exploited to effectively detect hidden bridges by monitoring the outbound traffic from a controlled network. When Tor clients try to connect chosen hidden bridges, multiple SYN packets with consecutive source ports will be sent almost simultaneously, destining for different hosts. If any destination IP contained among such packets belongs to a known bridge, all others can then be inferred to be of bridges too. By recording and analyzing a series of traffic segments satisfying the above packet features, the hidden bridges used in a controlled network can be detected and further blocked. According to different available computing and storage resources, we proposed both online and offline detecting methods. Both analytical and simulation results verify the high correlation among published bridge tuples, validating the feasibility of our methods. By configuring optimized detecting parameters in the real-world experiments, we can achieve a detection rate of 86.7 % with a 0.85 % false-positive rate for online detection, and a 98.4 % detection rate with a 0.62 % false-positive rate for offline detection. To make up the flaws in Tor’s current blocking-resistance mechanism, we also provide some countermeasures from the perspective of Tor network and users, respectively.     

数据挖掘技术在网络安全检测中的应用价值

在网络运行中,经常出现由于恶意网络攻击行为、网络配置失误等引起的异常网络流量,这些偏离正常范围的异常流量会直接对整个网络服务质量造成影响,导致网络瘫痪,因此在网络运行时,进行安全检测并及时提供预警信息对保障网络安全正常运行十分重要。本文在介绍数据额挖掘技术的基础上,对利用挖掘领域中的隐马尔科夫模型建立基于异常检测的入侵检测系统进行了分析,并通过仿真实验验证了这一系统的可靠性,论述了数据挖掘技术在网络安全检测中的应用价值。     

基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

基于多类特征的JavaScript恶意脚本检测算法*

针对脚本样本集具有混淆、统计、语义等不同层面上的特征,设计基于多类特征的JavaScript恶意脚本检测算法,实现针对恶意JavaScript脚本的离线分析系统JCAD.首先提取脚本的混淆特征,使用C4.5决策树分析被混淆的脚本并解除混淆.然后提取脚本的静态统计特征,根据语义进行脚本序列化,构造危险序列树,提取脚本的危险序列特征.最后以三类特征作为输入,采用对脚本样本集的非均匀性与不断增加的特点具有较强适应能力的概率神经网络构造分类器,判断恶意脚本.实验表明,该算法具有较好的检测准确率与稳定性.     

基于深度学习的网络流时空特征自动提取方法

流量异常检测是网络入侵检测的主要途径之一,也是网络安全领域的一个热门研究方向。通过对网络流量进行实时监控,可及时有效地对网络异常进行预警。目前,网络流量异常检测方法主要分为基于规则和基于特征工程的方法,但现有方法需针对网络流量特征的变化需重新人工收集规则或 构造特征,工作量大且繁杂。为解决上述问题,该文提出一种基于卷积神经网络和循环神经网络的深度学习方法来自动提取网络流量的时空特征,可同时提取不同数据包之间的时序特征和同一数据包内字节流的空间特征,并减少了大量的人工工作。在 MAWILab 网络轨迹数据集上进行的验证分析结果表明,该文所提出的网络流时空特征提取方法优于已有的深度表示学习方法。     

基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.