基于深度强化学习的智能化渗透测试路径发现

渗透测试是通过模拟黑客攻击的方式对网络进行安全测试的通用方法,传统渗透测试方式主要依赖人工进行,具有较高的时间成本和人力成本.智能化渗透测试是未来的发展方向,旨在更加高效、低成本地进行网络安全防护,渗透测试路径发现是智能化渗透测试研究的关键问题,目的是及时发现网络中的脆弱节点以及攻击者可能的渗透路径,从而做到有针对性的防御.文中将深度强化学习与渗透测试问题相结合,将渗透测试过程建模为马尔可夫决策模型,在模拟网络环境中训练智能体完成智能化渗透测试路径发现;提出了一种改进的深度强化学习算法Noisy-Double-Dueling DQNper,该算法融合了优先级经验回放机制、双重Q网络、竞争网络机制以及噪声网络机制,在不同规模的网络场景中进行了对比实验,该算法在收敛速度上优于传统DQN(Deep Q Network)算法及其改进版本,并且适用于较大规模的网络场景.     

基于图注意力网络的DNS隐蔽信道检测

域名系统（Domain Name System,DNS）隐蔽信道在高级持续性威胁（Advanced Persistent Threat,APT）攻击中呈频发态势，对网络空间安全具有潜在威胁。文章提出基于域名语义表示（Domain Semantic Representation,DSR）和图注意力网络（Graph Attention Network,GAT）的DNS隐蔽信道检测方法 DSR-GAT，将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图（Domain Graph,DG）；然后利用域名的文本数据属性，采用一维卷积神经网络提取的语义表示作为DG节点的特征表示；最后通过图注意力网络的消息传播机制及多头自注意力机制，增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验，实验结果表明，文章提出的DSR-GAT方法检测效果较好，在解决上述问题的同时降低了漏报率，在一定程度上减小了安全风险。     

FAWA:一种异构执行体的负反馈动态调度算法

拟态防御作为一种新提出的网络防御方法,其不可预测的特性使其具有出色的防御效果.异构执行体是拟态防御中由各类防御策略构成的异构部件,拟态防御机制通过对异构执行体的动态调度来获得防御的动态性.传统的调度方法具有一定的局限性,针对这些局限性,综合考虑防御的全面性和历史防御成功率信息,提出了一种新的具有负反馈能力的动态调度算法FAWA,并设计了仿真碰撞实验来模拟网络攻防过程,并与其他调度方法的防御效果作对比.实验结果表明,在攻击方随机装载攻击载荷的场景下,FAWA算法的调度效果始终优于其他算法,能够很好地提高防御成功率;在攻击方同样采取负反馈装载的场景下,FAWA算法的调度效果优于完全随机算法、CRA算法和一些改进的动态人工加权算法,但弱于先进先出算法FIFO.另外,仿真实验通过对比攻击方两种载荷装载场景发现,在随机装载场景下,防御方的防御成功率更低,表明此时攻击方的成功率反而优于负反馈装载场景,这一结论说明攻击方也需要在网络攻防博弈中具备随机性和不可预测性,而不应被过度干扰和调整.     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。     

面向可逆图像处理网络的可证安全自然隐写

目的 自然隐写是一种基于载体源转换的图像隐写方法,基本思想是使隐写后的图像具有另一种载体的特征,从而增强隐写安全性。但现有的自然隐写方法局限于对图像ISO(International Standardization Organization)感光度进行载体源转换,不仅复杂度高,而且无法达到可证安全性。为了提高安全性,本文结合基于标准化流的可逆图像处理模型,在隐空间完成载体源转换,同时通过消息映射的设计做到了可证安全的自然隐写。方法 利用目前发展迅速的基于可逆网络的图像处理方法将图像可逆地映射到隐空间,通过替换使用的隐变量完成载体源的转换,从而避免对原始图像复杂的建模。同时,改进了基于拒绝采样的消息映射方法,简单地从均匀分布中采样以获得需要的条件分布,高效地将消息嵌入到隐变量中,并且保证了嵌入消息后的分布与原本使用的分布一致,从而实现了可证安全的自然隐写。结果 针对图像质量、隐写容量、消息提取准确率、隐写安全性和运行时间进行了实验验证,结果表明在使用可逆缩放网络和可逆去噪网络时能够在每个像素值上平均嵌入5.625 bit消息,且具有接近99%的提取准确率,同时隐写分析网络SRNet(st...     

软件漏洞智能化挖掘技术研究进展

软件规模的不断扩大和新技术平台的发展对软件漏洞挖掘方法提出了新的挑战。在突破漏洞挖掘技术瓶颈的过程中,研究人员将机器学习方法应用于漏洞挖掘,利用机器学习模型自动学习代码的深层语法和语义规律,以提高漏洞挖掘的智能化水平和有效性,软件漏洞智能化挖掘技术已成为当前研究的热点。围绕软件漏洞智能化挖掘技术的研究展开分析,从静态挖掘和动态挖掘2个方面,对机器学习与漏洞挖掘技术结合的研究进行了深入分析。在漏洞智能化静态挖掘方面,从基于代码度量、基于代码模式和基于代码相似性3个方面梳理了现有研究工作;在漏洞智能化动态挖掘方面,则分类阐述了机器学习方法与动态挖掘方法结合的相关研究。依据对现有工作的总结,对未来漏洞智能化挖掘的发展趋势进行了展望。     

基于规则的域名WHOIS信息抽取技术研究

域名WHOIS数据包含域名所有权的相关信息,包括域名创建信息、注册者信息等,是网络空间实体与社会空间实体相关联的重要数据来源。然而,WHOIS协议仅在传输机制方面具有统一的标准,查询获得的域名注册信息在格式和内容上还存在较大差异,数据呈现多种模式。针对WHOIS数据存在多种模式,难以进行信息准确抽取的问题,设计实现了WHOIS信息的批量获取方法和基于规则的WHOIS信息解析器(rule-based parser),提升了域名WHOIS信息获取效率和分析准确率。通过合理设计解析字段,构建详尽的规则库,解决了不同模式下WHOIS信息解析效率不高的问题。与传统解析器对比,基于规则的WHOIS信息解析器能解析更多的顶级域名WHOIS信息,并能以更高的成功率和更低的时间开销完成对WHOIS信息的解析,能够为网络空间测绘、网络公害治理等方向提供技术和数据支撑。     

基于漏洞动态可利用性的网络入侵路径分析方法

现有的网络入侵路径分析方法未考虑漏洞的动态特征,且在描述漏洞利用导致的状态转移时,未考虑漏洞利用失败的情形。通过建模漏洞可利用性随时间的变化,文章提出一种改进状态转移概率计算方法的吸收Markov链模型。该模型结合网络攻防实际,考虑漏洞利用失败的情形,合理计算状态转移概率:首先对目标网络生成攻击图,在计算漏洞动态可利用概率的基础上,构建吸收Markov链;然后利用状态转移概率矩阵的性质,计算状态节点威胁度排序、入侵路径长度期望和路径成功概率,并在时间维度上进行分析。实验分析表明,文章方法相比已有方法在节点威胁度排序上更准确,对入侵路径长度期望和路径成功概率的计算更加符合网络攻防实际。     

SymFuzz:一种复杂路径条件下的漏洞检测技术

当前漏洞检测技术可以实现对小规模程序的快速检测,但对大型或路径条件复杂的程序进行检测时其效率低下。为实现复杂路径条件下的漏洞快速检测,文中提出了一种复杂路径条件下的漏洞检测技术SymFuzz。SymFuzz将导向式模糊测试技术与选择符号执行技术相结合,通过导向式模糊测试技术对程序路径进行过滤,利用选择符号执行技术对可能触发漏洞的路径进行求解。该技术首先通过静态分析获取程序漏洞信息;然后使用导向式模糊测试技术,快速生成可以覆盖漏洞函数的测试用例;最后对漏洞函数内可以触发漏洞的路径进行符号执行,生成触发程序漏洞的测试用例。文中基于AFL与S2E等开源项目实现了SymFuzz的原型系统。实验结果表明,SymFuzz与现有的模糊测试技术相比,在复杂路径条件下的漏洞检测效果提高显著。