基于人工免疫理论的Shellcode检测方法

Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程,生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。     

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3 GB实际网络数据和 11 000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。     

On the infeasibility of modeling polymorphic shellcode

Current trends demonstrate an increasing use of polymorphism by attackers to disguise their exploits. The ability for malicious code to be easily, and automatically, transformed into semantically equivalent variants frustrates attempts to construct simple, easily verifiable representations for use in security sensors. In this paper, we present a quantitative analysis of the strengths and limitations of shellcode polymorphism, and describe the impact that these techniques have in the context of learning-based IDS systems. Our examination focuses on dual problems: shellcode encryption-based evasion methods and targeted “blending” attacks. Both techniques are currently being used in the wild, allowing real exploits to evade IDS sensors. This paper provides metrics to measure the effectiveness of modern polymorphic engines and provide insights into their designs. We describe methods to evade statistics-based IDS sensors and present suggestions on how to defend against them. Our experimental results illustrate that the challenge of modeling self-modifying shellcode by signature-based methods, and certain classes of statistical models, is likely an intractable problem.     

基于分布式及协同式网络入侵检测技术综述

在当今信息化社会,网络入侵检测技术是信息安全保障领域的重点技术之一。随着大数据时代的到来,网络入侵检测技术正在向着多结构、多方法、多应用领域的方向发展。针对这个发展趋势,综述了网络入侵检测技术的最新研究情况,包括基本概念、系统模型、检测方法、应用领域等,其中重点分析了系统模型和检测算法的研究现状以及存在的问题,并提出发展趋势。同时,也介绍了大数据背景下网络入侵检测技术的新型应用领域。     

基于shellcode检测的缓冲区溢出攻击防御技术研究

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发，提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后，从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手，检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析，指出其中较为优秀的方法，并就更全面提高系统安全性提出了一些建议。     

一种基于反馈神经网络的异常检测方法

目前的入侵检测系统缺乏从先前所观察到的进攻进行概括并检测已知攻击的细微变化 的能力。描述了一种基于最小二乘估计(LS)模型的入侵检测算法,该算法利用神经网络的特点,具 有从先前观测到的行为进行概括进而判断将来可能发生的行为的能力。提出了一种在异常检测中用 反馈神经网络构建程序行为的特征轮廓的思想,给出了神经网络算法的选择和应用神经网络的设计 方案。实验表明在异常检测中利用反馈神经网络构建程序行为的特征轮廓,能够提高检测系统对偶 然事件和入侵变异的自适应性和异常检测的速度。     

分层神经网络在入侵检测系统中的应用

入侵检测技术是提高网络安全的重要手段之一,旨在利用分层神经网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将数据进行预处理以便运算;其次利用RBF网络实现粗检测;再次利用Elman BP网络进行细检测,从而实现分层神经网络的入侵检测;最后在MATLAB平台下进行仿真实验,仿真结果表明,分层神经网络结构在入侵检测中体现出良好的特性。     

基于RBF网络的入侵检测技术

入侵检测技术作为提高网络安全的有效手段日益受到重视,在此旨在利用RBF网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将其所有字符串行式的元素转换为数值形式;为了提高RBF网络的逼近性能和运算速度,去除对输出无影响的输入项,并且将剩余输入项的可能取值转换到合理的范围内;最后在Matlab平台下进行仿真实验,并与BP网络进行了比较,仿真结果表明,RBF网络在入侵检测中体现出良好的特性。     

基于神经网络集成的入侵检测研究

提出一种新的基于神经网络集成的入侵检测方法。首先通过有区别地对待不同的训练数据训练神经网络，提高对小类别入侵的检测能力并防止网络训练中的退化现象；然后利用一种新的改进遗传算法优化集成网络的权，提高系统整体性能。理论和实验表明该方法具有较好的检测能力。     

基于数据挖掘的网络入侵检测系统设计与实现

设计了一个基于数据挖掘技术的网络入侵检测系统模型。该模型在Snort入侵检测系统的基础上,利用数据挖掘技术增加了聚类分析模块、异常检测引擎和关联分析器。该系统不仅能够有效地检测到新的入侵行为,而且能提升检测的速度,在达到实时性要求的同时,解决了一般网络入侵检测系统对新的入侵行为无能为力的问题。     

Application-level network emulation: the EmuSocket toolkit

EmuSocket is a portable and flexible network emulator that can easily be configured to mimic the communication characteristics, in terms of bandwidth and delay, that occur with low-performance networks. The emulator works with Java applications by intercepting and perturbing application traffic at the socket API level. As traffic shaping takes place in the user-space by means of an instrumented socket implementation, using the toolkit does not require a modified interpreter. The way the emulator perturbs the communication preserves the TCP connection-oriented byte stream semantics.     

基于BP神经网络和Bagging算法的入侵检测

提出基于Bagging算法集成BP神经网络的入侵检测方法。采用BP神经网络为分类器,以用户的网络连接行为为特征进行检测,为进一步提高BP神经网络的分类性能,采用Bagging算法对BP神经网络分类器进行加权投票。实验表明,提出的方法具有良好的检测性能。     

数据融合的协同网络入侵检测

探讨并建立了一个基于多代理和数据融合技术的协同网络入侵检测模型,给出了协同网络入侵检测模型的体系结构及其组件,论述了从网络数据包中提取内容、网络连接与网络通信三种特征,生成可疑入侵事件,设计并实现了入侵事件检测代理（基于特征的检测代理和基于统计的检测代理）,通过融合中心进一步改善了检测效果,实验结果表明了该模型的有效性。     

基于无线网络的入侵检测系统研究与设计

本文对无线局域网络(WLAN)的入侵方式、入侵接入进行了分析,总结提出了WLAN网络中入侵检测技术系统的设计要求,结合有线网络中比较成熟的入侵检测技术,设计了一个分布式WLAN入侵检测系统(WDIDS)模型,我们认为该模型对研究无线局域网络入侵检测技术有一定的参考价值。     

基于样条权函数神经网络的入侵检测*

通过分析当前运用较多的入侵检测模型的缺陷,提出了一种基于样条权函数神经网络的新型入侵检测系统模型。网络拓扑结构简单,网络训练所需要的神经元个数与样本个数无关。训练后的权函数由三次样条函数构成,而不是传统方法中的常数。该模型克服了传统入侵检测系统所存在的局部极小、收敛速度慢、初值敏感性等问题。     

基于数据挖掘的网络异常行为检测技术设计与实现

既有的基于数据挖掘技术的入侵检测将研究重点放在误用检测上。提出了基于数据挖掘技术的网络异常检测方案,并详细分析了核心模块的实现。首先使用静态关联规则挖掘算法和领域层面挖掘算法刻画系统的网络正常活动简档,然后通过动态关联规则挖掘算法和领域层面挖掘算法输出表征对系统攻击行为的可疑规则集,这些规则集结合从特征选择模块中提取网络行为特征作为分类器的输入,以进一步降低误报率。在由DAR-AP1998入侵检测评估数据集上的实验证明了该方法的有效性。最后,对数据挖掘技术在入侵检测领域中的既有研究工作做了,总结。     

基于分布式智能代理的入侵检测方法研究

在分析和研究通用入侵检测框架理论和传统入侵检测系统实现策略的基础上,提出融合了滥用检测和异常检测两种方法的检测模型——基于分布式智能代理的网络入侵检测模型,并对检测引擎和检测算法进行了改进,使之具有更高的准确性和对潜在的入侵行为的识别和预测等智能化能力。     

一种基于克隆网络聚类的入侵检测方法

将免疫克隆策略用于网络结构的聚类中,能够得到克隆网络对数据进行合理的聚类分析。采用克隆网络对入侵检测数据进行学习,即用一个小规模网络来表示海量数据,完成数据的压缩表示。再利用图论中的最小生成树对克隆网络的结构进行聚类分析,从而获得描述正常行为和异常行为的数据特征,实现合理的聚类。该算法可实现对大规模无标识原始数据的入侵检测,区分正常和异常行为,并能检测到未知攻击。在KDD CUP99数据集中进行了对比仿真实验,实验结果表明：相对于以前的算法,该算法较大地提高了对已知攻击和未知攻击的入侵检测率,并降低了误警率。     

基于自适应进化神经网络算法的入侵检测

针对目前多数入侵检测系统的低检测率问题,提出一种自适应进化神经网络算法AENNA。基于遗传算法和BP神经网络算法,利用模拟退火算法的概率突跳和局部搜索强的特性对遗传算法进行改进,采用双种群策略的遗传进化规则实现BP神经网络权值和结构的双重优化;通过对遗传算法的交叉算子与变异算子的改进,设计一种自适应的神经网络训练方法。实验结果表明,基于AENNA的入侵检测方法能够有效提高系统的检测率并降低误报率。     

一种新的基于平均隶属度的网络入侵检测方法

针对传统入侵检测算法存在的不足,提出了一种新的基于平均隶属度的网路入侵检测方法——AMID,并且给出了相应的算法。这种方法通过度量实时行为和正常行为的贴近程度来判断当前是否存在异常行为,理论基础夯实,判断过程简单易于实现。实验结果说明,该方法在降低系统误报率方面有较为明显的改进。