Web网站SSL/TLS协议配置安全研究

SSL/TLS协议是目前通信安全和身份认证方面应用最为广泛的安全协议之一,对于保障信息系统的安全有着十分重要的作用.然而,由于SSL/TLS协议的复杂性,使得Web网站在实现和部署SSL/TLS协议时,很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理问题等安全缺陷.这类安全问题在Web网站中经常发生,也造成了许多安全事件,影响了大批网站.因此,本文首先针对Web网站中安全检测与分析存在工具匮乏、检测内容单一、欠缺详细分析与建议等问题,设计并实现了Web网站SSL/TLS协议部署配置安全漏洞扫描分析系统,本系统主要从SSL/TLS协议基础配置、密码套件支持以及主流攻击测试三方面进行扫描分析;之后使用该检测系统对Alexa排名前100万网站进行扫描,并做了详细的统计与分析,发现了不安全密码套件3DES普遍被支持、关键扩展OCSP Stapling支持率不足25%、仍然有不少网站存在HeartBleed攻击等严重问题;最后,针对扫描结果中出现的主要问题给出了相应的解决方案或建议.     

针对SSL/TLS协议会话密钥的安全威胁与防御方法

分析安全套接层/安全传输层(SSL/TLS)协议在客户端的具体实现,利用浏览器处理SSL/TLS协议会话主密钥和协议握手过程中传递安全参数存在的漏洞与缺陷,结合Netfilter机制进行会话劫持,提出一种针对SSL/TLS协议的安全威胁方案(SKAS)并对其进行安全研究,给出随机数单向加密、双向加密及保护会话主密钥安全的3种防御方法。经过实验验证了SKAS威胁的有效性,其攻击成功率达到90%以上且攻击范围广、威胁程度高,提出的3种防御方法均能抵御SKAS威胁,保证了客户端和服务器间SSL/TLS协议的数据通信安全。     

网络攻击节点分布图构建方法的研究与仿真

研究快速构建网络攻击节点分布图的问题.针对网络攻击范围越来越大,攻击种类越来越复杂,在进行大范围攻击节点搜索的过程中,受到攻击种类和数量增大的影响,攻击源激发和原子筛选的时间复杂度越来越高.传统的网络攻击节点分布图构建模式,受到上述问题影响,构建分布图的时间复杂度极高,造成入侵检测结果不准确.为了提高检测准确率,提出了一种利用攻击原子约束分类的优化网络攻击图构建方法.利用攻击原子约束分类方法,获取网络中的攻击节点,从而为网络攻击图构建提供准确的数据基础.利用差分网络攻击原子定位方法,对攻击网络原子进行定位,获取准确的网络攻击路径,实现网络攻击图的快速构建,保证人侵检测的准确性.实验结果表明,利用改进算法进行网络攻击图构建,能够有效降低网络攻击节点分布图的时间复杂度.     

TLS1.3协议更新发展及其攻击与防御研究

SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议旨在为网络通信提供安全的信道,为通信双方提供认证、机密性和完整性。由于协议的复杂及其设计和实现上的漏洞导致许多安全隐患,新版本TLS1.3的制定引起信息安全学术界和产业界广泛的关注。概述TLS1.3的协议结构。在此基础上,对TLS1.3几个革新性的改变:密钥编排表、PSK和0-RTT进行了系统性地分析与梳理。对近10年协议受到的攻击按照协议的层次分类进行概述,提炼出每种攻击的原理以及TLS1.3针对这些攻击作出的应对措施。对TLS协议的未来发展作出预测并提出建议。     

基于CFL_BLP模型的CFL SSL安全通信协议

现有PKI、IBC认证技术与SSL/TLS通信协议已不能满足当今网络空间新兴信息产业的毫秒级信息安全需求。针对新兴信息产业的毫秒级通信安全问题,以CFL为原点技术,并基于CFL_BLP模型给出CFL SSL协议及其形式化描述,从协议层面上证明该协议可实现毫秒级双向认证、通信的机密性和完整性保护、自主可控以及防止中间人攻击等信息安全属性。实验结果表明,与SSL/TLS协议相比,该协议的可用性和安全性更高,且能够满足各种新兴信息产业通信机制的毫秒级信息安全需求。     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。     

基于深度学习的音视频应用两阶段识别方法研究

随着互联网的发展,网络音视频应用也呈现快速增长态势。基于隐私保护的目的,音视频多采用SSL/TLS加密。研究深度学习下对SSL/TLS加密音视频应用的识别分类,设计一种针对深度学习的特征工程来挖掘加密数据的隐藏内容特征,实现一种针对音视频应用的两阶段识别方法。实验表明,该方法具有良好的准确率和召回率。     

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。     

基于TR069协议的CPE安全认证机制

TR069(CPE广域网管理协议)提供了对下一代网络中的家庭网络设备进行管理配置的通用框架和协议,其协议栈中包括SOAP,HTTP,SSL/TLS,TCP/IP等标准协议.当自动配置服务器(ACS)和网络终端设备(CPE)建立连接时,可以选择使用SSL/TLS层增强通信的安全性.本文设计并实现了使用Open SSL开发包对ACS与CPE的相互认证过程进行加密,包括生成自签证认证证书的方法,以及证书验证过程.最后,通过实验验证了其有效性,并抓包分析了关键帧.     

基于随机森林算法的无线传感网络攻击流量阻断模型构建

针对无线传感网络攻击流量阻断存在攻击流量检测准确率较低、阻断效果较差的问题,构建了一种基于随机森林算法的无线传感网络攻击流量阻断模型。基于字符（单词）的词频矩阵,利用TF-IDF算法将有效载荷的特征自动提取出来;根据特征结果使用随机森林算法通过词频矩阵对网络流量实行分类,基于分类结果对网络中的流量攻击实现溯源,完成异常无线传感网络检测;利用流表的报文过滤实现无线传感攻击流量的阻断。实验结果表明,该模型在检测攻击流量时,准确率最高可达100%,调和平均数最高为99.18%,错误率最高仅为7.3%,假阳性率最高仅为5.5%,同时能够有效阻断网络攻击流量,在较短时间内将网络恢复至正常,具有良好的攻击流量检测效果和攻击流量阻断效果。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

可抵御字典式攻击的传输层安全方案

传输层安全TLS是在SSL3．0基础上提出的安全通信标准，容易遭到字典式攻击，本文基于可记忆的通行字交换协议设计了传输层安全TLS方案，该方案可抵御字典式攻击，并能方便地提供身份认证．建立安全通道．减少了服务器被攻陷造成的损失．     

基于Java2的SSL代理的实现

针对网络传输安全问题是网络安全的重要内容，介绍了在密码技术中被广泛使用的SSL／TLS协议，并描述了SSL代理软件的实现方法。     

FlowSpectrum: a concrete characterization scheme of network traffic behavior for anomaly detection

As the 5G rolls out around the world, many edge applications will be deployed by app vendors and accessed by massive end-users. Efficient detection of malicious network behavior is paid more and more attention. The current traffic detection work is still stuck on the analysis of high-dimensional data. It will restrict the improvement of threat monitoring and network governance when facing massive network flows. Characterization of network flows within simple domains is required to simplify the process of network analysis. Traffic characterization is a key task that allows service providers to detect and intercept anomalous traffic, such that high QoS (Quality of Service) and service availability are maintained and spread of malicious content is prevented. Unfortunately, there is still a lack of research on the concrete characterization of network data. Analogous to spectrum, in this paper, we proposed the concept of FlowSpectrum for the first time in order to represent the network flow, concretely. In the FlowSpectrum, network flow is represented as a spectral line rather than the raw data or a feature vector of the network flow. All flows are able to be mapped as spectral lines, and traffic identification is achieved by analyzing the positions of spectral lines. FlowSpectrum can significantly reduce the complexity of network traffic behavior analysis while enhancing the interpretability of detection and facilitating cyberspace behavior management. We designed a neural network structure based on semi-supervised AutoEncoder for decomposition and dimensionality reduction of network flows in FlowSpectrum. The characterization capability of FlowSpectrum is proved by thorough experiments. Moreover, we realized the correspondence between network behaviors and intervals of spectral lines, preliminarily. Generally speaking, FlowSpectrum can provide new ideas for the field of network traffic analysis.

     

SSL协议应用中安全技术问题探究

随着信息化浪潮的发展,SSL协议的应用非常普遍,但是在SSL协议应用的工程实践中也发现了一些应用模式所导致的问题,文章首先介绍了SSL协议的安全技术应用,重点分析了其中安全技术问题的表现,并通过国产密码算法与SSL协议之间应用兼容性的问题分析,提出了一些SSL协议应用模式的建议。     

基于统计分析的DDoS攻击检测

分析了分布式拒绝服务（Distributed Denial of Service,DDoS）攻击原理及其攻击特征,从提高检测响应时间和减少计算复杂性的角度提出了一种新的DDoS攻击检测方法。该方法基于DDoS攻击的固有特性,从IP连接数据的统计分析中寻找能够描述系统正常行为的分布规律,建立基于统计分析的DDoS攻击检测模型。实验结果表明,该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测具有指导作用。