典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

基于高阶统计特征的大数据异常负载检测仿真

针对大数据负载分析异常负载检测精度较低、流量耗费较高的问题,研究基于高阶统计特征的大数据异常检测方法.利用双谱值检测方法提取大数据负载中的高阶统计特征,构建高阶统计特征集合;利用人工免疫理论构建大数据异常负载检测器,以高阶统计特征集合对正常大数据负载样本编码生成集合,结合随机生成过程和高亲和力检测器克隆突变后代形成一个不成熟检测器.阴性选择算法用于将集合中的元素与未成熟检测器一一匹配,并通过低于匹配阈值的免疫耐受将它们转换为成熟的检测器,检测大数据的异常负载.仿真结果显示该方法检测结果准确率达到99.9％,耗费流量显著降低.     

网络入侵检测系统中动态克隆选择算法的优化

文章首先对入侵检测的定义一些基本概念和原理进行了较为详细的介绍,然后通过对动态克隆选择算法进行的研究和分析,发现该算法在生成未成熟检测器过程中存在不足,对其采用了r连续匹配位反向变异方法。经过验证分析证实了改进后的算法的确加大了成熟检测器集覆盖的检测空间。     

一种分段检测器集合生成算法的研究与实现

目前大多数入侵检测算法的研究均用于提高系统检测的准确率和对非法抗原的覆盖率,缺乏对提高算法检测速度的研究。针对这一问题,提出一种新的基于否定选择的检测器生成算法,利用分段的方法,先将候选检测器集合的大小利用求解递归公式计算出来,再用求解序号随机生成检测器。实验表明,该算法的时间效率得到显著提高,并具有实际的工程应用价值。     

改进的否定选择算法及其在入侵检测中的应用

否定选择算法(Negative Selection Algorithm, NSA)作为人工免疫系统的典型算法被广泛应用于入侵检测中。针对传统否定选择算法在处理入侵检测问题时出现的准确率低、误报率高以及检测器集合冗余度高等问题,提出了一种改进的否定选择算法并将其应用到入侵检测中。其主要思想是:首先通过密度峰值聚类算法对非自体抗原进行聚类,生成一类已知检测器,该检测器可检测已知入侵行为;然后定义异常点并将其优先作为候选检测器中心,计算和生成未知检测器,该检测器可检测未知入侵行为,以此降低检测器生成的随机性。在实验阶段,选择准确率(Accuracy, AC)和误报率(False Alarm, FA)作为评价指标。分别在KDDCUP99和CSE-CIC-IDS2018数据集上进行了仿真实验,实验结果表明,所提算法在这两种数据集上均有较低的误报率和较高的准确率,这验证了其具有较好的检测效果。     

一种采用混合检测器的入侵检测系统

传统的基于免疫的入侵检测系统采用低级别的二进制检测器,妨碍了有意义的知识提取,对Nonself空间的覆盖也不完备。对二进制Self集的确定和有效检测器的生成方法进行了改进,研究了实值否定选择算法,加入了实值检测器,构成混合检测器集合,在检测阶段对会话和数据包同时进行异常检测。实验结果ROC曲线表明有较高的检测率和较低的误报率。     

一种shellcode动态检测与分析技术

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.     

一种改进的否定选择算法在入侵检测中的应用

有效的检测器生成算法是入侵检测的核心问题。针对现有算法存在检测率低、匹配阈值固定、检测器集合庞大等问题,通过对人工免疫系统中否定选择算法原理的分析,提出一种生成最有效检测器集的变阈值模糊匹配否定选择免疫算法,并将该算法应用到入侵检测系统中。算法采用随机生成和基因库相结合的候选检测器生成机制,在保证检测器多样性的同时,提高了候选检测器成为成熟检测器的比率。为了消除冗余检测器的产生,提高检测器集的检测效率,算法在模糊匹配的基础上生成有效检测器集。同时,匹配阈值可变,可大幅降低黑洞数量。实验结果表明,该算法提高了入侵检测率,降低了虚警率,整体检测性能较好。     

一种检测器长度可变的非选择算法

检测器生成是非选择算法的关键步骤.已有检测器生成算法在生成检测器时存在"漏洞"区域和冗余检测器问题.提出了一种检测器长度可变的检测器生成算法,不仅可以消除"漏洞"区域,还可以通过相应的检测器优化算法减少冗余检测器,进而提高检测器生成效率和检测效率.对算法进行了分析和实验证明,结果表明,该算法比传统的非选择算法及r可变的非选择算法具有更好的性能.     

基于分级记忆策略的免疫算法

针对传统免疫算法在网络故障检测中存在的稳定性低、检测性能差等问题,提出一种基于克隆选择和免疫记忆机理的人工免疫系统算法。该算法调整未成熟检测器的补入方式,设计对检测器进行有效性评估的机制。给出依据评估结果对记忆检测器实施分级的策略,对各级别的检测器子群体采用不同的进化策略。实验结果表明,与传统算法相比,该算法的稳定性和检测性能都有一定改善。     

Dynamic emulation based modeling and detection of polymorphic shellcode at the network level

It is a promising way to detect polymorphic shellcode using emulation method. However, previous emulation-based approaches are limited in their performance and resilience against evasions. A new enhanced emulation-based detection approach is proposed, including an automaton-based model of the dynamic behavior of polymorphic shellcode and a detection algorithm, the detection criterion of which is derived from that model and ensures high detection accuracy. The algorithm also contains several optimization techniques, highly improving the running performance and the resilience against detection evasion shellcode. We have implemented a prototype system for our approach. The advantages of our algorithm are validated by the experiments with real network data, polymorphic shellcode samples generated by available polymorphic engines and hand-crafted detection evasion shellcode.     

邻域形态空间多源免疫检测器生成与检测

人工免疫系统（artificial immune system,简称AIS）是人工智能技术的重要分支之一,被广泛应用于异常检测、数据挖掘、机器学习等多个领域.检测器是其核心知识集,其生成、优化和检测操作决定了人工免疫的应用效果.目前,人工免疫的问题空间以实值形态空间为主,但实值非自体空间“黑洞”、检测器生成速率慢、检测器高重叠冗余、“维度灾难”等问题,使得人工免疫检测的效果不甚理想.鉴于此,使用邻域形态空间,并改进邻域否定选择算法（neighborhood negative selection algorithm,简称NNSA）,引入混沌理论和遗传算法,提出了一种多源邻域否定选择算法（multi-source-inspired NNSA,简称MSNNSA）,并基于此提出邻域形态空间多源免疫检测器生成与检测方法,改进邻域形态空间下检测器的构造与生成机制,使其更具靶向性,并使获得的检测器具有更好的分布性,提高其生成效率和整体的检测性能,解决以上实值形态空间下存在的问题.实验结果表明,该方法提高了检测器生成效率以及检测的整体性能和稳定性.     

基于免疫的入侵检测方法研究

生物的免疫系统和计算机安全系统所面临及需要解决的问题十分类似．采用生物免疫思想的入侵检测技术可以结合异常检测和误用检测的优点．研究了基于免疫的入侵检测方法，对Self集的确定和有效检测器的生戍方法进行了研究和改进，基于反向选择机制提出了一种新的有效检测器生成算法．可以使用较少的有效检测器检测网络中的异常行为，从而提高了有效检测器生成和入侵检测的速度．通过与基于已有的有效检测器生成算法的系统进行比较，使用本文的方法构造的入侵检测系统速度更快．且有较高的准确性．     

Network-level polymorphic shellcode detection using emulation

Significant progress has been made in recent years towards preventing code injection attacks at the network level. However, as state-of-the-art attack detection technology becomes more prevalent, attackers are likely to evolve, employing techniques such as polymorphism and metamorphism to defeat these defenses. A major outstanding question in security research and engineering is thus whether we can proactively develop the tools needed to contain advanced polymorphic and metamorphic attacks. While recent results have been promising, most of the existing proposals can be defeated using only minor enhancements to the attack vector. In fact, some publicly-available polymorphic shellcode engines are currently one step ahead of the most advanced publicly-documented network-level detectors. In this paper, we present a heuristic detection method that scans network traffic streams for the presence of previously unknown polymorphic shellcode. In contrast to previous work, our approach relies on a NIDS- embedded CPU emulator that executes every potential instruction sequence in the inspected traffic, aiming to identify the execution behavior of polymorphic shellcode. Our analysis demonstrates that the proposed approach is more robust to obfuscation techniques like self-modifications compared to previous proposals, but also highlights advanced evasion techniques that need to be more closely examined towards a satisfactory solution to the polymorphic shellcode detection problem.     

面向多类别模式分类问题的新型阴性选择算法

针对阴性选择算法缺乏高效的分类器生成机制和“过拟合”抑制机制的缺陷,提出了一种面向多类别模式分类的阴性选择算法CS-NSA。通过引入克隆选择机制,根据分类器的分类效果和刺激度对其进行自适应学习;针对多类别模式分类的“过拟合”问题,引入了检测器集合的修剪机制,增强了检测器的分类推广能力。对比实验结果证明：与著名的人工免疫分类器AIRS相比,CS-NSA体现出更高的正确识别率。     

A Cuckoo Search Detector Generation-based Negative Selection Algorithm

The negative selection algorithm (NSA) is an adaptive technique inspired by how the biological immune system discriminates the self from non-self. It asserts itself as one of the most important algorithms of the artificial immune system. A key element of the NSA is its great dependency on the random detectors in monitoring for any abnormalities. However, these detectors have limited performance. Redundant detectors are generated, leading to difficulties for detectors to effectively occupy the non-self space. To alleviate this problem, we propose the nature-inspired metaheuristic cuckoo search (CS), a stochastic global search algorithm, which improves the random generation of detectors in the NSA. Inbuilt characteristics such as mutation, crossover, and selection operators make the CS attain global convergence. With the use of Lévy flight and a distance measure, efficient detectors are produced. Experimental results show that integrating CS into the negative selection algorithm elevated the detection performance of the NSA, with an average increase of 3.52% detection rate on the tested datasets. The proposed method shows superiority over other models, and detection rates of 98% and 99.29% on Fisher’s IRIS and Breast Cancer datasets, respectively. Thus, the generation of highest detection rates and lowest false alarm rates can be achieved.     

基于Monte Carlo估计的免疫检测器分布优化算法

针对免疫实值检测器的黑洞和边界入侵问题,分析规模对检测性能的影响,提出一种基于Monte Carlo估计的检测器分布优化算法,以Monte Carlo方法估计检测器对非自体空间的覆盖效果作为算法结束的条件,通过优秀子代替代不合时宜的父代来完成检测器的分布优化处理。经实验测试表明,该算法不仅可以有效地降低黑洞,而且能够以更少的检测器更精确地覆盖非自体空间,从而提升检测器的检测性能。