典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

Shellcode静态检测技术研究

缓冲区溢出攻击是网络安全的重大威胁,事先检测是否存在Shellcode是对抗缓冲区溢出攻击的有效手段。从Shellcode构成和特征出发,分类研究各种Sheltcode静态检测技术,分析比较它们的优缺点,在此基础上提出了一种检测方案并实现了一个原型系统。     

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3 GB实际网络数据和 11 000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。     

一种基于双模式虚拟机的多态Shellcode检测方法

近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.     

JavaScript引擎漏洞检测方法综述

由于语言特性导致的JavaScript引擎漏洞是当今应用软件软件安全的重要威胁之一,攻击者通常间接利用JavaScript引擎漏洞造成远程命令执行,获得系统的控制权。介绍了引擎的基本信息,对引擎中经常出现的漏洞进行了分类,分别综述了静态和动态分析检测的基本步骤和发展脉络,提出了针对JavaScript引擎漏洞的检测基本框架,讨论了制约检测效率瓶颈问题以及可能的解决方法,结合最新的技术应用指出了未来的发展趋势和亟待解决的问题。     

集成入侵检测引擎的增强型防火墙技术研究

提出了一种增强型防火墙技术,通过把入侵检测引擎集成到传统的包过滤防火墙中,实现两者的协同工作,使得该防火墙在具备传统安全保护功能的同时,还能够根据内嵌的入侵检测引擎的响应结果动态设置过滤规则,及时禁止可能的危险数据通信,从而更好地保护网络安全.给出了该增强型防火墙的系统功能、模块结构和协作机制.测试表明,与传统防火墙相比,该防火墙在应对未知攻击时,具有有效阻断率高的优势.     

人工智能在入侵检测分析引擎中的应用研究

针对目前入侵检测系统(IDS)的缺陷与不足,将人工智能应用于入侵检测分析引擎的研究与开发。利用遗传算法的优良机理设计了一类测度参数优化算法,并在此基础上提出了一类混合入侵检测分析引擎,方案较好地避免了现有入侵检测引擎的缺陷与安全漏洞,增强IDS的实时性、健壮性、高效性、并行性和可适应性。     

基于动作推导引擎下的故障检测方法

本文根据文[2]介绍的软件管理者方法,提出了基于动作推导引擎的软件管理者方法。软件管理者单元是一种自动的实时监控软件故障的软件工具,适用于实时软件系统特别是通信类软件系统的故障侦测。它通过监控目标系统的输入和输出,使用获得的输入和目标系统的管理模型推算出对应此输入序列的期望输出值．与目标系统的实际输出做比较．如果实际输出没有在期望输出集中,则管理者单元断定目标系统出现错误。基于动作推导引擎的软件管理者方法,采用了动作推导引擎产生的目标系统管理模型,使该管理模型独立于软件管理者方法。可以实现管理模块与动作推导引擎同步实时更新．而不会导致软件管理者单元的改动。     

入侵检测分类引擎预测精度度量方法

在综合考虑入侵检测分类引擎对异常和正常记录整体预测能力的基础上,提出了一种与测试和目标审计记录集中的异常记录分布无关的预测精度度量方法。该度量方法消除了当前评估规范存在的缺陷,能够确保预测精度就是实际入侵检测时的泛化精度。     

基于数据结构特征发现的脚本引擎内置对象别名关系识别

越来越多的软件提供内置脚本引擎,支持通过脚本语言可编程式地调用各项程序功能。内置脚本引擎除了支持标准的脚本语言规范,还提供了一系列扩展的应用程序编程接口(Application Programming Interface,API)和内置对象。脚本引擎在丰富软件功能的同时,也引入了额外的攻击面。近年来曝出的内置脚本引擎安全漏洞多数与扩展API和内置对象相关。针对脚本引擎中的安全漏洞,目前的检测技术仅能检测出脚本引擎浅层解析代码中的漏洞,难以有效检测出涉及内置对象别名关系的深层次漏洞,例如释放后使用漏洞(use-after-free,UAF)。检测对象别名关系导致的UAF漏洞,需要解决两个关键的技术挑战。其一,如何高效地识别内置对象别名关系。其二,如何利用识别出的对象别名关系检测脚本引擎的UAF漏洞。为此,本文设计了一种基于数据结构特征发现的脚本引擎内置对象别名关系识别方法,并提出了一种利用别名关系构造式触发UAF漏洞的检测方案。我们利用内置对象数据结构特征,提高了别名关系识别效率。同时,引入了内置对象内存共享区域以辅助触发UAF漏洞。为了验证方案的有效性,我们在Adobe Reader的内置JavaScript脚本引擎中进行了实验。我们提出的方案成功地识别出了284对内置对象的别名关系,并检测出了4个未知的UAF漏洞,获得了厂商的确认和修复。实验结果表明,本文方法能有效识别内置对象别名关系并能成功应用于脚本引擎UAF漏洞的检测。     

动静结合的攻击代码检测方法

缓冲区溢出攻击是近年来最主要的安全问题之一,攻击者利用缓冲区溢出漏洞执行远程代码,从而达到攻击的目的。Shelleode作为攻击的载体,是缓冲区攻击检测的主要对象。随着检测技术的发展,攻击者更倾向于使用多态技术对Shellcode进行加密来绕过IDS的检测。针对MS Windows操作系统下的Shellcode,提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义,既使用动态模拟技术提高了对使用多态技术的Shellcode的检侧率,也兼顾了检测的效率。基于该方法,设计和实现了一套原型系统,并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明,该系统在检测Shellcode的准确率和性能方面都达到了令人满意的效果。     

两种典型的入侵检测方法研究

论述了入侵检测的基本概念、模型框架和对现有入侵检测技术、方法进行了分类。重点论述了两种典型的入侵检测方法—异常行为检测方法和比较学习检测方法的基本原理,并在此基础上实现了一个实际的入侵检测专家系统。     

仿真技术在汽车发动机故障检测中的研究

针对目前汽车发动机的传感器易损坏而导致发动机状态分析的结果产生重大偏差的特点,对人工神经BP网络模型做了改进,使其具有很强的自适应能力而能使网络的收敛方向和速度得到优化,并编制了相应的程序.作为实例,文章对某一实际发动机进行了仿真试验,结果表明该改进的BP网络具有很强的自适应能力,所有的误差控制在3%以内,可以满足工程实际的需要.由于人工神经网络在实际应用中不涉及具体的物理模型,因此该模型对发动机的状态参数在线仿真、减少传感器的维护量,特别是对发动机故障诊断技术水平的提高有很大的意义.     

基于图像检测的发动机缸体探伤系统设计及应用

为了实现某型号航空发动机缸体的自动化检测,设计了一套全自动荧光磁粉探伤系统。介绍了系统的结构和实现方式、重点介绍了图像采集和图像处理部分,系统采用Laplacian算子对原始图像进行锐化处理,然后采用Prewitt算子进行边缘提取,最后采用面积和周长两个物理量作为判断产品合格与否的特征值;实际测量显示,系统的测量精度可达0.01 mm,满足发动机缸体检测的要求。     

基于推进贝叶斯分类法的入侵检测引擎研究

为了提高贝叶斯分类法的准确率,设计了基于推进技术的贝叶斯分类法,并将推进贝叶斯分类法应用到入侵检测引擎中,并设计了基于推进贝叶斯分类的入侵检测引擎。通过实验表明,此检测引擎可以有效的将入侵行为与非入侵行为进行分类,与传统贝叶斯分类法的检测引擎相比,此引擎对数据的分类有更高的准确率。     

基于堆栈的Windows Shellcode编写方法研究

为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究.从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤.在实验的基础上,总结了Shellcode的编写方法及提取技术,最后给出了验证Shellcode有效性的方法.     

基于特征模型驱动的前方车辆检测

为了准确地探测出前方车距,必须先检测出前方车辆的大概位置,对国内现有的车辆位置检测方法进行了大量的研究;充分分析了前方车辆的先验特征模型的基础上,提出了一种基于机器视觉模型驱动的前方车辆目标检测方法,主要包括以下步骤:首先基于目标的边界特征和灰度信息熵等对目标进行初步探测,建立目标感兴趣区;然后基于前方车辆的灰度对称特征进行目标确认,提出了一种新的对称性测度,并利用该对称性测度检测出车辆的对称轴;最后在图像序列中,利用线性预测方法对目标进行跟踪;可以准确地获得前方车辆的矩形轮廓.