车载CAN总线脱离攻击及其入侵检测算法

CAN总线脱离攻击作为一种新型的攻击方式,通过CAN总线通信的错误处理机制,可以使节点不断产生通信错误并从CAN总线上脱离。针对上述攻击所引发的车载CAN总线通信安全问题,提出了一种车载CAN总线脱离攻击入侵检测算法。首先,总结了车载CAN总线脱离攻击发生的条件与特点,指出正常报文与恶意报文的同步发送是实现总线脱离攻击的难点,并利用前置报文满足同步发送的条件来实现总线脱离攻击。其次,提取了CAN总线脱离攻击的特征,通过累计错误帧的发送数量,并根据报文发送频率的变化实现了对CAN总线脱离攻击的检测。最后,利用基于STM32F407ZGT6的CAN通信节点模拟车内电子控制单元（ECU）,实现了恶意报文和被攻击报文的同步发送。进行了CAN总线脱离攻击实验和入侵检测算法的验证。实验结果表明,检测算法对高优先级恶意报文的检测率在95%以上,因此可以有效保护车载CAN总线通信网络的安全。     

车载CAN总线脱离攻击及其入侵检测算法

CAN总线脱离攻击作为一种新型的攻击方式，通过CAN总线通信的错误处理机制，可以使节点不断产生通信错误并从CAN总线上脱离。针对上述攻击所引发的车载CAN总线通信安全问题，提出了一种车载CAN总线脱离攻击入侵检测算法。首先，总结了车载CAN总线脱离攻击发生的条件与特点，指出正常报文与恶意报文的同步发送是实现总线脱离攻击的难点，并利用前置报文满足同步发送的条件来实现总线脱离攻击。其次，提取了CAN总线脱离攻击的特征，通过累计错误帧的发送数量，并根据报文发送频率的变化实现了对CAN总线脱离攻击的检测。最后，利用基于STM32F407ZGT6的CAN通信节点模拟车内电子控制单元（ECU），实现了恶意报文和被攻击报文的同步发送。进行了CAN总线脱离攻击实验和入侵检测算法的验证。实验结果表明，检测算法对高优先级恶意报文的检测率在95%以上，因此可以有效保护车载CAN总线通信网络的安全。     

基于状态机的流媒体入侵检测研究

提出了一种针对流媒体的入侵检测技术.对基于RTSP协议的流媒体应用经常遭受的诸如SETUP泛洪攻击、会话截取攻击、恶意结束流媒体会话攻击和恶意RTP攻击进行了建模.在状态迁移分析和应用层会话管理技术的基础上,利用已有的进攻模型,进行入侵检测.该技术可以有效检测上述攻击.对系统的入侵检测性能进行了建模,定量分析了该入侵检测系统的性能.分析表明,该系统有很短的入侵检测延时.     

基于LSTM的CAN入侵检测模型研究

车载控制器局域网（Controller Area Network,CAN）连接着智能网联汽车系统的核心电子控制单元,对于保证汽车系统的安全性至关重要。由于其缺乏足够的信息安全措施,容易遭受拒绝服务（Denial of Service,DoS）攻击、重放攻击、模糊攻击等,给汽车系统及驾乘人员带来严重安全威胁。文章通过分析车载CAN面临的信息安全威胁,提取CAN报文在报文ID、时间间隔、数据字段中的通信特征,提出一种基于长短期记忆（Long Short Term Memory,LSTM）的CAN入侵检测模型,该模型能有效保留CAN报文的时序特征,在CAN遭受攻击时检测攻击行为以及对应的攻击类型。实验结果表明,该模型的攻击检测精度达99.99%。     

基于信息特征的车载CAN网络异常检测

控制器局域网（Controller Area Network,CAN）为当今汽车行业应用最广泛的现场总线。但标准CAN协议没有提供足够的安全措施，易遭受网络恶意攻击。针对这个问题，提出了一种基于信息特征的CAN网络入侵检测算法。并通过采用CAN总线网络数据对所提算法进行验证。实验结果表明，与传统的基于信息熵的车载网络入侵检查算法相比，所提算法在准确率和召回率方面都具有一定的优势。     

基于主机系统调用频率的容器入侵检测方法

容器技术由于其轻量级虚拟化的特点,已成为云平台中广泛使用的虚拟化技术,但它与宿主机共享内核,安全性和隔离性较差,易遭受泛洪、拒绝服务、逃逸攻击.为了有效检测容器是否遭受攻击,提出了一种基于主机系统调用频率的入侵检测方法,该方法利用不同攻击行为之间系统调用频率不同的特点,收集容器运行时产生的系统调用,结合滑动窗口和TF-...     

矿用新能源电机车CAN通信网络软件优化方法

针对矿用新能源电机车CAN节点发送错误造成关键信息丢失的隐患,在TTCAN协议的基础上提出了CAN总线发送容错方法,即对CAN节点发送失败的报文重新发送,当发送成功或者达到预设的最大重发次数后退出该报文的发送;给出了一种CAN总线高效接收、处理报文方法,在中断接收报文期间对报文进行缓存操作,同时修改接收到的报文数量,主程序以此为依据逐条对存放在缓冲区的报文进行后续处理,实现了报文接收与处理的分时操作。测试结果表明,该优化方法可有效提高CAN总线通信的实时性和可靠性,同时减小了各CAN节点CPU开销,提高了工作效率。     

面向DDoS入侵检测的报文特征提取方法

机器学习算法是当前检测网络入侵的主要方法。然而,现有入侵检测方法提取攻击报文特征的维度较小,导致检测精度偏低。针对该问题,文章提出了面向DDoS入侵检测的报文特征提取方法(DDoS Message Feature Extraction,DMFE)。该方法在分析DDoS攻击过程的基础上,根据报文协议将DDoS攻击分为五类,并针对不同的类型提取其特征向量,增加了攻击报文特征的维度与表达能力,有利于提升入侵检测算法的精度。模拟实验结果表明,DMFE与现有的其他特征提取方法相比,能够有效地提高基于神经网络、K-近邻等入侵检测方法的精度。此外,DMFE受分类算法种类影响弱,可以适用于多种机器学习算法并取得了几乎相同的效率。     

无线传感器网络泛洪时间同步协议安全算法

针对无线传感器网络泛洪时间同步协议(FTSP)可能遭受到基于发送时间标攻击的问题,提出一种安全算法,在FTSP中添加异常漂移率检测器和恶意节点ID号过滤器,同时为进一步提高FTSP的同步精度,减小FTSP受到恶意攻击后对时间同步的影响,改进泛洪时间同步协议中计算时钟漂移率的公式,对其进行加权处理。仿真结果表明:该安全算法能够有效地防御基于发送时间标的恶意攻击,减小了计算开销和恶意攻击对算法的影响,鲁棒性增强,同时提高了同步精度,达到了稳定准确的同步效果。     

从Snort规则的协议信息分析攻击

目前,众多关于入侵检测系统（IDS）的研究都集中在网络流量识别和日志分析上,但是还存在另一种能够了解入侵检测问题的方法,即分析位于IDS核心的规则。基于签名的IDS会把其遭受攻击的特征封装到其本身的规则中,因此对规则的分析可以揭示恶意流量中的各种有用信息。对目前流行的开源入侵检测系统Snort的规则进行了统计和聚类分析,重点关注了规则使用的网络协议,揭示了Snort系统重点针对恶意流量的类型,反映出了恶意流量的入侵方式和频率等特征以及当前入侵检测的手段,可以为编写入侵检测规则和提高入侵检测准确率提供借鉴。实验结果表明,Snort使用的三种主要协议为传输控制协议（TCP）、用户数据报协议（UDP）和Internet控制报文协议（ICMP）;Snort规则集可以被合理地划分为3类,其中TCP的使用都处于绝对的主导地位,并能反映出攻击事件的种类、入侵方式和频率的不同;Snort绝大多数的规则都能提取到基于TCP或UDP的应用层协议的特征,即现在的规则更加倾向于能够识别出应用层的协议,其中识别出最多的是超文本传输协议（HTTP）和简单邮件传输协议（SMTP）。     

一种SIP分布式洪泛攻击的减弱方法

对会话初始化协议(SIP)分布式洪泛攻击的原理进行研究,结合SIP协议自身的特点提出一种基于安全级别设定的攻击减弱方法.该方法将SIP消息按照历史记录、协议自身进行安全级别分类,利用流量监控对SIP流量监控.当发生分布式洪泛攻击时,通过设定合适的安全级别减弱攻击造成的影响.仿真实验结果表明基于安全级别的方法能够识别和防御SIP分布式洪泛攻击,有效地减弱SIP代理服务器/IMS服务器被攻击的可能性.     

Web服务恶意内容攻击检测技术

基于SOAP消息的恶意内容攻击对Web服务的应用与推广具有很大的影响,但目前尚缺乏能有效检测SOAP消息中恶意内容的方法,为此提出了一种新的SOAP消息特征检测方法。通过定义SOAP项和SOAP规则来描述恶意内容的特征,提出了SOAP消息解析算法和SOAP规则匹配算法,用来实施恶意内容的特征检测。根据提出的方法,设计并实现了一个Web服务攻击检测的原型系统。攻击检测实验和性能分析实验的结果表明,该方法有较好的检测效果和性能。     

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

基于扩展状态机的SIP洪泛攻击自适应检测

IP多媒体子系统(IMS)中现有的会话初始协议(SIP)洪泛检测方法不能根据网络状况进行自适应检测。针对该问题,提出一种基于扩展状态机的SIP洪泛自适应检测方法。通过增加描述网络受到攻击或出现异常时的状态,构造IMS网络中的SIP扩展状态机,基于卡尔曼滤波设计自适应阈值调整算法,对SIP洪泛攻击进行自适应检测。实验结果表明,该方法比固定阈值的检测方法具有更好的检测性能,更适用于真实网络。     

带式输送机故障定位系统网关的设计

以带式输送机故障定位系统为应用背景,提出了一种基于STM32F103VE微处理器的CAN总线与Profibus-DP总线网关的设计方案。该网关在CAN网络中作为一个CAN通信节点,在Profibus-DP网络中作为一个从站;带式输送机沿线分布若干个CAN检测节点,每个节点负责检测其段内的4种传感器设备采集的实时数据,如果检测到故障信息,CAN检测节点就会向网关发送故障信息报文,网关接收CAN检测节点发送的报文并进行存储;当网关与Profibus-DP主站连通后,作为Profibus-DP从站的网关可以通过查询方式把故障信息报文传送到Profibus-DP主站中,从而实现故障定位功能。实际应用表明,该网关运行稳定、可靠,实现了带式输送机故障定位系统中CAN总线及Profibus-DP总线的互联。     

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

A TCAM-based solution for integrated traffic anomaly detection and policy filtering

The survivability of the future Internet is largely dependent on whether it will be able to successfully address both security and performance issues facing the Internet. On one hand, the Internet becomes more and more vulnerable due to fast spreading malicious attacks. On the other hand, it is under great stress to meet ever growing/changing application demands while having to sustain multi-gigabit forwarding performance. In this paper, we propose a Ternary Content Addressable Memory (TCAM) coprocessor based solution for high speed, integrated TCP flow anomaly detection and policy filtering. The attacking packets with spoofed source IP addresses are detected through two-dimensional (2D) matching. The key features of the solution are: (1) setting flag bits in TCAM action code to support various packet treatments; (2) managing TCP flow state in pair to do 2D matching. We evaluate the solution’s ability to detect TCP-based flooding attacks based on real-world-trace simulations. The results show that the proposed solution can match up OC-192 line rate. The possible modifications of the solution for the detection of low rate TCP-targeted attacks are also discussed.