论文部分内容阅读
摘要:随着社会经济的高速运转,带动了各行业领域的突飞猛进,各类科学技术的日益涌现及应用,逐步使我国进入信息化时代。计算机信息化技术的广泛应用,在方便快捷生产生活的同时,也为网络安全埋下了隐患。如时下日益出现的隐性攻击行为,为我国网络安全建设带来了阻碍。而传统的技术手段已难以遏制新型攻击行为的日益猖獗,基于此类现象,新型聚类感知挖掘技术应运而生。
关键词:隐形攻击;网络安全;聚类感知挖掘技术;应用
当前我国网络安全问题日益严重,网络隐形攻击行为愈演愈烈,传统的技术手段在处理此类新兴问题时显得捉襟见肘。因此,根据网络安全发展需要,采用聚类感知挖掘技术于网络安全环节势在必行,也是保障我国网络安全稳定性的重要举措。
一、聚类感知挖掘技术应用情况
以往针对网络隐形攻击的分析与挖掘技术的覆盖面相对较小,应用领域较窄,对不同类型的攻击行为缺乏有针对性的处理,但攻击行为的具体类型与内容却与信息化网络的整体安全有着密切的联系。21世纪我国进入信息化时代,各类新型计算机信息化技术广泛应用于各行业领域的工作中,极大地满足了各企业是单位及个人的工作需求。但值得注意的是,计算机信息化技术是一柄双刃剑,在方便快捷的同時,也带来了一系列的衍生威胁,如网络系统的隐形攻击行为;且传统的计算机安全防卫技术已难以对抗日趋复杂多样化的网络安全问题。
时下,计算机安全领域在定义协议行为的过程中仍缺乏明确性、概念性的理解,对此项行为的认知水平普遍较低。当前,网络安全的理论技术与实际运行环节仍难以对网络隐形攻击行为展开合理的控制,新型隐形攻击行为的甄别、分辨技术仍有待提高,对于隐形攻击行为的研讨技术尚未形成系统化的体系,又缺少明确的管理措施。与传统网络安全问题有所不同的是,新型隐形攻击行为其覆盖面更广、可控性较差、攻击性更强,而对其进行管控的技术措施需要进行而为细致的信息数据统计,更为复杂行为内容分析与长效性的研究探讨。根据上述情况,我国针对隐形攻击行为的管控技术应加强科研投资力度,建立健全系统化的管控制度,在针对当前常见的攻击行为制定有效的管控措施的同时,对未来可能发生的新型攻击行为展开预防。
二、协议隐形攻击行为的聚类感知挖掘方案
(一)内在含义与意义
协议设计者的目标最终都是通过协议的行为
表现出来的,协议设计者的意图和协议行为之间具有可信的对应关系。协议的正常行为是各种网络应用的正常表现,而协议的隐形攻击行为则是协议设计者特殊目标的表现形式。这些特殊目标通常不愿意被公开表现出来,往往采用隐匿、隐蔽、隐藏等方式加以保护,以逃避安全分析人员的分析和追踪,采用自迷惑技术,在不改变原始语义的前提下通过代码变换来抵御逆向分析。所以,协议的隐形攻击行为都是通过精心的设计、巧妙的躲藏来完成使命的。从本文捕获到的协议样本中可以发现,这些有意设计的隐形攻击行为主要有秘密扫描硬盘文件、非法下载、植入特殊代码、隐私侦听和拷贝用户信息等,具有现实或潜在的恶意性。(见图1)为了对未知协议二进制程序处理消息的过程细节进行研究,本文开发了一个虚拟分析平台HiddenDisc(hiddenbehaviordiscovery)。该分析平台根据所有待分析协议的指令级特性进行指令聚类分析,自动将所有协议样本的行为进行分组并生成不同的行为聚类,将动态二进制分析和静态指令聚类分析相结合。为了应对未知协议潜在的隐形攻击行为,本文从一个全新的视角重新描述了协议、协议行为以及隐形攻击行为分析等问题。
(二)指令聚类分析方法
近年来,本文捕获了大量各种各样的协议样本,但其中绝大多数协议的行为未知,由于多数协议都采用加密、混淆等技术手段进行反逆向分析,传统的静态分析和动态分析对隐形攻击行为的挖掘均很难奏效。本文自主研发的虚拟分析平台HiddenDisc,将所有协议样本的全部行为指令序列抽取出来进行分析研究。HiddenDisc是专门为自动逆向分析协议的未知行为而设计的,它以虚拟平台TEMU为基础进行二次开发,扩展增加了4大主要功能部件,如图2所示。
本文需要从这些庞大的原始基本块中抽取核心指令序列,以提高安全分析的效率。使用本文自主开发的用户自定义API,就可以从原始基本块的解析过程中抽取出捕获到的行为指令序列。图3为从原始基本块中抽取有效行为指令序列的实例。去除指令地址、操作数、无关参数和无关指令,最终得到精简优化的只含有操作码的行为指令序列。
三、分析讨论
值得注意的是,文中上述所阐述的协议设计环节仅为理论层面的初步预想,但仍可采用对行为代码进行重组、变形等方式转换行为的表象形态,但对不同指令的划分与区别仍存在一定的难度。因此,在实际分类过程中采用聚类感知挖掘技术是保障协议行为科学性与合理性的有效措施。虽然此项技术在实际应用环节可以有效的分辨出隐形攻击的行为,但是对于此类攻击的判定仍存在较大的难度,仍需进行系统化的研究与分析后方可进行判别,需进行的行为分析研究的过程相对较长,进行研讨所花费的人力、物力、财力资源较多。时下,文章依据各类攻击行为的数据信息的长短进行行为安全性分析,所消耗的时间过长,也会使不同类型或隐性或显性的攻击行为冲击性更强。虽然部分攻击行为与安全行为间类型、内容、长度有所不同,但是此类行为在判断过程中极易造成类型误判。文中对于协议及各类攻击行为的研究分析仍处于理论层面,缺乏实际操作的深入研究,尚未形成明确的定义,加之各类协议的类型、形式、内容相对复杂,此项研究分析成果能否应用于所有协议行为尚且无法确定,仅供参考。
四、结语
本文提出了一种智能化的指令聚类方法,用于感知和挖掘大量未知协议中的隐形攻击行为。不同于以往的研究,本文的方案将动态污点分析和全新的指令聚类分析相结合,用来高效分析未知协议中的指令序列验证执行的结果和手动分析结果完全一致,表明本文提出的方案在效率和准确性方面都是理想的,达到了预期的目标。
参考文献:
[1]胡燕京,裴庆祺.网络协议隐形攻击行为的聚类感知挖掘[J].通信学报,2017,38(6):39-48.
[2]冯学伟,况晓辉,孙晓霞.一种基于概率转移的Cyber攻击场景感知推理技术[J].指挥与控制学报,2015,1(1):62-67.
[3]韩瑞.一种基于K均值聚类和PSO的无线传感器网络分簇路由协议研究[D].陕西师范大学,2015.
关键词:隐形攻击;网络安全;聚类感知挖掘技术;应用
当前我国网络安全问题日益严重,网络隐形攻击行为愈演愈烈,传统的技术手段在处理此类新兴问题时显得捉襟见肘。因此,根据网络安全发展需要,采用聚类感知挖掘技术于网络安全环节势在必行,也是保障我国网络安全稳定性的重要举措。
一、聚类感知挖掘技术应用情况
以往针对网络隐形攻击的分析与挖掘技术的覆盖面相对较小,应用领域较窄,对不同类型的攻击行为缺乏有针对性的处理,但攻击行为的具体类型与内容却与信息化网络的整体安全有着密切的联系。21世纪我国进入信息化时代,各类新型计算机信息化技术广泛应用于各行业领域的工作中,极大地满足了各企业是单位及个人的工作需求。但值得注意的是,计算机信息化技术是一柄双刃剑,在方便快捷的同時,也带来了一系列的衍生威胁,如网络系统的隐形攻击行为;且传统的计算机安全防卫技术已难以对抗日趋复杂多样化的网络安全问题。
时下,计算机安全领域在定义协议行为的过程中仍缺乏明确性、概念性的理解,对此项行为的认知水平普遍较低。当前,网络安全的理论技术与实际运行环节仍难以对网络隐形攻击行为展开合理的控制,新型隐形攻击行为的甄别、分辨技术仍有待提高,对于隐形攻击行为的研讨技术尚未形成系统化的体系,又缺少明确的管理措施。与传统网络安全问题有所不同的是,新型隐形攻击行为其覆盖面更广、可控性较差、攻击性更强,而对其进行管控的技术措施需要进行而为细致的信息数据统计,更为复杂行为内容分析与长效性的研究探讨。根据上述情况,我国针对隐形攻击行为的管控技术应加强科研投资力度,建立健全系统化的管控制度,在针对当前常见的攻击行为制定有效的管控措施的同时,对未来可能发生的新型攻击行为展开预防。
二、协议隐形攻击行为的聚类感知挖掘方案
(一)内在含义与意义
协议设计者的目标最终都是通过协议的行为
表现出来的,协议设计者的意图和协议行为之间具有可信的对应关系。协议的正常行为是各种网络应用的正常表现,而协议的隐形攻击行为则是协议设计者特殊目标的表现形式。这些特殊目标通常不愿意被公开表现出来,往往采用隐匿、隐蔽、隐藏等方式加以保护,以逃避安全分析人员的分析和追踪,采用自迷惑技术,在不改变原始语义的前提下通过代码变换来抵御逆向分析。所以,协议的隐形攻击行为都是通过精心的设计、巧妙的躲藏来完成使命的。从本文捕获到的协议样本中可以发现,这些有意设计的隐形攻击行为主要有秘密扫描硬盘文件、非法下载、植入特殊代码、隐私侦听和拷贝用户信息等,具有现实或潜在的恶意性。(见图1)为了对未知协议二进制程序处理消息的过程细节进行研究,本文开发了一个虚拟分析平台HiddenDisc(hiddenbehaviordiscovery)。该分析平台根据所有待分析协议的指令级特性进行指令聚类分析,自动将所有协议样本的行为进行分组并生成不同的行为聚类,将动态二进制分析和静态指令聚类分析相结合。为了应对未知协议潜在的隐形攻击行为,本文从一个全新的视角重新描述了协议、协议行为以及隐形攻击行为分析等问题。
(二)指令聚类分析方法
近年来,本文捕获了大量各种各样的协议样本,但其中绝大多数协议的行为未知,由于多数协议都采用加密、混淆等技术手段进行反逆向分析,传统的静态分析和动态分析对隐形攻击行为的挖掘均很难奏效。本文自主研发的虚拟分析平台HiddenDisc,将所有协议样本的全部行为指令序列抽取出来进行分析研究。HiddenDisc是专门为自动逆向分析协议的未知行为而设计的,它以虚拟平台TEMU为基础进行二次开发,扩展增加了4大主要功能部件,如图2所示。
本文需要从这些庞大的原始基本块中抽取核心指令序列,以提高安全分析的效率。使用本文自主开发的用户自定义API,就可以从原始基本块的解析过程中抽取出捕获到的行为指令序列。图3为从原始基本块中抽取有效行为指令序列的实例。去除指令地址、操作数、无关参数和无关指令,最终得到精简优化的只含有操作码的行为指令序列。
三、分析讨论
值得注意的是,文中上述所阐述的协议设计环节仅为理论层面的初步预想,但仍可采用对行为代码进行重组、变形等方式转换行为的表象形态,但对不同指令的划分与区别仍存在一定的难度。因此,在实际分类过程中采用聚类感知挖掘技术是保障协议行为科学性与合理性的有效措施。虽然此项技术在实际应用环节可以有效的分辨出隐形攻击的行为,但是对于此类攻击的判定仍存在较大的难度,仍需进行系统化的研究与分析后方可进行判别,需进行的行为分析研究的过程相对较长,进行研讨所花费的人力、物力、财力资源较多。时下,文章依据各类攻击行为的数据信息的长短进行行为安全性分析,所消耗的时间过长,也会使不同类型或隐性或显性的攻击行为冲击性更强。虽然部分攻击行为与安全行为间类型、内容、长度有所不同,但是此类行为在判断过程中极易造成类型误判。文中对于协议及各类攻击行为的研究分析仍处于理论层面,缺乏实际操作的深入研究,尚未形成明确的定义,加之各类协议的类型、形式、内容相对复杂,此项研究分析成果能否应用于所有协议行为尚且无法确定,仅供参考。
四、结语
本文提出了一种智能化的指令聚类方法,用于感知和挖掘大量未知协议中的隐形攻击行为。不同于以往的研究,本文的方案将动态污点分析和全新的指令聚类分析相结合,用来高效分析未知协议中的指令序列验证执行的结果和手动分析结果完全一致,表明本文提出的方案在效率和准确性方面都是理想的,达到了预期的目标。
参考文献:
[1]胡燕京,裴庆祺.网络协议隐形攻击行为的聚类感知挖掘[J].通信学报,2017,38(6):39-48.
[2]冯学伟,况晓辉,孙晓霞.一种基于概率转移的Cyber攻击场景感知推理技术[J].指挥与控制学报,2015,1(1):62-67.
[3]韩瑞.一种基于K均值聚类和PSO的无线传感器网络分簇路由协议研究[D].陕西师范大学,2015.