基于决策树的Webshell检测方法研究 被引量：28

1

作者 胡建康 徐震 +1 位作者 马多贺 杨婧 《网络新媒体技术》 2012年第6期15-19,共5页

Webshell是一种基于Web服务的后门程序。攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制。由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐... Webshell是一种基于Web服务的后门程序。攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制。由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐藏技术应用到Webshell上,使得传统基于特征码匹配的检测方式很难及时检测出新的变种。本文将讨论Webshell的特点和机理,分析其混淆隐藏技术,发掘其重要特征,提出并实现了一种基于决策树的检测模型。该模型是一种监督的机器学习系统,对先验网页样本进行学习,可有效检测出变异Webshell,弥补了传统基于特征匹配检测方法的不足,而结合集体学习方法 Boosting,可以增强该模型的稳定性,提高分类准确率。 展开更多

关键词 WEBSHELL 后门检测 决策树 BOOSTING

下载PDF 职称材料

基于网络攻击面自适应转换的移动目标防御技术 被引量：13

2

作者 雷程 马多贺 +2 位作者 张红旗 杨英杰 王利明 《计算机学报》 EI CSCD 北大核心 2018年第5期1109-1131,共23页

移动目标防御是一种改变网络空间攻防对抗格局的革命性技术,它通过动态改变攻击面使得目标网络更具弹性.网络跳变作为有效抵御主动扫描的防御方法,是实现移动目标防御的关键技术之一.现有跳变机制由于在空间上采用随机选取方法并在时域... 移动目标防御是一种改变网络空间攻防对抗格局的革命性技术,它通过动态改变攻击面使得目标网络更具弹性.网络跳变作为有效抵御主动扫描的防御方法,是实现移动目标防御的关键技术之一.现有跳变机制由于在空间上采用随机选取方法并在时域采用固定跳变周期,极大降低了跳变防御的不可预测性和时效性;与此同时,由于跳变实施过程缺乏约束且跳变部署复杂度高,因此增加了网络开销,降低了跳变防御的可用性和可扩展性.针对以上问题,文中提出了一种基于网络攻击面自适应转换的移动目标防御技术.为了实现网络跳变收益的最大化,在分层跳变的架构上设计了一种网络自适应跳变算法.它由网络威胁感知和跳变策略生成两部分组成.通过设计基于Sibson熵的威胁感知机制分析扫描攻击策略,以指导网络跳变机制的选择;基于网络攻击面和网络探测面定义了网络视图和视图距离,通过设计基于视图距离的跳变策略生成算法,选取使得视图距离最大的跳变端信息集合,以最大化跳变的不可预测性;此外,通过采用跳变周期自拉伸策略保证跳变的时效性.从而通过基于视图距离的跳变策略选取与可变的跳变周期制定实现网络攻击面时空二维的自适应转换,最大化防御收益.为了解决网络资源有限条件下的跳变实施问题,利用可满足性模理论形式化描述跳变实施的约束条件,以保证跳变实施的可用性;通过设计启发式跳变实施部署算法以提高部署效率,以保证跳变防御的可扩展性.最后,理论与实验分析了该技术抵御扫描攻击的能力和跳变成本,通过以不同类型的扫描攻击为例证明了该技术在保证网络服务质量的同时可有效抵御92.1%以上的主动扫描攻击. 展开更多

关键词 移动目标防御 网络攻击面 网络探测面 网络欺骗 网络视图 启发式跳变部署

下载PDF 职称材料

基于变点检测的网络移动目标防御效能评估方法 被引量：12

3

作者 雷程 马多贺 +2 位作者 张红旗 杨英杰 王淼 《通信学报》 EI CSCD 北大核心 2017年第1期126-140,共15页

提出一种基于变点检测的网络移动目标防御效能评估方法。针对网络资源图无法表示资源脆弱性对节点安全状态影响的问题,定义分层网络资源图,在建立资源脆弱性改变和节点安全状态转换关联关系的同时,提高构建和更新网络资源图的效率。针... 提出一种基于变点检测的网络移动目标防御效能评估方法。针对网络资源图无法表示资源脆弱性对节点安全状态影响的问题,定义分层网络资源图,在建立资源脆弱性改变和节点安全状态转换关联关系的同时,提高构建和更新网络资源图的效率。针对静态检测度量无法准确度量网络移动目标防御动态改变的问题,设计变点检测和标准化度量算法,在保证度量标准统一的基础上实现对网络移动目标防御的安全成本和安全收益的实时检测和动态度量,提高评估的准确性和结果的可比性。典型实例分析证明了所提出的网络移动目标防御效能评估方法的可行性和有效性。 展开更多

关键词 网络移动目标防御 分层网络资源图 变点检测 标准化度量 效能评估

下载PDF 职称材料

基于最优路径跳变的网络移动目标防御技术 被引量：10

4

作者 雷程 马多贺 +2 位作者 张红旗 韩琦 杨英杰 《通信学报》 EI CSCD 北大核心 2017年第3期133-143,共11页

移动目标防御(MTD,moving target defense)是一种改变网络攻防对抗格局的技术,路径跳变则是该领域的研究热点之一。针对现有路径跳变技术,由于路径选取存在盲目性,跳变实施缺乏约束性,难以在保证网络性能的同时最大化防御收益等问题,提... 移动目标防御(MTD,moving target defense)是一种改变网络攻防对抗格局的技术,路径跳变则是该领域的研究热点之一。针对现有路径跳变技术,由于路径选取存在盲目性,跳变实施缺乏约束性,难以在保证网络性能的同时最大化防御收益等问题,提出基于最优路径跳变的网络移动目标防御技术。通过可满足性模理论形式化规约路径跳变所需满足的约束,以防止路径跳变引起的瞬态问题;通过基于安全容量矩阵的最优路径跳变生成方法选取最优跳变路径和跳变周期组合,以实现防御收益的最大化。理论与实验分析了该技术抵御被动监听攻击的成本和收益,证明其在保证网络性能的同时实现了跳变收益的最大化。 展开更多

关键词 移动目标防御 路径跳变 可满足性模理论 瞬态问题 安全容量矩阵 防御收益最大化

下载PDF 职称材料

基于正交编码的大数据纯文本水印方法 被引量：5

5

作者 李兆璨 王利明 +2 位作者 葛思江 马多贺 秦勃 《计算机科学》 CSCD 北大核心 2019年第12期148-154,共7页

数据泄露是大数据应用面临的重要挑战之一。数字水印技术是实现数据追踪和版权保护的有效手段。当前的数字水印方法主要针对终端用户的多媒体文件流转场景,如图像、音视频等,缺少面向大数据环境的文本数据泄露防护的数字水印研究。文中... 数据泄露是大数据应用面临的重要挑战之一。数字水印技术是实现数据追踪和版权保护的有效手段。当前的数字水印方法主要针对终端用户的多媒体文件流转场景,如图像、音视频等,缺少面向大数据环境的文本数据泄露防护的数字水印研究。文中提出了一种基于正交编码的大数据纯文本水印方法,该方法通过编码将明文水印转换为二进制字节流,设计基于行散列值和基于行序置换的正交编码水印方法。首先对二进制水印串分段,按照每行内容的散列值计算待嵌入水印段号,将对应水印段按照自定义规则转换为不可见字符串后嵌入到文本行末;再调整行序,使得每行内容的散列值与加入标志位的二进制水印串对应,以此将水印嵌入大数据纯文本中。水印提取方法为嵌入方法的逆过程。所提方法能够抵抗大数据环境下复杂数据行序变换运算等操作对水印的破坏,同时通过嵌入脆弱水印来达到文本篡改检测的效果。基于所提方法设计并实现了一个大数据纯文本水印系统,采用Spark分布式处理架构来解决海量文本的水印嵌入和提取性能问题,达到了对数据泄露快速追踪溯源的目的,提高了大数据的安全性。实验和理论分析证明,该方法具有较好的水印容量性能和良好的隐蔽性,同时能够抵御多种内容攻击;由于纯文本没有格式,格式攻击对该方法无效,其具有良好的鲁棒性。 展开更多

关键词 数字水印 纯文本 正交 大数据 追踪溯源

下载PDF 职称材料

基于POF的网络窃听攻击移动目标防御方法 被引量：5

6

作者 马多贺 李琼 林东岱 《通信学报》 EI CSCD 北大核心 2018年第2期73-87,共15页

网络窃听攻击是网络通信安全的重大威胁,它具有隐蔽性和无干扰性的特点,很难通过传统的流量特征识别的被动防御方法检测到。而现有的路径加密和动态地址等方法只能混淆网络协议的部分字段,不能形成全面的防护。提出一种基于协议无感知转... 网络窃听攻击是网络通信安全的重大威胁,它具有隐蔽性和无干扰性的特点,很难通过传统的流量特征识别的被动防御方法检测到。而现有的路径加密和动态地址等方法只能混淆网络协议的部分字段,不能形成全面的防护。提出一种基于协议无感知转发(POF,protocol-oblivious forwarding)技术的移动目标防御(MTD,moving target defense)方法,通过私有协议分组随机化策略和动态路径欺骗分组随机丢弃策略,大大提高攻击者实施网络窃听的难度,保障网络通信过程的隐私性。通过实验验证和理论分析证明了该方法的有效性。 展开更多

关键词 移动目标防御 窃听攻击 协议栈随机化 网络空间欺骗 协议无感知转发

下载PDF 职称材料

一种基于容器的安全云计算平台设计 被引量：4

7

作者 孔同 王利明 +2 位作者 徐震 欧悯洁 马多贺 《科研信息化技术与应用》 2017年第1期10-18,共9页

平台即服务是云计算中极为重要的一种服务模式,近年来,容器技术作为一种操作系统级的虚拟化技术,逐渐融入到云计算领域中,为Paa S的构建提供了良好的支持。容器技术在云计算领域具有诸多优势的同时也面临着非常多的安全问题,如权限突破... 平台即服务是云计算中极为重要的一种服务模式,近年来,容器技术作为一种操作系统级的虚拟化技术,逐渐融入到云计算领域中,为Paa S的构建提供了良好的支持。容器技术在云计算领域具有诸多优势的同时也面临着非常多的安全问题,如权限突破和信息泄露等问题时刻威胁着系统的安全性和稳定性,其重要性和紧迫性不容忽视。本文阐述了容器的概念和特点,介绍了容器面临的安全问题和国内外研究现状。为了解决公共云平台中由容器向系统进行攻击的相关安全问题,提出了一种基于容器的安全云计算平台安全,实现了租户的安全隔离和行为监控分析,并对其架构和关键技术进行了介绍。 展开更多

关键词 容器 云计算 安全防护

原文传递

基于熵变的多租户云内DDoS检测方法研究 被引量：3

8

作者 王淼 王利明 +1 位作者 徐震 马多贺 《通信学报》 EI CSCD 北大核心 2016年第S1期204-210,共7页

分布式拒绝服务(DDoS)是攻击者通过入侵云内虚拟机组成攻击网络,以威胁多租户云系统安全的攻击。多租户云系统DDoS攻击检测难点在于如何确定攻击源虚拟机和攻击目标,尤其当攻击目标为云内主机时。提出一种基于熵度量的DDoS攻击检测方法... 分布式拒绝服务(DDoS)是攻击者通过入侵云内虚拟机组成攻击网络,以威胁多租户云系统安全的攻击。多租户云系统DDoS攻击检测难点在于如何确定攻击源虚拟机和攻击目标,尤其当攻击目标为云内主机时。提出一种基于熵度量的DDoS攻击检测方法,根据云环境特点在优先定位攻击源基础上再确定攻击目标,检测多租户云系统内发起的DDoS攻击。提出分布式检测架构,利用检测代理发现潜在攻击源端的可疑攻击流量,检测服务器识别DDoS攻击的真正攻击流。理论和实验分析验证了提出方法的可行性和有效性。 展开更多

关键词 分布式拒绝服务攻击 攻击检测 多租户 云计算系统 熵

下载PDF 职称材料

面向AIGC对抗的人脸深度伪造检测方法研究 被引量：1

9

作者 王新哲 杨建 马多贺 《工业信息安全》 2022年第11期35-45,共11页

深度学习的发展使得AI深度伪造技术日臻完善,特别是AIGC技术利用海量数据训练后生成的伪造人脸真假难辨,对个人隐私和社会安全构成了潜在威胁。人脸伪造是AI深度伪造的一个重要分支,分析人脸深度伪造的有关原理和检测方法,有助于应对人... 深度学习的发展使得AI深度伪造技术日臻完善,特别是AIGC技术利用海量数据训练后生成的伪造人脸真假难辨,对个人隐私和社会安全构成了潜在威胁。人脸伪造是AI深度伪造的一个重要分支,分析人脸深度伪造的有关原理和检测方法,有助于应对人脸深度伪造所带来的负面影响。本文主要从深度伪造生成人脸及其检测两个方向进行了相关研究,全面地分析当前人脸伪造生成的方法和检测的方法,对于进行AIGC对抗以及人工智能安全保护具有指导意义。 展开更多

关键词 人脸深度伪造 人脸深度伪造检测 深度学习

下载PDF 职称材料

云计算网络中基于隔离边界的安全审计体系研究 被引量：1

10

作者 葛思江 王利明 +1 位作者 李兆璨 马多贺 《智能计算机与应用》 2019年第3期16-22,共7页

云计算市场规模逐年上升,其所面临的安全问题也越来越受到人们的关注。在云计算环境中,若网络隔离机制失效,恶意租户突破边界发起非法访问,将使云中数据资产和隐私面临巨大的安全风险。因此,本文提出一种面向云计算网络隔离边界的全周... 云计算市场规模逐年上升,其所面临的安全问题也越来越受到人们的关注。在云计算环境中,若网络隔离机制失效,恶意租户突破边界发起非法访问,将使云中数据资产和隐私面临巨大的安全风险。因此,本文提出一种面向云计算网络隔离边界的全周期安全审计体系,以期及时发现云中隔离失效的安全威胁,从而增强云平台安全能力。 展开更多

关键词 云计算 网络隔离 安全审计

下载PDF 职称材料

SDN：“信息安全”定义网络——Open Flow安全分析

11

作者 马多贺 《程序员》 2013年第6期60-64,共5页

每项新IT技术的出现，必然会带来新的信息安全问题，OpenFlow也不例外。以OpenFlow技术为代表的SDN概念，能以多快的速度或多大范围对传统网络产生颠覆性的变革，取决于OpenFlow解决其自身安全问题的程度。在对OpenFlow的安全分析的过... 每项新IT技术的出现，必然会带来新的信息安全问题，OpenFlow也不例外。以OpenFlow技术为代表的SDN概念，能以多快的速度或多大范围对传统网络产生颠覆性的变革，取决于OpenFlow解决其自身安全问题的程度。在对OpenFlow的安全分析的过程中，我们不仅看到了未来网络全新的安全挑战，也看到了信息安全的新机遇。 展开更多

关键词 信息安全 传统网络 安全分析 SDN OPEN FLOW 定义 IT技术

下载PDF 职称材料

一种网页挂马攻击中的重定向混淆检测方法

12

作者 郭川 李晓峰 +1 位作者 马多贺 徐震 《网络新媒体技术》 2014年第3期21-27,共7页

当前关于网页挂马攻击检测的研究集中于静态检测方法和动态检测方法,但随着Web应用中动态交互技术及代码混淆技术的大量应用,静态检测方法效果已不明显,同时动态检测方法往往耗时过多。本文在总结当前关于网页挂马攻击检测研究的基础上... 当前关于网页挂马攻击检测的研究集中于静态检测方法和动态检测方法,但随着Web应用中动态交互技术及代码混淆技术的大量应用,静态检测方法效果已不明显,同时动态检测方法往往耗时过多。本文在总结当前关于网页挂马攻击检测研究的基础上,提出网页挂马攻击中的JavaScript重定向混淆检测方法,并基于开源JavaScript脚本引擎SpiderMonkey进行设计与实现。此方法可有效解决网页挂马攻击中的JavaScript脚本重定向混淆问题,也可作为低交互客户端蜜罐与高交互客户端蜜罐结合使用提高检测效率。 展开更多

关键词 网页挂马攻击 JavaScript混淆 网页重定向 SpiderMonkey低交互客户端蜜罐

下载PDF 职称材料

一种基于云的Web应用安全服务

13

作者 姜帆 徐震 马多贺 《科研信息化技术与应用》 2015年第1期55-63,共9页

安全云服务的核心思想是借助云计算的高可靠性、弹性扩容、按需定制的特点,将传统硬件网络安全功能虚拟化,以服务的形式对外提供安全防护能力。目前该服务技术和研究处于初期发展阶段,在技术概念、实施架构以及拓展应用方面还没有统一... 安全云服务的核心思想是借助云计算的高可靠性、弹性扩容、按需定制的特点,将传统硬件网络安全功能虚拟化,以服务的形式对外提供安全防护能力。目前该服务技术和研究处于初期发展阶段,在技术概念、实施架构以及拓展应用方面还没有统一的界定,因此开展安全云服务技术和应用研究具有重要的理论和实践意义。本文以中国科学院信息保障示范工程"Web应用安全云服务平台"为实践背景,首先明确阐述安全云服务的概念、特征、应用领域及国内外发展现状,然后针对Web应用的安全,提出基础架构设计及关键技术,并描述该架构下具体应用的实践效果。 展开更多

关键词 安全云服务 云计算 WEB安全

原文传递

基于主动欺骗的反勒索软件方法

14

作者 陈凯 马多贺 +1 位作者 唐志敏 DAI Jun 《通信学报》 EI CSCD 北大核心 2024年第7期148-158,共11页

考虑到勒索软件对数据安全构成的严重威胁及其攻击手段的日益智能化和复杂化,针对传统防御方法的局限性,提出了一种基于主动欺骗的反勒索软件方法。结合静态启发式算法和动态启发式算法对欺骗文件进行动态部署,在此基础上建立了基于主... 考虑到勒索软件对数据安全构成的严重威胁及其攻击手段的日益智能化和复杂化,针对传统防御方法的局限性,提出了一种基于主动欺骗的反勒索软件方法。结合静态启发式算法和动态启发式算法对欺骗文件进行动态部署,在此基础上建立了基于主动欺骗的动态文件安全模型。针对不同风险级别的勒索软件,采用不同的策略生成动态欺骗文件,通过模拟真实数据的特征来迷惑勒索软件,使其无法区分真实数据和欺骗数据,从而保护用户的真实数据不被加密或破坏。实验结果表明,所提方法有效增加了文件的动态性、多样性和欺骗性,大幅扩展了数据攻击面的转换空间,能够有效地抵御勒索软件攻击。 展开更多

关键词 主动欺骗 反勒索软件 数据攻击面 数据欺骗

下载PDF 职称材料

面向软件定义网络的入侵容忍控制器架构及实现 被引量：4

15

作者 黄亮 姜帆 +2 位作者 荀浩 马多贺 王利明 《计算机应用》 CSCD 北大核心 2015年第12期3429-3436,共8页

针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制... 针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制器。首先,规定了需比对的关键消息类型和字段;其次,运用一致性裁决算法对不同控制器消息进行比对;最后,将消息异常的控制器进行网络隔离并重启恢复。基于Mininet的入侵容忍可靠性测试表明,该入侵容忍控制器架构可检测并过滤异常控制器消息。基于Mininet的控制器响应延迟测试表明,当容忍度设置为1和3时,下层网络请求延时分别增加16%和42%。基于Cbench的控制器响应延迟和吞吐量测试表明,该入侵容忍控制器性能处在各个子控制器(Ryu,Floodlight)性能水平之间,且向性能高的子控制器趋近。在实际应用中,可根据应用场景的安全级别配置子控制器的数量和类型,以满足对响应速度和入侵容忍度的要求。 展开更多

关键词 软件定义网络 入侵容忍 控制器 一致性检测 消息比对

下载PDF 职称材料

网络空间移动目标防御研究

16

作者 孔同 马多贺 朱倩倩 《工业信息安全》 2022年第8期12-20,共9页

网络系统的静态特点可以保证其运行的稳定性,但是这也为攻击者对目标系统的探查提供了优势。移动目标防御为解决这一问题提供了一种新的思路,其主要思想是对目标系统的攻击面实施持续性的动态变换,以减少攻击者识别攻击目标的机会,从而... 网络系统的静态特点可以保证其运行的稳定性,但是这也为攻击者对目标系统的探查提供了优势。移动目标防御为解决这一问题提供了一种新的思路,其主要思想是对目标系统的攻击面实施持续性的动态变换,以减少攻击者识别攻击目标的机会,从而为攻击者带来不确定性和不可预测性,提高攻击者的攻击复杂度和时间成本,降低其攻击成功的概率,提高系统安全性。因此,深入研究该技术对我国网络空间发展及网络安全保障具有重要意义。主要对移动目标防御的基本概念进行了介绍,讨论了此类系统的有效性指标,然后对现有的研究成果进行分析总结,并对未来发展前景进行了展望。 展开更多

关键词 网络空间安全 计算机安全 移动目标防御 主动防御技术

下载PDF 职称材料