《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于隨機森林的命令混淆繞過檢測研究
基于隨機森林的命令混淆繞過檢測研究
網絡安全與數據治理 6期
戚臻彥,孫永清   
(公安部第三研究所,上海200030)
摘要: 運維安全管理設備中的“命令過濾”功能只能過濾黑名單中的惡意代碼,而無法有效識別并阻止使用特殊方法繞過該功能的行為。針對這一問題,提出了一種基于隨機森林的算法,可以準確識別含有惡意代碼的命令執行語句。首先,介紹了四種命令混淆繞過方法,它們用來規避黑名單中的關鍵詞并進行命令執行。然后,為了解決這些風險,在模型的特征選擇階段將命令混淆代碼納入考慮范圍,利用多種特征對模型進行訓練并調整特征權重,以提高模型檢測中對使用命令混淆攻擊的識別率和準確度。實驗結果表明,該方法能夠及時識別并應對命令混淆攻擊,從而更好地保證服務器安全運行。
中圖分類號:TP393
文獻標識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機森林的命令混淆繞過檢測研究[J].網絡安全與數據治理,2023,42(6):66-70.
Research on command obfuscation bypass detection based on random forest algorithm
Qi Zhenyan,Sun Yongqing
(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)
Abstract: The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.
Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0    前言

為了應對當下日益嚴峻的網絡安全問題,各單位廣泛使用運維安全管理設備(也稱為堡壘機)來解決賬號權限集中、審計難度大、運維管理困難等問題?!禛B/T 22239—2019 信息安全技術 網絡安全等級保護基本要求》[1]標準提出了安全通信網絡、安全計算環境和安全管理中心等新的要求。運維安全管理設備的各項功能均能快速滿足企業單位的需求,具有快速部署和管理權限分級等優點,使各單位在滿足等級保護標準的同時,能夠達到維護自身網絡安全運行的目的。盡管運維安全管理設備的相關安全功能和技術不斷提高,但隨著對網絡安全的深入研究仍會發現其存在諸多安全問題,如命令執行漏洞。

最近的研究表明,命令執行漏洞是當前計算機和網絡系統中的一個重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用。例如,文獻[2]提出一種目前常見的基于規則匹配的防御方式即WAF技術,但是其防御能力極大程度地依賴于規則的可靠性,容易發生誤報或漏報等問題。文獻[3]則針對JAVA靜態分析的漏洞,對漏洞進行了分析和驗證。文獻[4]提出針對移動網絡物理系統(如汽車、無人機和機器人車輛)的安全問題,開發了一種基于決策樹的命令注入檢測,該系統考慮了物理輸入特征和網絡輸入特征,顯著降低了假陽性率并提高了檢測準確性。文獻[5][6]提出了基于決策樹和貝葉斯算法的改進入侵檢測。文獻[7]提出了一種基于改進傳統Kmeans的異常檢測方法,并在UCI數據庫上進行了實驗。文獻[8]提出了一種基于改進隨機森林的算法,用于檢測異常流量,但是算法復雜度較高。而文獻[9]則提出一種基于改進隨機森林和深度殘差的IoT的入侵檢測方法,但是對未知攻擊的識別度不高。

基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執行漏洞繞過方法,以提高對未知攻擊的識別率,并降低漏報率;然后提出了一種基于隨機森林算法的檢測模型,通過特征提取和對算法的改進,使得運維安全管理設備的安全功能可以快速、高效地識別復雜的命令執行攻擊。


本文詳細內容請下載:http://www.xxav2194.com/resource/share/2000005376




作者信息:

戚臻彥,孫永清

(公安部第三研究所,上海200030)

微信圖片_20210517164139.jpg

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 久久亚洲AV成人无码| 人人妻人人爽人人澡欧美一区| 69国产成人综合久久精品91| 成人毛片100免费观看| 亚洲av无码一区二区三区鸳鸯影院| 男人边吃奶边做弄进去免费视频| 国产国语在线播放视频| 88xx成人永久免费观看| 玄兵chinesemoney| 国产啊v在线观看| 78期马会传真| 岛国片在线观看| 久久综合第一页| 欧美色图第三页| 北美伦理电线在2019| 91狼人社在线观看| 成人欧美一区二区三区视频| 久热中文字幕在线精品免费| 波多野结衣一道本| 国产成人免费全部网站| 99re热精品视频国产免费| 无码国产成人av在线播放| 人妻少妇被猛烈进入中文字幕 | 全免费a级毛片免费**视频| 99re最新视频| 成人口工漫画网站免费| 久久精品道一区二区三区| 欧美日韩在线观看一区二区| 免费一级国产生活片| 老司机精品福利在线| 国产成人手机高清在线观看网站| 91偷偷久久做嫩草电影院| 女人张腿给男人桶视频免费版| 久久99国产精品久久99果冻传媒| 狠狠久久精品中文字幕无码| 国产r67194吃奶视频| 99在线精品免费视频| 成年男女免费视频网站| 亚洲日韩久久综合中文字幕| 精品久久久久久无码中文字幕一区 | 精品国产日韩亚洲一区|