《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于隨機森林的命令混淆繞過檢測研究
基于隨機森林的命令混淆繞過檢測研究
網絡安全與數據治理 6期
戚臻彥,孫永清   
(公安部第三研究所,上海200030)
摘要: 運維安全管理設備中的“命令過濾”功能只能過濾黑名單中的惡意代碼,而無法有效識別并阻止使用特殊方法繞過該功能的行為。針對這一問題,提出了一種基于隨機森林的算法,可以準確識別含有惡意代碼的命令執(zhí)行語句。首先,介紹了四種命令混淆繞過方法,它們用來規(guī)避黑名單中的關鍵詞并進行命令執(zhí)行。然后,為了解決這些風險,在模型的特征選擇階段將命令混淆代碼納入考慮范圍,利用多種特征對模型進行訓練并調整特征權重,以提高模型檢測中對使用命令混淆攻擊的識別率和準確度。實驗結果表明,該方法能夠及時識別并應對命令混淆攻擊,從而更好地保證服務器安全運行。
中圖分類號:TP393
文獻標識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機森林的命令混淆繞過檢測研究[J].網絡安全與數據治理,2023,42(6):66-70.
Research on command obfuscation bypass detection based on random forest algorithm
Qi Zhenyan,Sun Yongqing
(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)
Abstract: The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.
Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0    前言

為了應對當下日益嚴峻的網絡安全問題,各單位廣泛使用運維安全管理設備(也稱為堡壘機)來解決賬號權限集中、審計難度大、運維管理困難等問題?!禛B/T 22239—2019 信息安全技術 網絡安全等級保護基本要求》[1]標準提出了安全通信網絡、安全計算環(huán)境和安全管理中心等新的要求。運維安全管理設備的各項功能均能快速滿足企業(yè)單位的需求,具有快速部署和管理權限分級等優(yōu)點,使各單位在滿足等級保護標準的同時,能夠達到維護自身網絡安全運行的目的。盡管運維安全管理設備的相關安全功能和技術不斷提高,但隨著對網絡安全的深入研究仍會發(fā)現其存在諸多安全問題,如命令執(zhí)行漏洞。

最近的研究表明,命令執(zhí)行漏洞是當前計算機和網絡系統中的一個重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用。例如,文獻[2]提出一種目前常見的基于規(guī)則匹配的防御方式即WAF技術,但是其防御能力極大程度地依賴于規(guī)則的可靠性,容易發(fā)生誤報或漏報等問題。文獻[3]則針對JAVA靜態(tài)分析的漏洞,對漏洞進行了分析和驗證。文獻[4]提出針對移動網絡物理系統(如汽車、無人機和機器人車輛)的安全問題,開發(fā)了一種基于決策樹的命令注入檢測,該系統考慮了物理輸入特征和網絡輸入特征,顯著降低了假陽性率并提高了檢測準確性。文獻[5][6]提出了基于決策樹和貝葉斯算法的改進入侵檢測。文獻[7]提出了一種基于改進傳統Kmeans的異常檢測方法,并在UCI數據庫上進行了實驗。文獻[8]提出了一種基于改進隨機森林的算法,用于檢測異常流量,但是算法復雜度較高。而文獻[9]則提出一種基于改進隨機森林和深度殘差的IoT的入侵檢測方法,但是對未知攻擊的識別度不高。

基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執(zhí)行漏洞繞過方法,以提高對未知攻擊的識別率,并降低漏報率;然后提出了一種基于隨機森林算法的檢測模型,通過特征提取和對算法的改進,使得運維安全管理設備的安全功能可以快速、高效地識別復雜的命令執(zhí)行攻擊。


本文詳細內容請下載:http://ihrv.cn/resource/share/2000005376




作者信息:

戚臻彥,孫永清

(公安部第三研究所,上海200030)

微信圖片_20210517164139.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。