《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于隨機(jī)森林的命令混淆繞過(guò)檢測(cè)研究
基于隨機(jī)森林的命令混淆繞過(guò)檢測(cè)研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 6期
戚臻彥,孫永清   
(公安部第三研究所,上海200030)
摘要: 運(yùn)維安全管理設(shè)備中的“命令過(guò)濾”功能只能過(guò)濾黑名單中的惡意代碼,而無(wú)法有效識(shí)別并阻止使用特殊方法繞過(guò)該功能的行為。針對(duì)這一問(wèn)題,提出了一種基于隨機(jī)森林的算法,可以準(zhǔn)確識(shí)別含有惡意代碼的命令執(zhí)行語(yǔ)句。首先,介紹了四種命令混淆繞過(guò)方法,它們用來(lái)規(guī)避黑名單中的關(guān)鍵詞并進(jìn)行命令執(zhí)行。然后,為了解決這些風(fēng)險(xiǎn),在模型的特征選擇階段將命令混淆代碼納入考慮范圍,利用多種特征對(duì)模型進(jìn)行訓(xùn)練并調(diào)整特征權(quán)重,以提高模型檢測(cè)中對(duì)使用命令混淆攻擊的識(shí)別率和準(zhǔn)確度。實(shí)驗(yàn)結(jié)果表明,該方法能夠及時(shí)識(shí)別并應(yīng)對(duì)命令混淆攻擊,從而更好地保證服務(wù)器安全運(yùn)行。
中圖分類(lèi)號(hào):TP393
文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機(jī)森林的命令混淆繞過(guò)檢測(cè)研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(6):66-70.
Research on command obfuscation bypass detection based on random forest algorithm
Qi Zhenyan,Sun Yongqing
(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)
Abstract: The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.
Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0    前言

為了應(yīng)對(duì)當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題,各單位廣泛使用運(yùn)維安全管理設(shè)備(也稱為堡壘機(jī))來(lái)解決賬號(hào)權(quán)限集中、審計(jì)難度大、運(yùn)維管理困難等問(wèn)題?!禛B/T 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[1]標(biāo)準(zhǔn)提出了安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全管理中心等新的要求。運(yùn)維安全管理設(shè)備的各項(xiàng)功能均能快速滿足企業(yè)單位的需求,具有快速部署和管理權(quán)限分級(jí)等優(yōu)點(diǎn),使各單位在滿足等級(jí)保護(hù)標(biāo)準(zhǔn)的同時(shí),能夠達(dá)到維護(hù)自身網(wǎng)絡(luò)安全運(yùn)行的目的。盡管運(yùn)維安全管理設(shè)備的相關(guān)安全功能和技術(shù)不斷提高,但隨著對(duì)網(wǎng)絡(luò)安全的深入研究仍會(huì)發(fā)現(xiàn)其存在諸多安全問(wèn)題,如命令執(zhí)行漏洞。

最近的研究表明,命令執(zhí)行漏洞是當(dāng)前計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中的一個(gè)重要安全問(wèn)題。許多研究人員和公司都致力于尋找一種有效方法來(lái)防止這些漏洞的利用。例如,文獻(xiàn)[2]提出一種目前常見(jiàn)的基于規(guī)則匹配的防御方式即WAF技術(shù),但是其防御能力極大程度地依賴于規(guī)則的可靠性,容易發(fā)生誤報(bào)或漏報(bào)等問(wèn)題。文獻(xiàn)[3]則針對(duì)JAVA靜態(tài)分析的漏洞,對(duì)漏洞進(jìn)行了分析和驗(yàn)證。文獻(xiàn)[4]提出針對(duì)移動(dòng)網(wǎng)絡(luò)物理系統(tǒng)(如汽車(chē)、無(wú)人機(jī)和機(jī)器人車(chē)輛)的安全問(wèn)題,開(kāi)發(fā)了一種基于決策樹(shù)的命令注入檢測(cè),該系統(tǒng)考慮了物理輸入特征和網(wǎng)絡(luò)輸入特征,顯著降低了假陽(yáng)性率并提高了檢測(cè)準(zhǔn)確性。文獻(xiàn)[5][6]提出了基于決策樹(shù)和貝葉斯算法的改進(jìn)入侵檢測(cè)。文獻(xiàn)[7]提出了一種基于改進(jìn)傳統(tǒng)Kmeans的異常檢測(cè)方法,并在UCI數(shù)據(jù)庫(kù)上進(jìn)行了實(shí)驗(yàn)。文獻(xiàn)[8]提出了一種基于改進(jìn)隨機(jī)森林的算法,用于檢測(cè)異常流量,但是算法復(fù)雜度較高。而文獻(xiàn)[9]則提出一種基于改進(jìn)隨機(jī)森林和深度殘差的IoT的入侵檢測(cè)方法,但是對(duì)未知攻擊的識(shí)別度不高。

基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執(zhí)行漏洞繞過(guò)方法,以提高對(duì)未知攻擊的識(shí)別率,并降低漏報(bào)率;然后提出了一種基于隨機(jī)森林算法的檢測(cè)模型,通過(guò)特征提取和對(duì)算法的改進(jìn),使得運(yùn)維安全管理設(shè)備的安全功能可以快速、高效地識(shí)別復(fù)雜的命令執(zhí)行攻擊。


本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000005376




作者信息:

戚臻彥,孫永清

(公安部第三研究所,上海200030)

微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。