色欲av永久无码精品无码蜜桃,BBBBBXXXXX精品农村野

基于随机森林的命令混淆绕过检测研究

网络安全与数据治理 6期

戚臻彦，孙永清　　

（公安部第三研究所，上海200030）

摘要： 运维安全管理设备中的“命令过滤”功能只能过滤黑名单中的恶意代码，而无法有效识别并阻止使用特殊方法绕过该功能的行为。针对这一问题，提出了一种基于随机森林的算法，可以准确识别含有恶意代码的命令执行语句。首先，介绍了四种命令混淆绕过方法，它们用来规避黑名单中的关键词并进行命令执行。然后，为了解决这些风险，在模型的特征选择阶段将命令混淆代码纳入考虑范围，利用多种特征对模型进行训练并调整特征权重，以提高模型检测中对使用命令混淆攻击的识别率和准确度。实验结果表明，该方法能够及时识别并应对命令混淆攻击，从而更好地保证服务器安全运行。

關(guān)鍵詞： 命令混淆运维管理设备随机森林网络安全

中圖分類號：TP393
文獻標(biāo)識碼：A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式：戚臻彥，孫永清.基于隨機森林的命令混淆繞過檢測研究［J］.網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2023，42（6）：66-70.

Research on command obfuscation bypass detection based on random forest algorithm

Qi Zhenyan，Sun Yongqing

(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)

Abstract： The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.

Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0 前言

為了應(yīng)對當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全問題，各單位廣泛使用運維安全管理設(shè)備（也稱為堡壘機）來解決賬號權(quán)限集中、審計難度大、運維管理困難等問題?！禛B/T 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》［1］標(biāo)準(zhǔn)提出了安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全管理中心等新的要求。運維安全管理設(shè)備的各項功能均能快速滿足企業(yè)單位的需求，具有快速部署和管理權(quán)限分級等優(yōu)點，使各單位在滿足等級保護標(biāo)準(zhǔn)的同時，能夠達到維護自身網(wǎng)絡(luò)安全運行的目的。盡管運維安全管理設(shè)備的相關(guān)安全功能和技術(shù)不斷提高，但隨著對網(wǎng)絡(luò)安全的深入研究仍會發(fā)現(xiàn)其存在諸多安全問題，如命令執(zhí)行漏洞。

最近的研究表明，命令執(zhí)行漏洞是當(dāng)前計算機和網(wǎng)絡(luò)系統(tǒng)中的一個重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用。例如，文獻［2］提出一種目前常見的基于規(guī)則匹配的防御方式即WAF技術(shù)，但是其防御能力極大程度地依賴于規(guī)則的可靠性，容易發(fā)生誤報或漏報等問題。文獻［3］則針對JAVA靜態(tài)分析的漏洞，對漏洞進行了分析和驗證。文獻［4］提出針對移動網(wǎng)絡(luò)物理系統(tǒng)（如汽車、無人機和機器人車輛）的安全問題，開發(fā)了一種基于決策樹的命令注入檢測，該系統(tǒng)考慮了物理輸入特征和網(wǎng)絡(luò)輸入特征，顯著降低了假陽性率并提高了檢測準(zhǔn)確性。文獻［5］［6］提出了基于決策樹和貝葉斯算法的改進入侵檢測。文獻［7］提出了一種基于改進傳統(tǒng)Kmeans的異常檢測方法，并在UCI數(shù)據(jù)庫上進行了實驗。文獻［8］提出了一種基于改進隨機森林的算法，用于檢測異常流量，但是算法復(fù)雜度較高。而文獻［9］則提出一種基于改進隨機森林和深度殘差的IoT的入侵檢測方法，但是對未知攻擊的識別度不高。

基于上述研究的不足，本文首先提出了四種基于命令混淆的命令執(zhí)行漏洞繞過方法，以提高對未知攻擊的識別率，并降低漏報率；然后提出了一種基于隨機森林算法的檢測模型，通過特征提取和對算法的改進，使得運維安全管理設(shè)備的安全功能可以快速、高效地識別復(fù)雜的命令執(zhí)行攻擊。

本文詳細(xì)內(nèi)容請下載：http://ihrv.cn/resource/share/2000005376

作者信息：

戚臻彥，孫永清

（公安部第三研究所，上海200030）

微信圖片_20210517164139.jpg

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容