《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于隨機(jī)森林的命令混淆繞過檢測研究
基于隨機(jī)森林的命令混淆繞過檢測研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 6期
戚臻彥,孫永清   
(公安部第三研究所,,上海200030)
摘要: 運(yùn)維安全管理設(shè)備中的“命令過濾”功能只能過濾黑名單中的惡意代碼,,而無法有效識別并阻止使用特殊方法繞過該功能的行為,。針對這一問題,,提出了一種基于隨機(jī)森林的算法,,可以準(zhǔn)確識別含有惡意代碼的命令執(zhí)行語句,。首先,,介紹了四種命令混淆繞過方法,,它們用來規(guī)避黑名單中的關(guān)鍵詞并進(jìn)行命令執(zhí)行。然后,,為了解決這些風(fēng)險(xiǎn),,在模型的特征選擇階段將命令混淆代碼納入考慮范圍,利用多種特征對模型進(jìn)行訓(xùn)練并調(diào)整特征權(quán)重,,以提高模型檢測中對使用命令混淆攻擊的識別率和準(zhǔn)確度,。實(shí)驗(yàn)結(jié)果表明,該方法能夠及時(shí)識別并應(yīng)對命令混淆攻擊,,從而更好地保證服務(wù)器安全運(yùn)行,。
中圖分類號:TP393
文獻(xiàn)標(biāo)識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機(jī)森林的命令混淆繞過檢測研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2023,,42(6):66-70.
Research on command obfuscation bypass detection based on random forest algorithm
Qi Zhenyan,Sun Yongqing
(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)
Abstract: The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.
Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0    前言

為了應(yīng)對當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全問題,,各單位廣泛使用運(yùn)維安全管理設(shè)備(也稱為堡壘機(jī))來解決賬號權(quán)限集中,、審計(jì)難度大、運(yùn)維管理困難等問題,?!禛B/T 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》[1]標(biāo)準(zhǔn)提出了安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全管理中心等新的要求。運(yùn)維安全管理設(shè)備的各項(xiàng)功能均能快速滿足企業(yè)單位的需求,,具有快速部署和管理權(quán)限分級等優(yōu)點(diǎn),,使各單位在滿足等級保護(hù)標(biāo)準(zhǔn)的同時(shí),能夠達(dá)到維護(hù)自身網(wǎng)絡(luò)安全運(yùn)行的目的,。盡管運(yùn)維安全管理設(shè)備的相關(guān)安全功能和技術(shù)不斷提高,,但隨著對網(wǎng)絡(luò)安全的深入研究仍會發(fā)現(xiàn)其存在諸多安全問題,如命令執(zhí)行漏洞,。

最近的研究表明,,命令執(zhí)行漏洞是當(dāng)前計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中的一個(gè)重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用,。例如,,文獻(xiàn)[2]提出一種目前常見的基于規(guī)則匹配的防御方式即WAF技術(shù),但是其防御能力極大程度地依賴于規(guī)則的可靠性,,容易發(fā)生誤報(bào)或漏報(bào)等問題,。文獻(xiàn)[3]則針對JAVA靜態(tài)分析的漏洞,對漏洞進(jìn)行了分析和驗(yàn)證,。文獻(xiàn)[4]提出針對移動(dòng)網(wǎng)絡(luò)物理系統(tǒng)(如汽車,、無人機(jī)和機(jī)器人車輛)的安全問題,開發(fā)了一種基于決策樹的命令注入檢測,,該系統(tǒng)考慮了物理輸入特征和網(wǎng)絡(luò)輸入特征,,顯著降低了假陽性率并提高了檢測準(zhǔn)確性。文獻(xiàn)[5][6]提出了基于決策樹和貝葉斯算法的改進(jìn)入侵檢測,。文獻(xiàn)[7]提出了一種基于改進(jìn)傳統(tǒng)Kmeans的異常檢測方法,,并在UCI數(shù)據(jù)庫上進(jìn)行了實(shí)驗(yàn)。文獻(xiàn)[8]提出了一種基于改進(jìn)隨機(jī)森林的算法,,用于檢測異常流量,,但是算法復(fù)雜度較高。而文獻(xiàn)[9]則提出一種基于改進(jìn)隨機(jī)森林和深度殘差的IoT的入侵檢測方法,,但是對未知攻擊的識別度不高,。

基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執(zhí)行漏洞繞過方法,,以提高對未知攻擊的識別率,,并降低漏報(bào)率;然后提出了一種基于隨機(jī)森林算法的檢測模型,,通過特征提取和對算法的改進(jìn),,使得運(yùn)維安全管理設(shè)備的安全功能可以快速、高效地識別復(fù)雜的命令執(zhí)行攻擊,。


本文詳細(xì)內(nèi)容請下載:http://forexkbc.com/resource/share/2000005376




作者信息:

戚臻彥,,孫永清

(公安部第三研究所,,上海200030)

微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。