文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機(jī)森林的命令混淆繞過檢測研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(6):66-70.
0 前言
為了應(yīng)對當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全問題,各單位廣泛使用運(yùn)維安全管理設(shè)備(也稱為堡壘機(jī))來解決賬號(hào)權(quán)限集中、審計(jì)難度大、運(yùn)維管理困難等問題。《GB/T 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[1]標(biāo)準(zhǔn)提出了安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全管理中心等新的要求。運(yùn)維安全管理設(shè)備的各項(xiàng)功能均能快速滿足企業(yè)單位的需求,具有快速部署和管理權(quán)限分級(jí)等優(yōu)點(diǎn),使各單位在滿足等級(jí)保護(hù)標(biāo)準(zhǔn)的同時(shí),能夠達(dá)到維護(hù)自身網(wǎng)絡(luò)安全運(yùn)行的目的。盡管運(yùn)維安全管理設(shè)備的相關(guān)安全功能和技術(shù)不斷提高,但隨著對網(wǎng)絡(luò)安全的深入研究仍會(huì)發(fā)現(xiàn)其存在諸多安全問題,如命令執(zhí)行漏洞。
最近的研究表明,命令執(zhí)行漏洞是當(dāng)前計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中的一個(gè)重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用。例如,文獻(xiàn)[2]提出一種目前常見的基于規(guī)則匹配的防御方式即WAF技術(shù),但是其防御能力極大程度地依賴于規(guī)則的可靠性,容易發(fā)生誤報(bào)或漏報(bào)等問題。文獻(xiàn)[3]則針對JAVA靜態(tài)分析的漏洞,對漏洞進(jìn)行了分析和驗(yàn)證。文獻(xiàn)[4]提出針對移動(dòng)網(wǎng)絡(luò)物理系統(tǒng)(如汽車、無人機(jī)和機(jī)器人車輛)的安全問題,開發(fā)了一種基于決策樹的命令注入檢測,該系統(tǒng)考慮了物理輸入特征和網(wǎng)絡(luò)輸入特征,顯著降低了假陽性率并提高了檢測準(zhǔn)確性。文獻(xiàn)[5][6]提出了基于決策樹和貝葉斯算法的改進(jìn)入侵檢測。文獻(xiàn)[7]提出了一種基于改進(jìn)傳統(tǒng)Kmeans的異常檢測方法,并在UCI數(shù)據(jù)庫上進(jìn)行了實(shí)驗(yàn)。文獻(xiàn)[8]提出了一種基于改進(jìn)隨機(jī)森林的算法,用于檢測異常流量,但是算法復(fù)雜度較高。而文獻(xiàn)[9]則提出一種基于改進(jìn)隨機(jī)森林和深度殘差的IoT的入侵檢測方法,但是對未知攻擊的識(shí)別度不高。
基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執(zhí)行漏洞繞過方法,以提高對未知攻擊的識(shí)別率,并降低漏報(bào)率;然后提出了一種基于隨機(jī)森林算法的檢測模型,通過特征提取和對算法的改進(jìn),使得運(yùn)維安全管理設(shè)備的安全功能可以快速、高效地識(shí)別復(fù)雜的命令執(zhí)行攻擊。
本文詳細(xì)內(nèi)容請下載:http://www.jysgc.com/resource/share/2000005376
作者信息:
戚臻彥,孫永清
(公安部第三研究所,上海200030)
