原标题:【网安学术】以未知对未知—智能安全自我进化

图片发自简书app

www.mg4355.com 1

www.mg4355.com 2

人生就像蒲公英

随着智能家居的普及,智能门锁多摆脱了传统钥匙的束缚,以磁卡、电子密码、指纹或多种识别方式结合的方式开锁,相对于传统机械锁存在钥匙丢失、忘带的情况,智能电子密码锁与指纹锁更为便利,成为越来越多人的选择。但便利一定安全么?智能门锁和传统机械锁工作原理有何…

摘要:网络空间第三次浪潮的出现,给原来静态防御、边界防护、基于特征匹配的网络安全思路和技术带来了新的挑战。为应对这次变革,提出了“以未知对未知”的智能防御理念,主要是针对新时代特性,构建基于人类免疫系统理念网络空间安全生态体系,利用人工智能算法在生成对抗网络中具备自主进化迭代的优势,通过不断学习每个网络、设备、用户的终生模式和关联分析,自主识别、拦截异常攻击,与受保护网络空间其他系统相互协调,共同维持网络空间内部环境稳定、健康、可控、安全与运行平衡。

看似自由

随着智能家居的普及,智能门锁多摆脱了传统钥匙的束缚,以磁卡、电子密码、指纹或多种识别方式结合的方式开锁,相对于传统机械锁存在钥匙丢失、忘带的情况,智能电子密码锁与指纹锁更为便利,成为越来越多人的选择。

0 引 言

却身不由己

但便利一定安全么?智能门锁和传统机械锁工作原理有何区别?面对市面上品牌复杂的智能门锁要如何选购?

以信息技术为代表的新一轮科技和产业革命给世界各国主权、安全、发展利益带来了许多新的挑战。近年来,国家级网络武器及其相关工具和技术的扩散,给各国关键基础设施造成了极大挑战。当前,全球互联网治理体系变革进入关键时期,构建网络空间命运共同体日益成为国际社会的广泛共识。

永远不知道自己的终点在哪?

关于锁芯级别

全球网络攻击事件统计(如图1所示)显示,未知威胁攻击、Account
Hijacking账户劫持攻击、Targeted
Attack针对性攻击、DDoS攻击,攻击比例上呈逐年上升趋势。国计民生的基础设施系统是攻击的重点领域,其中涉及金融、能源、交通等,其目标性、隐蔽性极强,传统的消缺补漏、静态防御、“封、堵、查、杀”在这些攻击面前捉襟见肘。

不管是机械锁还是智能锁,其安全性主要判别标准主要看“锁芯级别”。

www.mg4355.com 3

下一个未知的明天

目前市面上对锁芯的分级可谓是五花八门,有A级、B级、C级之分,也有A级、B级、超B级的说法,实际上根据国家颁布的机械防盗锁标准,锁芯级别只分”普通防护级别”和”高级防护级别”两种,前者用字母”A”表示,后者用字母”B”表示。

美国中情局对其黑客武器库的失控,如同一把宝剑悬着以划“域”而治。固守边界防御思路治理下的各国关键基础设施上空,大范围安全事件随时可能发生。2017年,WannaCry勒索病毒是一个典型的安全事件,短短4日,席卷150多个国家,造成80亿美元损失,涉及金融、能源、医疗等众多行业[1]。如何避免突击式的补救,成为当下急需解决的问题。

主要的区分条件是A级锁防止技术开锁的时间需大于1min;B级锁需大于5min,因此对于A级锁还是B级锁,根据国家标准,它们之间的区别是防止技术开锁时间,而不是构造或是样式的不同。

改变以往的边界防御思路,从数据安全保护角度出发,通过对业务数据进行动态评估,分析出业务数据的价值,从而根据不同价值等级进行动态的策略规则防护。

由于国家标准是1994年制定的,旧标准不够细化,很多锁具生产厂商自行制定了行业标准,但是每个企业的等级标准不尽相同,因此造成了今天锁芯市场上对级别分类的混乱。

1 防御构想

从上图中对比A级、B级和超B级锁芯技术标准,可以发现B级和超B级锁芯,区别最大的地方是在于防技术开启的时间,超B级锁芯270min远超B级锁芯的5min,但是在防暴力破坏的各种指标中超B级锁芯与B级锁芯标准基本一致。

动态防御,很早就是网络安全领域追诉的目标,经历了从设备联动布防到现在对人工智能的关注。在当下网络安全环境中,利用IPS、FW等设备的动态关联,已经不能满足动态的需要。人工智能以其高效数据处理和分析的速度、准确性等优势,受到了人们的青睐。其中,数据和算法是保障高信度和高效度分析结果的核心。脱离全面有效数据的喂养,准确分析将无从谈起;离开有效算法和算法集间的交叉验证,就会走向信度和效度极度脆弱的一面。

小结:选购任何锁具产品,至少需要B级以上锁芯。

构建真正意义上的“以未知对未知”的动态防御,数据和算法是核心。获取全面的具有代表性的数据,才能避免人工智能鲁棒性的出现,才能提供更加准确可靠的分析结果。算法决定检测准确度的上限。只有对算法的优缺点进行验证、分析,才能在实战中做好算法集的动态调配。

传统机械锁与智能门锁的构造对比

“以未知对未知”,是在人工智能的技术前提下,基于Netflow和sFlow两种协议字段融合,克服单一网络协议的数据局限性弊端,降低网络数据存储量和运行主机的CPU负载率,结合算法集对流动变化的数据自适应,通过关键因素的风险区间和概率分布,对未来结果做出精准判断,产出不断进化的防御规则,以应对新时代网络安全的需求。

1传统机械锁

2 “以未知对未知”的防御体系设计

构造:传统机械锁主要由面板、执手、锁体、锁芯、钥匙等构成,关键部分为锁芯。

“以未知对未知”防御体系设计(如图2所示)共分三个部分。第一部分是未知数据的采集、梳理、融合、范化、精炼,形成标准的数据格式;第二部分是自适应算法集,包含支持向量机算法、Apriori与FP-Growth算法、隐式马尔科夫算法、朴素贝叶斯算法等,每个算法单独并行运算,威胁验证后,提交给态势数据库;第三部分,态势数据库一方面将威胁情报梳理呈现,另一方面根据网络状况进行资源管理策略调整,影响安全防御系统策略变更。

开锁方式:市面上大部分机械锁都是采用弹子锁结构。开锁操作是用钥匙或特殊工具将所有的弹子全部顶入最上端,借助于扭力和内外锁芯弹子孔之间的阶面,在弹簧力的作用下,使内弹子回落,外弹子阻于内锁芯之外,从而开启。

www.mg4355.com 4

机械锁使用广泛,原理被很多人了解,存在一定的安全隐患。其中最普通的A级锁甚至可以在几秒之内就被打开,比用钥匙还快。此外,针对机械锁所采用的“锡箔开锁法”、“万能开锁法”等技术开锁手段成功率极高,更加剧了机械锁的不安全因素。

2.1 数据采集方法研究

2智能门锁

采集具有代表性的原始数据,是“未知对未知”防御的重要基础。

构造:相比于传统机械锁,智能门锁则多了以下部件:

由于网络流量中包含了源/目的地址、源/目的端口、协议类型等丰富的网络信息,能够实时反映当前网络中出现的安全信息和行为描述。因此,网络流量为在网络异常检测方面最具有代表性的元数据。由于其他安全设备和网络设备品牌各异,采集数据的协议也不尽相同。这些设备采集的和二次加工的数据暂且纳入第三方信息管理平台,为威胁验证提供参考。

电路板:核心部件,通信模组、智能网关等智能模块的集成区域。

近几年,应用比较广泛的网络流技术主要包括NetFlow(Ciso公司)、J-Flow(Juniper公司)、sFlow(HP,InMon,Foundry
Networks公司)和NetStream(华为公司)。其中,J-Flow和NetStream这2种网络流的原理和内容基本与NetFlow相类似,故可以认为目前应用的常见网络流主要以NetFlow和sFlow为主[2]。

智能摄像头:实时监控、拍照防盗。部分智能门锁有摄像头。

2.1.1 基于NetFlow的流量采集方法

马达:提供动力的电机,耗电很小。用密码、刷卡、指纹开锁时,会听到马达转动一下的声音。

NetFlow是由Cisco创造的一种流量轮廓监控技术,简单来说就是一种数据交换方式。NetFlow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息,易于管理和易读。

显示屏:分为蓝光显示屏和白光显示屏,部分智能门锁配有显示屏。

NetFlow利用标准的交换模式处理数据流的第1个IP包数据生成NetFlow缓存,随后同样的数据基于缓存信息在同1个数据流中进行传输,不再匹配相关的访问控制等策略。NetFlow缓存同时包含了随后数据流的统计信息。NetFlow有2个核心的组件:NetFlow缓存,存储IP流信息;NetFlow的数据导出或传输机制,将数据发送到网络管理采集器。

键盘:输入密码等。

利用NetFlow技术可以检测网络上IP
Flow信息,包括(5W1H):

指纹头:主要分为光学指纹头和半导体指纹头两种。一般情况下,半导体指纹头价格会高于光学指纹头,但是有些识别点数多的光学指纹头,会比低档的半导体指纹头贵。

who:源IP地址;

电池槽:主流的电池槽是4节电池和8节电池,部分为锂电池。

when:开始时间、结束时间;

大部分智能门锁配有机械锁芯,一方面防止火灾等突发事故导致智能门锁主控面板融合失灵的情况发生,另一方面存一个“备用钥匙”防止“意外情况”出现。

where:从哪——From(源IP,源端口);到哪——To(目的IP,目的端口);

智能门锁开锁方式包含以下几种:

what:协议类型,目标IP,目标端口;

智能门锁安全么?

how:流量大小,流量包数;

5月5日,中国消费者协会等会对主流的网络平台、线下实体店的29款智能门锁商品开展了比较试验,其中发现样品可以被小黑盒打开。

why:基线,阈值,特征。

比较试验还发现,29款样品中,48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安全存在风险。

这些数据可以形成标准的七元组。用七元组来区分每一个Flow是其重要的特点。七元组主要包括,源IP地址、源端口号、目的IP地址、目的端口号、协议类、服务种类和输入接口。

其实,智能门锁安全与否,主要区别在于普通机械锁不具备的智能模块上,包括:指纹识别模块、蓝牙等通讯模块等。这些通讯模块和机械锁芯等硬件是比较容易出现安全隐患的地方。

2.1.2 基于sFlow的流量采集方法

1硬件安全性

sFlow(RFC
3176)是基于标准的最新网络导出协议[3]。sFlow已经成为一项线速运行的“永远在线”技术,可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显降低实施费用,同时可以使面向每一个端口的全企业网络监视解决方案成为可能。

目前智能门锁主要以传统执手型为主,推拉型智能锁由于不能带动天地钩。部分智能门锁产品应急锁芯的防盗性能差,部分锁具设计防技术开启性能差,部分产品用料差致使防破坏开启性能差。

sFlow系统的基本原理为:分布在网络不同位置的sFlow代理把sFlow数据报源源不断地传送给中央sFlow采集器,采集器对sFlow数据报进行分析并生成丰富、实时、全网范围的传输流视图。

指纹模块:由于指纹存在着一定程度上的可复制性,因此在安全性能上存在着一定的瑕疵,特别是不同的皮肤情况,湿度情况,指纹识别的认证效果也存在着很大的不同。

sFlow是一种纯数据包采样技术,即每一个被采样的X包的长度被记录下来,而大部分的包则被丢弃,只留下样本被传送给采集器。由于这项技术是基于样本的,如果没有复杂的算法来尝试推测准确的会话字节量,那么几乎不可能获得每台主机流量100%的准确值。使用这项技术时,交换机每隔100个数据包(可配置)对每个接口采一次样,然后将它传送给采集器。sFlow的规格也支持1:1的采样率,即对每一个数据包都进行“采样”。对数据包最大采样频率的限制取决于具体的芯片厂商和sFlow的实现情况。

拒真率、认假率方面在保证安全上仍然有着提升的空间;目前开始流行的人脸识别认证,由于其算法、功耗、场景应用等方面的原因,也无法做到100%的识别准确率,提升的空间较大;在认证的速率方面,指纹识别、静脉识别由于在技术上的成熟,速率较快。

2.1.3 双流量数据采集

功耗:功耗问题是困扰生物识别技术应用在智能门锁嵌入式领域的主要问题,尤其是人脸和虹膜技术在数量有限的干电池设备上遇到的瓶颈。而低功耗的NB-IoT芯片以及加密芯片目前暂未进入大规模应用。

因HTTP会话双向性的特点,需采取网络双向流量分析,主要针对request请求和服务器的response响应进行实时分析,并且自动关联分析磁盘阵列中全流量镜像历史数据,发现更深层次的攻击事件。

目前常用的电池有5号碱性电池、锂电池,待机时间1年左右,甚至更短,所以续航痛点是亟待解决的瓶颈问题。

如图3所示,系统在用户发出请求和服务器给予响应的过程中,会对两者的HTTP请求包和响应包数据进行分析,判断是否存在漏洞或者攻击事件。如果有漏洞或者攻击事件,则会记录并交由其他模块继续处理。

当前大部分智能门锁在电池电量即将用尽的时候,会自动提醒用户更换电池。不过据实测,部分智能门锁提示的并不准确,还会出现未能及时更换电池,进不了家的情况。

www.mg4355.com 5

2云端安全性

通过不同层次的监控(内核级、应用层级主要包括进程操作、文件操作、注册表操作、网络访问、网络数据URL等)发现更全面的监控样本,结合智能关联分析形成有效的安全检测体系,以挖掘更全面的恶意行为。

目前智能门锁从芯片到程序设计,再到网络传输,大多数品牌都进行了严格的加密技术,但许多智能门锁系统密钥、敏感信息只采用软件加密算法,只有少数厂商在智能锁中配置硬加密芯片。

2.1.4 数据融合

部分厂家将智能锁中所存储的密钥、指纹特征值、其他敏感信息等均保存在软件固件中,一旦被黑客攻击,用户不仅失去对自己门锁的控制权,还会泄露自身的身份信息,这是对用户的财产和人身安全的双重风险。

NetFlow和sFlow两种协议都属于网络流协议,但是存在一些差异。sFlow通过采样的形式来获取网络流数据,基本包含了网络中的所有信息,且具有“永远在线”的特点。由于协议本身的设置,使得sFlow在获取网络流数据过程中虽然CPU负载率低,但是获取的数据存在一些误差,尤其在网络流量较小时,难以满足小规模网络的要求。而NetFlow通过连续采集的方式来获取网络流数据,使得数据中不包括网络中的一些部分重要信息(如:MAC地址、接口速率等),导致无法对上述重要信息进行研究分析。此外,由于通过连续采集的方式来获取数据,使得其CPU负载率较高,尤其当网络流量较大时,难以有效满足大规模网络的要求[4]。

3老旧小区,安装智能门锁需谨慎

将NetFlow和sFlow数据融合,相互弥补各自的不足、性能上的差异,是推动采集数据全面性的必经之路。融合不是简单的结合,而是在两个协议功能、性能优缺点分析的基础上,对两个协议字段进行融合。

在物业管理不完善的老小区内,安装智能门锁可能会更能引起盗贼的注意。

2.2 算法研究

当无心的盗贼发现你家的门锁“与众不同”时,也许就变得有心了。好奇心会让他更想尝试破解密码,而且潜意识中会认为你家还有值钱货,甚至会采取暴力手段进行盗取行为。

算法决定上限,也是说算法决定了智能安全功能展现的上限阈值。本文通过算法集研究实践,分析不同算法特性来应对不同威胁的攻击。具体地,主要对支持向量机算法、Apriori与FP-growth算法、隐式马尔科夫算法和朴素贝叶斯算法等进行分析研究。

如何选购智能门锁?

2.2.1 支持向量机算法

虽然智能门锁存在一定的弊端,但其带来的便捷性也使其市场需求量越来越大,在家庭个人选择智能门锁时,一定要注意以下几点。

支持向量机是一种二分类模型,基本模型是定义在特征空间上的间隔最大的线性分类器[5]。间隔最大使它有别于感知机(感知机利用误分类最小的策略,求得分离超平面,解有无穷多个;线性可分支持向量机利用间隔最大化求解最优分离超平面,解是唯一的);支持向量机还包括核技巧(将数据有时是非线性数据,从一个低维空间映射到一个高维空间,可以将一个在低维空间中的非线性问题转换为高维空间下的线性问题来求解),使其成为实质上的非线性分类器。支持向量机的学习策略是间隔最大化,以形式化为一个求解凸二次规划的问题,也等价于正则化的合页函数的最小化问题。

1购买渠道选择

支持向量机学习算法模型分类。

尽量通过正规渠道购买正规品牌智能门锁,电商平台购买时,官方旗舰店更值得信赖,建议从正规渠道购买智能门锁并索要发票,方便日后维权。

(1)线性可分支持向量机。当训练集线性可分时,通过硬间隔最大化,学习一个线性的分类器,即线性可分支持向量机,又称为硬间隔支持向量机。

2智能门锁产品选择

(2)线性近似可分支持向量机。当训练集近似线性可分时,通过软间隔最大化,也学习一个线性的分类器,即线性支持向量机,又称为软间隔支持向量机。

尽量选择品牌智能门锁产品。检查产品包装是否清晰明确地标出电子防盗锁产品名称、商标、规格型号、生产厂家、生产厂址、安全级别、明示执行标准等信息,同时注意产品是否具有合格证、说明书、开孔模板及保修卡等文件材料。同时拆开检查产品外观,要求外观整洁、无裂口、无锈蚀等。

(3)非线性支持向量机。当训练集线性不可分时,通过核技巧和软间隔最大化,学习非线性支持向量机。

3开锁方式选择

SVM学习问题可以表示为凸优化问题,因此可以利用已知的有效算法发现目标函数的全局最小值。而其他分类方法(如基于规则的分类器和人工神经网络)都采用一种基于贪心学习的策略来搜索假设空间,一般只能获得局部最优解。

挑选智能门锁时选择适合自己的产品,不要刻意追求更多的开锁方式。一般来说开锁方式越多,潜在风险越大。

2.2.2 Apriori与FP-gowth算法

4应急开锁

Apriori和FP-growth算法是比较有代表性的关联规则算法。它们是无监督算法,可以自动从数据中挖掘出潜在的关联关系。这一算法对挖掘潜在威胁很有帮助,如对图2中自适应算法集及资源管理调整生成未知策略帮助很大。

建议消费者选用具备应急开锁功能的智能门锁,至少将一把应急开锁钥匙保留在除家以外的安全地点,同时通过钥匙形状来判断应急锁锁芯种类,单排弹子的锁芯安全系数较低,不建议选用。

Apriori算法是一种同时满足最小支持度阈值和最小置信度阈值的关联规则挖掘算法。使用频繁项集的先验知识,通过逐层搜索迭代的方式探索项度集。

5选购注意

FP-growth算法基于Apriori算法构建,但采用了高级的数据结构减少扫描次数,加快了算法速度。FP-growth算法只需要对数据库进行两次扫描,而Apr-iori算法对每个潜在的频繁项集都会扫描数据集判定给定模式是否频繁,因此FP-growth算法比Apr-iori算法快。

选购时尽可能向销售方核实产品面板主材类型,同时结合个人经验或一些技巧对产品用料、做工等进行简单地判断。

在自适应算法集,采用Apriori和FP-growth算法对NetFlow和sFlow两个协议的融合数据进行关联分析。

价格不能作为选购的唯一依据,但价格明显低于市场平均水平的产品质量难以保证,不建议消费者选用。

2.2.3 隐式链马尔科夫算法

6指纹识别模块选择

隐马尔可夫模型(Hidden Markov
Model,HMM)是统计模型,用来描述一个含有隐含未知参数的马尔可夫过程。难点是从可观察的参数中确定该过程的隐含参数,然后利用参数做进一步分析,如模式识别。被建模的系统被认为是一个马尔可夫过程与未观测到的(隐藏的)的状态的统计,即马尔可夫模型。

目前市面上指纹识别模块主要有光学指纹模块和电容指纹识别模块。

和HMM相关的算法主要分为三类,分别解决三种问题:

一般情况下,电容指纹识别模块的识别速度、识别率要优于光学指纹识别模块,尤其对于小孩、老人、指纹纹路较浅、手指干燥的用户来说,电容指纹识别模块的这一优势更为明显,安全性更高。

(1)已知隐含状态数量、转换率,根据可见状态链得出隐含状态链;

附:5月5日中消协等《智能门锁比较试验样品信息及测试结果汇总表》,点击图片可放大查看!

(2)已知隐含状态数量、转换率,根据可见状态链得出结果概率;

编辑:南宫妧

(3)已知隐含状态数量,通过多次观测可见状态链,反推出转换率。

文章部分内容源自网络

2.2.4 朴素贝叶斯算法

在所有的机器学习分类算法中,朴素贝叶斯和其他绝大多数的分类算法不同。对于大多数的分类算法,如决策树、KNN、逻辑回归、支持向量机等,都是判别方法,也就是直接学习特征输出Y
和特征X 之间的关系,要么是决策函数Y=f(X) ,要么是条件分布P(Y|X)
。但是,朴素贝叶斯却是生成方法,直接找出特征输出Y 和特征X
的联合分布P(X,Y) ,然后利用:

得出:

贝叶斯学派的思想可以概括为先验概率+数据=后验概率。也就是说,实际问题中需要得到的后验概率,可以通过先验概率和数据综合得到。一般来说,先验概率是对数据所在领域的历史经验,但是这个经验常常难以量化或者模型化。于是,贝叶斯学派大胆假设先验分布的模型,如正态分布、beta分布等。这个假设一般没有特定的依据,虽然难以从严密的数学逻辑中推出贝叶斯学派的逻辑,但是在很多实际应用中,贝叶斯理论应用效果良好,如垃圾邮件分类和文本分类。

2.3 未知规则生成研究

在整个“以未知对未知”防御思路中,未知数据、算法集、未知规则是其核心。这个思路是改变传统以特征库匹配防御的思路,推出了新的动态防御思路。

未知数据是网络空间中网络设备、安全设备二次加工数据以及NetFlow和sFlow两个协议融合的网络流量数据,需对这些数据进行处理提炼。

自适应算法集是在对机器学习智能算法理解的基础上进行建模识别,并检测网络威胁。检测流程:(1)智能算法集依据客户网络环境数据及相关信息生成威胁识别模型;(2)威胁识别模型适配运行;(3)识别威胁分类;(4)识别威胁验证(真实性、可触发性验证)优化算法模型;(5)结合已有策略进行调整。

3 理论验证

本文通过加密流量检测和DGA域名检测两个实验,验证“以未知对未知”理论的实践效果。

3.1 加密流量检测

数据加密通保证了网络交易和聊天的私密性,防止了攻击者(中间人攻击)窥探或篡改用户的网络通信数据。但是,也被攻击者利用普通的TLS或SSL流量来试图掩盖他们的恶意命令、远程控制行为以及数据窃取活动。

为了防止恶意软件通过加密流量窃取用户的隐私,传统做法是通过设置代理并解密通信数据来检查所有的SSL和TLS流量。

如果是在恶意活动中,那么上述这种“可行方法”就是常说的中间人(MitM)攻击。但是,即便是出于安全防御端的角度来看,这种方法仍然会被视为一种侵犯用户隐私的行为。因为当用户需要向银行或加密邮件服务发送加密通信信息时,这种方法就会破坏加密信任链,导致用户隐私受到侵害。此外,这种方法的计算量非常高,高到足以造成网络性能的大幅下降,更不用说管理额外的SSL证书(流量被检查之后需要重新签名)所带来的性能负担。以牺牲隐私权和网络性能为代价来换取安全性的方法是不值得的。

为此,从侧面来寻找答案。通过分析NetFlow和sFlow发现,流量中包含大量的有价值信息,可以表示网络上的两台设备正在交互,以及通信时长和发送的字节数等,但受语境限制,有些数据出现不完整现象。分析加密隧道协议发现,TLS数据流中未加密的元数据包含攻击者无法隐藏的数据指纹,而且即使数据经过加密也无法隐藏这种指纹。在不进行任何解密的情况下,对海量数据进行筛选和归类,通过“最具描述性的特征”来识别可以恶意流量和正常流量。

通过未知算法检测加密流量,发现了隐藏恶意文件和指纹,基于NetFlow,检测准确率为67%。配合SPL、DNS、TLS元数据以及HTTP等信息,检测的准确率将高达99%。而传统边界类防护设备无法检测加密流量。

3.2 检测DGA域名

DGA(域名生成算法)是一种利用随机字符生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果进程尝试其他建立连接,那么机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对不断更新的DGA算法并不奏效。

检测DGA域名的流程:(1)从DGA文件中提起域名数据;(2)特征提取:①元音字母个数统计;②去重后的字母数字个数与域名长度的比例;③平均jarccard系数;④HMM系数;(3)模型验证。

根据DGA的特性,采取不同算法对其进行验证。

为了更准确地评估不同算法检测的准确率,采用准确率、召回率、F
值评测进行评估。正确率是提取的正确数据条数/提取出的数据条数;召回率是提取的正确信息条数/样本中的信息条数;F
值是正确率*召回率*2/(正确率+召回率)。基于处理好的样本,对传统检测技术和大数据关联分析技术进行对比,实验结果如表1所示。

www.mg4355.com 6

4 结 语

将“以未知对未知”的实践尝试应用到网络空间中,将为动态化、自主化识别恶意软件和攻击行为提供保障。

参考文献:

[1]
徐贵宝.美国智能网络攻防对我国网络强国的启示[J].世界电信,2017(03):57-60.

[2]
陶桦.网络运行状况监控研究[D].南京:东南大学,2004.

[3]
罗焱.网络性能管理系统的研究与实现[D].武汉:武汉理工大学,2006.

[4]
陈欣.基于NetFlow和sFlow网络流融合的异常检测方法研究[D].哈尔滨:哈尔滨工业大学,2013.

[5] 杨文璐,乔海丽,谢宏等.基于Leap
Motion和支持向量机的手势识别[J].传感器与微系统,2018(05):47-51.

作者简介:

林榆坚,北京安赛创想科技有限公司,学士,主要研究方向为WEB应用安全、网络空间安全、人工智能安全;

梁宁波,北京安赛创想科技有限公司,学士,主要研究方向为信息安全。

原创声明 >>>

本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。

···························································返回搜狐,查看更多

责任编辑: