摘要：针对传统网络隐蔽信道的载体局限于互联网协议的问题,在研究物联网应用层消息队列遥测传输(MQTT)协议的基础上,构建一种基于MQTT协议的隐蔽信道模型,将网络隐蔽信道载体迁移到物联网协议中。结合数量和序列2个维度设计分组编码算法,将待发送信息嵌入MQTT会话过程中。实验结果表明,该隐蔽信道具有良好的抗检测性和鲁棒性,与直接编码和序列编码方式构建的隐蔽信道相比,其传输速率较高。

摘要：对比传统木马检测技术的原理及特点,根据网络数据流检测木马的需求,提出一种基于网络通信特征分析的木马识别方法。引入通信指纹的概念扩展通信特征的外延,用实验方法归纳木马在连接、控制和文件传输阶段表现出的通信指纹信息,设计并实现一个启发式木马网络通信指纹识别系统。测试结果表明,该系统运行高效、检测结果准确。

摘要：针对DLL木马不能直接运行的特性和高隐蔽性带来的检测难度,设计了一个基于模拟加载技术的DLL木马检测模型,并基于该模型实现了一个DLL木马检测系统。介绍了检测系统的总体结构图,阐述了检测系统的模块架构,给出了特征信息库的建立流程,详细分析了检测系统的关键技术。实验结果表明,基于模拟加载法的DLL木马检测系统能够快速判定被检测文件的危险等级,可以有效降低漏报率。

摘要：软件漏洞挖掘已成为信息安全研究的一个热点,基于此,分析现有漏洞挖掘工具的不足,阐述基于Fuzzing的漏洞挖掘与分析的功能需求,根据文件格式结构化存储的特征,给出一种启发式的畸形数据的构造方法,设计并实现文件型漏洞智能挖掘与分析系统,给出软件结构、运行机制和关键技术。实例测试结果表明,该系统有效提高了文件漏洞挖掘的效率和智能化水平。

摘要：为提高木马程序的网络通信检测率,在比较各种包截获技术优缺点的基础上,设计并实现一种基于NDIS Hook驱动的木马通信检测系统,给出主要模块和数据结构,提出基于网络通信行为分析技术的木马通信识别模型。测试结果表明,该模型能降低误报率和漏报率,可截获所有网络通信数据包,识别新的木马通信。

摘要：为了提高隐蔽信道的检测率,讨论了传统的隐蔽信道检测技术的原理并对其特点作了详细的对比研究;通过对网络隐蔽通道特点的归纳和分析,找到可以描述网络隐蔽通道的若干属性,并提出基于网络隐蔽通道特征指纹的检测思想,归纳出隐蔽信道在协议域、统计规律、行为特征等方面表现出的通信指纹信息,在此基础上,设计并实现了一个基于量子神经网络的启发式网络隐蔽信道检测模型。测试结果表明该检测模型运行高效、检测结果较准确。

摘要：为了防止文件通过网络泄露,研究了网络传输文件的格式、传送形式以及通信行为特征,提出一种基于网络数据流的文件传输识别方法。通过引入文件数据流的概念,构建了具有特异性的文件特征指纹库,采用自适应深度协议分析技术,对文件传输在通信协议中表现出的内容和行为特征信息进行多层次启发式的检测。测试结果表明,该系统运行高效,检测结果准确。

摘要：针对物联网设备很容易被攻击者利用来入侵网络的问题,设计实现了一种将基于网络拓扑改组的移动目标防御(network topology shuffling-based moving target defense,NTS-MTD)和网络欺骗相结合的物联网集成防御机制,并基于该防御机制设计了一种诱饵路径优化算法(decoy path-based optimization algorithm,DPOA)来进行网络拓扑改组优化。在软件定义网络(software defined network,SDN)的支持下主动改变真实节点和诱饵节点的网络拓扑,实现物联网环境中的网络拓扑改组。通过一个带有安全度量的图形安全模型(graphical security model,GSM)研究防御机制有效性,并使用三个指标对DPOA的安全性和性能进行衡量。仿真结果表明,基于DPOA的方案防御成本显著降低且安全性高,更适应于物联网。

摘要：为了识别和区分互联网上的不同机器,给出了网络指纹模型的定义和性质并进行了形式化描述,在分析主机IP地址、MAC地址等传统网络标识方法可靠性不足的基础上,利用硬件设备时钟漂移等计算机特征信息,研究并设计了一种基于数据融合的远程主机指纹探测和识别原型系统,有效解决了远程主机由于环境变更导致指纹漂移所带来的误报问题。实验结果表明,该模型在子网主机数量识别、远程计算机跟踪等网络安全领域较传统方法有着更高的准确性和可靠性。

摘要：通过对文件传输协议(file transfer protocol,FTP)的研究,提出一种FTP协议信息隐藏方法。通过将特定目录编码,将秘密信息嵌入正常的更改工作目录命令(change working directory,CWD)实现隐蔽通信。对比已有的几种FTP隐蔽信道,对其隐蔽性、鲁棒性和容量进行分析,该隐蔽信道在隐蔽性和鲁棒性相同的情况下,通过适当编码大幅提高单条命令的隐藏容量,在编码数目大于一定值时,隐藏容量将高于目前已有的几种FTP隐蔽信道。实验结果验证了该方法的可行性。