-
题名消息和指令分析相结合的网络协议异常行为分析
被引量:1
- 1
-
-
作者
胡燕京
裴庆祺
庞辽军
-
机构
西安电子科技大学综合业务网理论及关键技术国家重点实验室
武警工程大学密码与信息安全保密重点实验室
-
出处
《通信学报》
EI
CSCD
北大核心
2015年第11期147-155,共9页
-
基金
国家自然科学基金资助项目(61103178
61272492
+1 种基金
61103230
61103231)~~
-
文摘
关注协议的异常行为,将协议传递的原始消息和实现协议的程序二进制代码均作为分析对象,采用动态污点分析和静态分析相结合的方法,先在自行设计的虚拟分析平台Abnormal Disc原型系统上监控和分析协议程序解析消息的过程,记录协议的公开行为,再利用提出的异常行为感知和挖掘算法,静态分析协议的异常行为触发条件和异常行为指令序列,最后根据异常行为触发条件生成带有敏感信息的协议新消息,动态触发异常行为的执行。Abnormal Disc原型系统可以感知并触发协议的异常行为,根据统计分析的结果,提出了协议运行安全性的评估方法。实验结果表明,利用所提供的方法可以比较准确地挖掘协议的异常行为,并能够对协议运行的安全性进行评估。
-
关键词
协议逆向分析
协议异常行为
协议消息
协议软件
-
Keywords
protocol reverse analysis
protocol's abnormal behavior
protocol message
protocol software
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于条件随机场的异常协议行为检测方法
被引量:1
- 2
-
-
作者
刘帅
杨英杰
常德显
-
机构
解放军信息工程大学密码工程学院
-
出处
《计算机应用研究》
CSCD
北大核心
2016年第6期1867-1870,1876,共5页
-
基金
国家"863"计划资助项目(2012AA012704)
郑州市科技领军人才资助项目(131PLJRC644)
-
文摘
针对现有异常应用协议行为检测主要针对某种特定应用,缺乏通用性的问题,提出一种基于条件随机场的异常应用协议行为检测方法,从网络数据流中提取应用协议关键字及其时间间隔作为状态特征,同时考虑关键字的频率分布特征,应用条件随机场模型对协议行为进行建模,将偏离模型的协议行为判定为异常。相比于传统的基于隐马尔可夫模型建模方法,该方法不必对特征量作严格的独立性假设,具有能够融合多特征的优势。实验结果表明,该方法在检测协议异常时准确率高、误报率低。
-
关键词
条件随机场
异常协议行为检测
异常检测
协议关键字
协议行为
-
Keywords
CRF
protocol anomaly behavior detection
anomaly detection
protocol key words
protocol behavior
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
