文獻標識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彥,孫永清.基于隨機森林的命令混淆繞過檢測研究[J].網絡安全與數據治理,2023,42(6):66-70.
0 前言
為了應對當下日益嚴峻的網絡安全問題,各單位廣泛使用運維安全管理設備(也稱為堡壘機)來解決賬號權限集中、審計難度大、運維管理困難等問題。《GB/T 22239—2019 信息安全技術 網絡安全等級保護基本要求》[1]標準提出了安全通信網絡、安全計算環境和安全管理中心等新的要求。運維安全管理設備的各項功能均能快速滿足企業單位的需求,具有快速部署和管理權限分級等優點,使各單位在滿足等級保護標準的同時,能夠達到維護自身網絡安全運行的目的。盡管運維安全管理設備的相關安全功能和技術不斷提高,但隨著對網絡安全的深入研究仍會發現其存在諸多安全問題,如命令執行漏洞。
最近的研究表明,命令執行漏洞是當前計算機和網絡系統中的一個重要安全問題。許多研究人員和公司都致力于尋找一種有效方法來防止這些漏洞的利用。例如,文獻[2]提出一種目前常見的基于規則匹配的防御方式即WAF技術,但是其防御能力極大程度地依賴于規則的可靠性,容易發生誤報或漏報等問題。文獻[3]則針對JAVA靜態分析的漏洞,對漏洞進行了分析和驗證。文獻[4]提出針對移動網絡物理系統(如汽車、無人機和機器人車輛)的安全問題,開發了一種基于決策樹的命令注入檢測,該系統考慮了物理輸入特征和網絡輸入特征,顯著降低了假陽性率并提高了檢測準確性。文獻[5][6]提出了基于決策樹和貝葉斯算法的改進入侵檢測。文獻[7]提出了一種基于改進傳統Kmeans的異常檢測方法,并在UCI數據庫上進行了實驗。文獻[8]提出了一種基于改進隨機森林的算法,用于檢測異常流量,但是算法復雜度較高。而文獻[9]則提出一種基于改進隨機森林和深度殘差的IoT的入侵檢測方法,但是對未知攻擊的識別度不高。
基于上述研究的不足,本文首先提出了四種基于命令混淆的命令執行漏洞繞過方法,以提高對未知攻擊的識別率,并降低漏報率;然后提出了一種基于隨機森林算法的檢測模型,通過特征提取和對算法的改進,使得運維安全管理設備的安全功能可以快速、高效地識別復雜的命令執行攻擊。
本文詳細內容請下載:http://www.rjjo.cn/resource/share/2000005376
作者信息:
戚臻彥,孫永清
(公安部第三研究所,上海200030)
