《电子技术应用》
您所在的位置:首页 > 通信与网络 > 设计应用 > 基于随机森林的命令混淆绕过检测研究
基于随机森林的命令混淆绕过检测研究
网络安全与数据治理 6期
戚臻彦,孙永清   
(公安部第三研究所,上海200030)
摘要: 运维安全管理设备中的“命令过滤”功能只能过滤黑名单中的恶意代码,而无法有效识别并阻止使用特殊方法绕过该功能的行为。针对这一问题,提出了一种基于随机森林的算法,可以准确识别含有恶意代码的命令执行语句。首先,介绍了四种命令混淆绕过方法,它们用来规避黑名单中的关键词并进行命令执行。然后,为了解决这些风险,在模型的特征选择阶段将命令混淆代码纳入考虑范围,利用多种特征对模型进行训练并调整特征权重,以提高模型检测中对使用命令混淆攻击的识别率和准确度。实验结果表明,该方法能够及时识别并应对命令混淆攻击,从而更好地保证服务器安全运行。
中图分类号:TP393
文献标识码:A
DOI:10.19358/j.issn.2097-1788.2023.06.011
引用格式:戚臻彦,孙永清.基于随机森林的命令混淆绕过检测研究[J].网络安全与数据治理,2023,42(6):66-70.
Research on command obfuscation bypass detection based on random forest algorithm
Qi Zhenyan,Sun Yongqing
(The Third Research Institute of the Ministry of Public Security, Shanghai 200030, China)
Abstract: The "command filtering" function in operation and maintenance security devices can only filter malicious code in the blacklist, and cannot effectively identify and prevent the use of special methods to bypass this function. To address this problem, this paper proposes an algorithm based on random forest, which can accurately identify command execution statements containing malicious code. Firstly, this paper introduces four methods of command obfuscation bypass, which are used to evade keywords in the blacklist and perform command execution. Then, in order to solve these risks, the command obfuscation code is taken into account in the feature selection stage of the model, and various features are used to train and adjust the weights of the random forest model, so as to improve the recognition rate and accuracy of the model detection for adding command obfuscation attacks. The experimental results show that the method proposed in this paper can timely identify and deal with command obfuscation attacks, thus better ensuring the secure operation of servers.
Key words : command obfuscation; operation and maintenance management equipment; random forest; network security

0    前言

为了应对当下日益严峻的网络安全问题,各单位广泛使用运维安全管理设备(也称为堡垒机)来解决账号权限集中、审计难度大、运维管理困难等问题。《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》[1]标准提出了安全通信网络、安全计算环境和安全管理中心等新的要求。运维安全管理设备的各项功能均能快速满足企业单位的需求,具有快速部署和管理权限分级等优点,使各单位在满足等级保护标准的同时,能够达到维护自身网络安全运行的目的。尽管运维安全管理设备的相关安全功能和技术不断提高,但随着对网络安全的深入研究仍会发现其存在诸多安全问题,如命令执行漏洞。

最近的研究表明,命令执行漏洞是当前计算机和网络系统中的一个重要安全问题。许多研究人员和公司都致力于寻找一种有效方法来防止这些漏洞的利用。例如,文献[2]提出一种目前常见的基于规则匹配的防御方式即WAF技术,但是其防御能力极大程度地依赖于规则的可靠性,容易发生误报或漏报等问题。文献[3]则针对JAVA静态分析的漏洞,对漏洞进行了分析和验证。文献[4]提出针对移动网络物理系统(如汽车、无人机和机器人车辆)的安全问题,开发了一种基于决策树的命令注入检测,该系统考虑了物理输入特征和网络输入特征,显著降低了假阳性率并提高了检测准确性。文献[5][6]提出了基于决策树和贝叶斯算法的改进入侵检测。文献[7]提出了一种基于改进传统Kmeans的异常检测方法,并在UCI数据库上进行了实验。文献[8]提出了一种基于改进随机森林的算法,用于检测异常流量,但是算法复杂度较高。而文献[9]则提出一种基于改进随机森林和深度残差的IoT的入侵检测方法,但是对未知攻击的识别度不高。

基于上述研究的不足,本文首先提出了四种基于命令混淆的命令执行漏洞绕过方法,以提高对未知攻击的识别率,并降低漏报率;然后提出了一种基于随机森林算法的检测模型,通过特征提取和对算法的改进,使得运维安全管理设备的安全功能可以快速、高效地识别复杂的命令执行攻击。


本文详细内容请下载:https://www.chinaaet.com/resource/share/2000005376




作者信息:

戚臻彦,孙永清

(公安部第三研究所,上海200030)

微信图片_20210517164139.jpg

此内容为AET网站原创,未经授权禁止转载。