针对现有基于域名字符特征的恶意域名检测方法在检测精度和范围等方面表现不佳的问题,提出一种分阶段的恶意域名检测算法.首先,利用域名黑名单和域名白名单技术实现待测域名的快速过滤与响应,并构造潜在待测域名集合;然后,构建双向长短...针对现有基于域名字符特征的恶意域名检测方法在检测精度和范围等方面表现不佳的问题,提出一种分阶段的恶意域名检测算法.首先,利用域名黑名单和域名白名单技术实现待测域名的快速过滤与响应,并构造潜在待测域名集合;然后,构建双向长短时记忆神经网络(Bi-Directional Long Short Term Memory,BiLSTM)和卷积神经网络(Convolutional Neural Networks,CNN)的混合模型BiLSTM-CNN,并使用Softmax实现潜在待测域名集合中合法域名与恶意域名的分类;最后,通过在Alexa、DGA Domain List和Malware Domain List等标准数据集上进行测试,并与当前主流恶意域名检测算法进行对比.实验结果表明,本文算法在保持检测精度较高的基础上,具有更广的检测范围.展开更多
针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面。针对镜像层级文件系统组织...针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面。针对镜像层级文件系统组织结构复杂和层间关系难以获取等问题,通过分析配置文件,建立了dockerfile命令和镜像层的一一对应关系,并提取镜像中目标二进制程序;针对标准库中因系统调用号传值模式复杂造成系统调用识别困难问题,通过定义匹配模式,提出利用回溯法确定指定寄存器的值;针对映射表构建时因调用关系复杂引起的路径爆炸和调用节点回环问题,提出基于邻接矩阵的函数映射关系提取算法表示调用关系。为评估该方案的有效性,选取了50个广泛使用的Docker镜像,然后分别为其定制所需系统调用白名单。实验结果表明,所有镜像均可正常运行,且平均所需系统调用数为127。通过选取近6年系统调用相关的软件漏洞,设置白名单后,约70%的通用漏洞披露(common vulnerabilities and exposures,CVEs)可以直接被拦截。展开更多
文摘针对现有基于域名字符特征的恶意域名检测方法在检测精度和范围等方面表现不佳的问题,提出一种分阶段的恶意域名检测算法.首先,利用域名黑名单和域名白名单技术实现待测域名的快速过滤与响应,并构造潜在待测域名集合;然后,构建双向长短时记忆神经网络(Bi-Directional Long Short Term Memory,BiLSTM)和卷积神经网络(Convolutional Neural Networks,CNN)的混合模型BiLSTM-CNN,并使用Softmax实现潜在待测域名集合中合法域名与恶意域名的分类;最后,通过在Alexa、DGA Domain List和Malware Domain List等标准数据集上进行测试,并与当前主流恶意域名检测算法进行对比.实验结果表明,本文算法在保持检测精度较高的基础上,具有更广的检测范围.
文摘针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面。针对镜像层级文件系统组织结构复杂和层间关系难以获取等问题,通过分析配置文件,建立了dockerfile命令和镜像层的一一对应关系,并提取镜像中目标二进制程序;针对标准库中因系统调用号传值模式复杂造成系统调用识别困难问题,通过定义匹配模式,提出利用回溯法确定指定寄存器的值;针对映射表构建时因调用关系复杂引起的路径爆炸和调用节点回环问题,提出基于邻接矩阵的函数映射关系提取算法表示调用关系。为评估该方案的有效性,选取了50个广泛使用的Docker镜像,然后分别为其定制所需系统调用白名单。实验结果表明,所有镜像均可正常运行,且平均所需系统调用数为127。通过选取近6年系统调用相关的软件漏洞,设置白名单后,约70%的通用漏洞披露(common vulnerabilities and exposures,CVEs)可以直接被拦截。
