物理隔离网络攻击的入侵检测算法

作     者：聂凯 

作者单位：郑州大学 

学位级别：硕士

导师姓名：周清雷;朱维军

授予年度：2017年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：物理隔离网络 GSMem攻击 入侵检测 

摘      要：随着网络防御技术的不断发展,网络攻击技术也在不断升级。一方面,不断涌现出已知攻击类型的变种使得传统的入侵检测系统(IDS)难以发现;另一方面,近三年来更是出现了一些被传统网络安全观视为不可能实施的攻击技术。在新型网络攻击下,物理隔离网络中计算机系统不再安全。目前已有一些技术手段允许攻击者从物理隔离计算机中窃取信息。从最新的文献来看,此类攻击已经发展到可利用设备发热量、电磁波、声波等技术手段来窃取物理隔离目标计算机中的数据。GSMem攻击是一种利用电磁波技术对物理隔离网络中计算机攻击的新型分布式恶意程序,如何对此攻击实施检测,这是本文拟研究解决的问题。为此,本文从GSMem攻击模型中发射器组件的最本质特点出发,提出了针对GSMem攻击的入侵检测算法。算法从发射器组件调制发射电磁信号的核心原理入手,首先检测内存中是否存在线程按照“B-ASK(两级振幅键控的变体)信号调制的方式周期性的调用单指令多数据指令集中MOVNTDQ指令;当存在这样的线程之后,再按照“B-ASK调制原理,把时间“T逐一划分进行循环,每次循环生成二进制字符串与计算机中需要保护的高敏感信息的二进制形式字符串逐一进行匹配,最后根据匹配的结果来判断是否发生了GSMem攻击。实验结果证实,新算法能有效检测针对物理隔离网络中计算机的GSMem攻击;复杂度分析结果则表明,新算法可在多项式时间内实施上述检测。从已有的文献来看,目前未见关于物理隔离网络攻击检测文献的相关报道,而本文正是针对此类攻击选取GSMem攻击实施检测。这是本文的主要贡献。本工作得到了国家重点研发计划项目(2016YFB0800100)、国家自然科学基金项目(61572444、U1204608)与中国博士后科学基金项目(2012M511588、2015M572120)的资助。