美国国土安全部试图商业化的八种网络安全新技术
经联邦政府批准,美国国土安全部(DHS)公开最新开发的8种网络安全技术,并准备投入10亿美金,寻求私营企业的帮助,以将其转化为实用型的商业产品。
在DHS发布的第四份《网络安全部门转为实用技术指导方案》(http://t.im/13f40)中,国土安全部列出了恶意软件分析、行为分析、保护Windows应用的随机化软件等8项技术。
国土安全部的“转为实用技术”方案主要公布了已经能够参与先导测试或进行商业化开发的技术。在项目进行的四年时间中,发布的24项技术中的4项已经获得商业机构授权,另外还有一项得到开源。
该方案旨在对非机密的网络安全研究项目进行实用化探索。报告中称:“联邦政府在非机密网络安全技术上的投入每年超过10亿美金,然而这些技术极少进入市场。”
下面是报告中这8项新技术的简要介绍:
一、REnigma
该软件的功能是在虚拟机中运行恶意软件,观察其行为,以供后期分析。它可以让安全研究人员更方便地分析恶意软件,并详细了解其行为方式和原理,而不用亲自进行逆向工程。
关键的进步是约翰霍普金斯大学应用物理实验室开发的虚拟机录像和回放技术。通过该技术,研究人员可以在恶意软件运行过程中对其使用分析工具,同时对恶意软件的反分析技术保持隐身。
报告中提到:“举例而言,如果恶意软件代码样本向网络输出了一串加密数据,分析师可以使用REnigma回溯到内存中的明文信息,并恢复出数据外泄中利用的加密秘钥。”
二、Socrates
该软件平台会在数据集里寻找模式,并可以引诱出可能为安全威胁的那些。它能够同时提供分析和计算机科学能力,而这种能力的组合往往是人类所缺失的。
在200万个链接的网络里检测异常活动
该平台能够对数据进行无监督分析,寻找可能带来产出的模式。Socreates已经被用于学习大量人群的出行模式,以发现与目标人物有联系的个人。
三、PcapDB
这是一个软件数据库系统,能够通过将包数据组织成数据流,抓取并分析网络流量。
该技术的开发者将其功能比作飞机上的黑盒子:“Pcap可以重建恶意软件的传输、下载、命令、控制信息,并提取其中数据。”
该平台能够优化抓取到的数据,减少其存储空间,加快分析时的读取速度。通过缩减不必要的功能,PcapPB能够存储常见串行SCSI (Serial Attached SCSI, SAS) 硬盘数个月间产生的流量数据,这将为调查入侵事件提供强大的助力。开发者写道:“在调查网络安全事件时,最关键的一个指标就是能上溯到的最远日期。”
四、REDUCE
这是一个软件分析工具,能够发现恶意软件样本之间的联系,并创建可用于甄别威胁的特征签名。
该软件对恶意软件样本进行静态分析,寻找其和历史样本之间使用相同代码的段落。这可以让研究人员快速推断出新型恶意软件的作者,确定其技术特点。
REDUCE与一些只能同时对比两种恶意软件的商业化工具有所不同,它可以同时比较多种样本。当它发现代码段之间的相似之处时,也会与历史上的所有记录进行比对。
该技术适用于反向工程背景没有那么强的网络安全人员。
五、动态流隔离(Dynamic Flow Isolation)
动态流隔离(DFI) 利用软件定义网络,基于企业所需的运行状态,按需部署安全策略。
不论过程是手动还是自动,通过启用、禁用或对个人用户及网络服务之间的通信进行频率限制,均可以实现其功能。
通过与认证服务器、入侵检测系统进行整合,该软件能够对网络的运行状态产生情景感知。如果网络状态发生变化。它也会与软件定义网络控制器进行整合,改变目前允许的网络连接。这使得隔离特定设备或组,并拦截试图访问关键资产的攻击者成为可能。
该软件包括策略强制执行内核,它与软件定义网络控制器一同部署,可以更新网络中交换机的访问规则。该过程可以与企业现有的软件定义网络硬件设备整合,在多个软件定义网络控制器之间移动起来也很方便。
六、TRACER
TRACER是“运行时间内对常见可执行文件应用实时随机化” (Timely Randomization Applied to Commodity Executables at Runtime) 的简称,它可以改变Adobe Reader、IE、Java、Flash等闭源Windows应用的内部布局和数据。
由于这类应用属于闭源,其数据和内部布局均为静态的,威胁源对其的攻击将产生巨大的影响面。
如果在应用每次输出数据时,对其敏感内部数据及布局进行随机化,威胁源将无法对其发动有效的攻击。即使数据和布局的信息在输出过程中遭到泄露,其结构在应用下一次输出时也将完全不同。
因此,TRACER能够挫败针对这些Windows应用的控制劫持攻击 (control-hijacking attack) 。该软件会被安装到所有设备上,不会干预其日常运行。其缺陷在于将平均增加12%的运行时长。
地址空间布局随机化 (Address Space Layout Randomization) 、基于编译器的代码随机化、入侵集随机化等其它随机化方案均为一次性的。耐心的攻击者可以等待更长时间,在获取应用泄露的更多信息后再展开攻击。
七、FLOWER
网络流分析器 (Network FLOW AnalyzER, FLOWER) 可以分析IP包头,双向收集数据流的信息,并利用信息甄别正常与异常数据流,进一步寻找潜在的数据泄露和内部人员威胁。
数据是通过部署在整个网络外加其边界上的小装置收集的,它们也可以用作事件诊断调查的资源。
自2010年起,FLOWER已经被部署到超过100家政府和企业机构的网络中。在实战中,它能够检测并消除协同攻击,并创建其攻击特征签名。
八、SilentAlarm
该平台分析网络行为,甄别可能存在的恶意行为,制止并不存在特征签名的零日攻击等威胁。
传感器会将网络事件信息发送到其分析引擎。该引擎包含知识节点、针对成功或失败的SMTP尝试及失败的互联网连接等不同类型的网络行为调整的分析模块。基于历史行为,每个新事件都会被标为正常或不正常。
这些特征信息会被传输到假设节点,它会决定观察到的行为是否意味着恶意活动。如果发现恶意活动,SilentAlarm可以发出警报或直接进行干预。
在这份报告的最后,还分别介绍列出了2013到2015年3个财年的网络安全新技术。
本文转自d1net(转载)
美国国土安全部试图商业化的八种网络安全新技术相关推荐
- 美国国土安全部承认使用数据库追踪数百万手机用户
美国国土安全部已经承认其使用了追踪数百万智能手机用户的数据库,无视此前作出的一项法庭裁决.这些数据已经被用于边境和移民执法,有一些证据表明,国土安全部并不想承认有权访问它的数据库. 熟知内情的消息人士 ...
- 美国国土安全部:Log4j 漏洞的影响将持续十年或更久
聚焦源代码安全,网罗国内外最新资讯! 作者:Jessica Lyons Hardcastle 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人" ...
- 金雅拓面部识别解决方案在美国国土安全部2018年生物识别评测中表现优异
使用金雅拓实时人脸识别系统(LFIS)的创新解决方案在5秒内的识别率达到了99.44% 阿姆斯特丹--(美国商业资讯)--在美国国土安全部(DHS)科学技术局(S&T)和美国国家标准技术研究所 ...
- 美国国土安全部预警:放一段声音,你的手机就可能被黑了
Fitbit计步器 随着网络安全越来越受到重视,人们已经学会避免下载一些恶意软件.点击一些来路不明的链接.但是,这样你的智能手机就不会中招了吗?隶属美国国土安全部的工业控制系统网络应急响应小组(ICS ...
- 美国国土安全部发布物联网安全最佳实践
美国国土安全部(DHS)最近发布了其<物联网安全策略原则>.其中包含6条不具约束力的指导性原则,旨在为设计.制造和部署联网设备提供安全.里面引用了一句话:"物联网以最大化安全最小 ...
- 美国国土安全部发布针对高风险铁路基础设施的强制性安全要求
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 隶属于美国国土安全部 (DHS) 的美国联邦运输安全局 (TSA) 要求关键铁路基础设施的运营商在24小时内向网络安全和基础设施安全局 (CIS ...
- VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户称需立即修复严重的认证绕过漏洞(CVE-2022-22972),它影响多款产品中的"本地域用户",可被 ...
- 美国国土安全部和MSF相继发布了Citrix漏洞的测试利用工具
近期,美国国土安全部下属的网络安全与基础设施安全局(DHS CISA)发布了一个安全检测工具,用于帮助安全人员检查他们的组织是否容易受到Citrix高危漏洞的影响,这主要和Citrix应用交付控制器( ...
- 美国国土安全部仍然使用COBOL语言
美国国防部仍然使用8英寸软盘,而美国国土安全部仍然使用上世纪50年代的COBOL语言.根据美国政府问责局发表的报告(PDF),退伍军人事务部仍然使用COBOL语言,该部门申请了资金升级COBOL系统: ...
最新文章
- web服务器原理(二)
- 一流科技CEO袁进辉:人工智能产业化困局和机遇 | 量子位·视点分享回顾
- java高并发(三)并发编程的基础
- 《银狐》:对自然精神的尊重与回归
- Spark技术内幕:Stage划分及提交源码分析
- 【C语言入门学习笔记】如何把C语言程序变成可执行文件!
- linux常用命令大全(转)好东西要分享
- 【机器学习】EM最大期望算法
- 为何控件删除不了_过不好又离不了的婚姻,不如这样去处理
- 关于Exchange System Attendant服务
- Astar2007初赛第一场的题目2
- Python还能走多远?
- 机器学习实战——线性回归和局部加权线性回归(含python中复制的四种情形!)
- [转载] 达特茅斯学院 Dartmouth College
- oracle ^]字符,oracle 字符串操作
- Visual C++开发类似QQ游戏大厅全过程
- 兰浦秋来烟雨深 几多情思在琴心
- learn opencv-使用OpenCV的自动红眼删除
- Kafka的安装与配置
- DOS窗口下使用命令打开远程桌面连接
热门文章
- 微信小程序+百度AI OCR二代身份证识别
- 在Word2007文档中设置页面边框
- 计算机专业补课,计算机老师坚持五年每天免费为孩子补习语数外
- 针对Could not find module libbanded5x.UGR6EUQPIWHQH7SL62IWIXB5545VDNQZ.gfortran-win_amd64.dll报错问题
- 搞清楚php-FPM到底是什么?
- 【图像去噪】基于matlab小波滤波(硬阙值+软阙值)+中值滤波图像去噪【含Matlab源码 462期】
- Perforce使用中文教程: p4 client
- java 判断cmyk_Java判断图片是grb还是cmyk
- WHT20无线温湿度传感器 STM8S单片机
- <urlopen error [Errno 104] Connection reset by peer>