一个实用的方法来保护物联网设备攻击和编译安全事件数据集

文摘

物联网(物联网)介绍了远程控制家用电器的机会(如加热系统、烤箱、窗帘等)使用计算机和移动设备。这个想法吸引人,是一个繁荣的物联网设备一起越来越难以支持的需求。许多制造商迅速创建数以百计的设备实现功能却忽视了一些关键问题与设备的安全。这种监管导致了成千上万的设备行为的现状有许多安全问题后,厂商无法解决设备生产和部署。本文提出了我们的小说研究保护物联网设备使用伯克利数据包过滤器(带通滤波器)和评估我们的发现的帮助下我们的过滤器。tlk工具,它能够促进发展的带通滤波器表达式可以由GNU / Linux系统执行较低影响网络包的吞吐量。

1。介绍和动机

网络和通信网络的进化从他们出现在六十年代到今天已使革命人民和企业互动的方式。今天的人们使用移动设备全球通信,一个可靠的宽带(4 g)网络连接。尽管这些伟大的进步,香等。1)注意,网络中断仍然是一个挑战来解决因为他们频繁,难以修复,昂贵的,用户,特别是,知之甚少。虽然存在各种各样的问题围绕网络可用性(香et al。1]),本研究提出了一个建议,以避免或至少减少的影响问题引起的软件通过网络攻击,包括蠕虫(2,3和远程攻击利用服务器漏洞4]。

修补避免了目标系统的妥协,比如,恶意软件和漏洞利用。然而,物联网的发展(物联网)应用程序上运行的设备,经常不支持修补,使用互联网和TCP / IP网络通信的目的,限制了这种可能性。此外,软件升级时并不总是立即发现漏洞,作为补丁发展和分布取决于开发人员情况。积极的防御机制的存在(5)能减轻风险应用补丁的组件在一个否则信任的TCP / IP网络将非常有价值。在这项研究中,我们利用防火墙支持的操作系统开发一个高效的机制来检测和汇集信息恶意的网络流量。

防火墙支持已成为现代操作系统的基本特征。防火墙的使用是最简单的机制来管理网络防御。然而,其效果显然是局限于保护物联网设备免受恶意软件和漏洞利用(6]。在著名的Linux操作系统,主要通过信息包过滤防火墙功能提供了技术和netfilter andy downs表示系统已经从一个端口(包含在Linux内核1.1)netfilter / iptables(包括Linux 2.4内核系列)。这种发展方式的引入等重大创新TCP连接的跟踪或改变的可能性在传输过程中数据包(损坏表)。尽管这些过滤器的流行,netfilter / iptables防火墙子系统将取代为了加快过滤过程和增加信息实现每个数据包过滤(如负载信息)。

Wireshark捕捉过滤器(7)是由语言使用libpcap过滤器。滤波器设计的例子来检测一些蠕虫和利用在Wireshark Wiki (8显示这个过滤器语法的能力。的语法捕获过滤器通常被称为伯克利包过滤(带通滤波器)和支持大多数类unix操作系统的内核。这个语法也由libpcap /实现在用户使用Winpcap水平在Wireshark等工具。带通滤波器(9)在1990年首次引入作为一种工具来捕获和过滤网络数据包匹配特定的规则。带通滤波器支持Linux内核中包括通过实现一个小的虚拟机运行编译带通滤波器程序注入从用户空间10]。后,增加了带通滤波器即时(JIT)编译器加速执行字节码的性能。目前,带通滤波器可以对其执行加载到内核使用不同的工具来执行不同的任务,比如系统监控(槽使用性能工具),网络流量控制和服务质量(通过tc工具),和包过滤(通过ip连接工具包括在iproute2套件或iptables)。

由于其灵活性,带通滤波器已经被重要的科技公司如Google, Facebook, Cloudflare,和Netflix为了解决网络安全问题,负载平衡,traffic-filtering和监视11- - - - - -14]。过滤性能的比较通过BPF-based过滤器(BPFilter), iptables, nftables也提供了其他的研究(11,15]表明BPFilter比iptables跑快5倍。这种情况下考虑了带通滤波器作为一个可靠的候选人取代iptables (nftables)作为Linux内核防火墙子系统(11]。然而,尽管带通滤波器当前的Linux提供的语法比这更强大的防火墙,BPFilter只利用带通滤波器的虚拟机加速规则由年长的工具。Majkowski [16,17)演示了如何利用带通滤波器结合iptables和定义新的连锁店过滤包。这些作品允许系统管理员利用丰富的带通滤波器表达式语法和高效执行过滤包在现实环境和保护物联网设备免受恶意软件和漏洞利用。

我们开发了过滤器。tk工作结合这些工具。过滤器。tk是一个框架来完成完整的生命周期(创建、调试和测试)的带通滤波器iptables-compliant图案设计对减轻蠕虫和利用攻击。为未来的发展模式将是有用的创建一个带通滤波器的形式规则数据库可用Ansible星系等知名社区协作产品(18,19]或DockerHub [20.),用户可以分享带通滤波器保护物联网设备,计算机和软件对蠕虫和利用攻击。此外,有害信息网络数据包可以上传到集中式存储库为研究目的。特别是,这些数据,如果编译在世界范围内,允许安全威胁的识别,可以帮助识别新的进攻包模式。

本文的其余部分的结构如下:部分2介绍了著名的艺术蠕虫,安全漏洞,物联网安全。部分3介绍我们的建议来解决保护设备对安全漏洞(因此,蠕虫攻击利用这些漏洞),和编制安全事件数据集在物联网的背景部分4以通过案例研究发现的实用工具集。最后,部分5提出了工作的主要结论,并概述了未来研究的方向。

2。国家的艺术

在2000年代初,互联网蠕虫成为非常受欢迎的著名的蠕虫的影响如红色代码(版本1和2),尼姆达,SQL监狱或导火线。这些蠕虫是编译工作的清和温2]。然而,由于意识的增加用户和开发人员对安全的重要性,这种恶意软件是完全在P2P网络传播和运营在一个被动的形式(21]。而不是执行积极搜索感染电脑,被动蠕虫需要人工干预,即。通过从P2P网络下载一个被感染的文件,复制自己。尽管被动在P2P网络蠕虫的传播主要与非法下载的软件和多媒体材料,这些网络蠕虫的传播及其缓解已经相当好讨论在先前的研究21- - - - - -29日]。新漏洞允许远程开发的检测是一个非常活跃的领域就是明证最新利用发表在exploit-db [4]。虽然漏洞的存在允许执行远程命令可以为蠕虫的传播提供一种机制,快速反应的软件开发团队提供安全补丁阻止恶意软件开发人员设计新的蠕虫。有鉴于此,这项工作的目的是减轻攻击利用软件漏洞,这些针对物联网设备有特殊的兴趣。

很多物联网应用程序和设备已成为用于智能家居自动化。查询“远程”“硬件”利用exploit-db和其他类似数据库导致许多可利用的漏洞在著名的产品(如智能电视、照相机等)。这说明物联网开发人员一直在优先的开发和创造功能对于大多数要求用户而经常忽略了安全方面的考虑。

一些作品在物联网安全、解决问题等的使用车链通信(30.- - - - - -33]。这些通常指安全问题有关机密性、完整性和可用性的物联网设备和物联网之间的通信。工地的工作等。34]提供了一个评论的八个知名物联网框架特别强调安全问题(分析模型和方法为确保安全和隐私,利弊的每个框架在满足安全需求和满足标准的指导方针,并确定设计缺陷)。木头和斯坦科维奇[35,36)提供关于网络问题的研究。尤其是前工作是集中在与安全相关的问题物联网通信协议而后来分析拒绝服务物联网环境中的威胁。

瓦克等。37)检查平台软件/固件的风险漏洞,使恶意攻击的接待。我们所知,没有研究工作集中在预防、管理和应对脆弱性利用物联网和蠕虫攻击。缩小这个差距,我们研究如何利用防火墙方案实现这些保护措施。

2.1。操作系统防火墙支持

常见的操作系统防火墙,比如那些可以通过GNU / Linux内核实现防火墙子系统,通常实现为数据包过滤器(37,38),它包含一个默认政策包和一个序列的规则定义满足某些条件时包上执行的操作。具体来说,每个防火墙规则包含一个触发条件,通常是一个简单的条件或逻辑简单的条件,结合规则被触发时执行一个动作。定义触发条件的第二,第三,第四TCP / IP层。支持连接状态检查可用于内核版本2.4及以上(39]。

第一代GNU / Linux防火墙是包含在1.1内核通过andy downs表示功能的实现由阿兰·考克斯(40]。ipfwadm用户空间工具是用于配置内核提供的andy downs表示服务(41]。这些内核允许定义三种不同的防火墙过滤处理(i)输入数据包(-我ipfwadm论点),(2)输出数据包(- o),(iii)转发数据包(- f,与ip_forwarding特性一起使用)。接受,否认(丢弃数据包),并拒绝行为是使用规则(- a命令参数)或默认策略(- p)。为了创建和设计每个规则的触发条件,系统管理员可以测试协议(TCP, UDP, ICMP,或IP),该端口(用于TCP和UDP)或ICMP类型。日志支持通过- o修饰符。

支持andy downs表示取代ipchains在2.2版本的内核42]。ipchains计划最重要的一个变化是引入链来帮助降低计算成本,促进其设计(43]。而不是别人,ipchains防火墙包括输入、输出和转发链,它汇集了过滤规则应用于包当前计算机的目的地,原点,分别或路由器的数据包。每个防火墙链由一个规则集和一个默认的政策。默认策略应用于任何规则都不匹配的信息包。默认的存在政策允许定义防火墙使用两种不同的模式:(i)接受所有除包明确否认或(ii)否认所有除包显式地接受。其中,后者是明智的,是为了安全起见。

ipchains关于andy downs表示提供的新功能非常有限,所以它很快就取代了iptables(在Linux 2.4系列)44]。Iptables / netfilter包括汇集链表的概念与相似之处。Iptables防火墙表包括过滤器、nat和损坏。第一个包含三个链支持过滤的输入,输出,和转发连接(输入、输出和前锋分别)。NAT表由PREROUTING和POSTROUTING链添加规则改变目的地或源地址,分别。为此,规则包含在这些连锁店只能使用DNAT SNAT,重定向,或伪装行为。最后,损坏表允许标记包进行进一步的处理和修改一些参数包括服务条款或TTL的数据包。这些操作可以通过使用标记,执行服务条款,TTL行动。最后,iptables带来了有状态的数据包检测到Linux防火墙可以确定一个数据包属于建立TCP连接(- m状态,状态=建立),或者相反,连接与其他先前的数据包(- m状态,状态=相关)。

Iptables广泛用于实现数据包过滤器在Linux上多年来(45]。然而,一些iptables的局限性,如存在的一个独特的行动规则或语法的复杂性,导致其他过滤框架的创建。因此,nftables成为一个iptables替换内核版本3.13 (2013)(44]。Nftables包括一个全新的和新鲜的语法,避免需要使用连字符和大写或小写旗帜。使用nftables允许创建表和链与特定名称和挂钩,这样就避免了严格的表/ iptables定义的链结构。

尽管nftables的新功能,但大多数Linux用户继续使用旧iptables框架,部分原因在于许多阻碍采用语法的变化。介绍了一些翻译工具帮助迁移从iptables nftables (46]。此外,nftables工作顺序滤波器,每个包匹配一个接一个地反对规则的列表。检查规则的速度相当有限(三倍低于使用带通滤波器)(11),导致bpfilter的出现作为一种新的Linux防火墙子系统(47)能够比以前的速度过滤选择(11]。Bpfilter实验已经添加到Linux内核3.18,现在允许nftables Linux内核和iptables规则执行的带通滤波器。

标准定义在带通滤波器只允许电流信息包过滤防火墙(48)计划从数据包报头分析一些信息(如IP和MAC地址,端口,TCP旗帜,ICMP类型,等等)和包的状态。额外的新功能会提高防火墙的性能,例如分析数据包的有效载荷或应用层协议的信息。这些特性往往包含在深层数据包检测技术(49,50),但往往太慢被纳入标准的防火墙。为了提供防火墙的数据包的深度描述层和快速评价他们,带通滤波器的使用语言与虚拟机带通滤波器子系统包括当前版本的Linux内核中似乎是一个优雅的解决方案,尤其是在带通滤波器用过网络来完成类似的困难任务计算量较低(11]。

尽管其性能和较低的计算成本,开发一个BPF-based防火墙可以利用完整的数据包数据(头和有效负载)是一个艰巨的任务,要求这两个工具的存在发展的援助条件和数据包的数据集。Caploader [51]和Wireshark / tcpdump [7),也可以结合NDPI [52),可以加载和分析数据包包含在PCAP文件和检查是否带通滤波器表达式匹配。这些工具可以与大量数据包成功执行,如由Netresec[共享53]。然而,带通滤波器的设计过滤器是不容易的,应该简化为对现实世界的防火墙应用程序的影响。同样,带通滤波器的评价过滤器应该自动化来提高性能。简化和自动化解决了我们的过滤器。tlk工具集,是这项工作的主要贡献。过滤器。路的功能及其实际应用在下一节中描述。

3所示。Filter.tlk

本节提供了一个全面的描述滤波器的设计架构。tlk [54)工具和文档创建自定义过滤器的过程对网络流量进行分类根据数据包的内容。

Filter.tlkcomprises three different utilities to aid in the creation of BPF filters: (i) an interface to design BPF filtering conditions, (ii) a Wireshark LUA plugin to automate the testing of BPF filters with PCAP packet datasets, and (iii) a script to easily compile BPF filters and create iptables rules. Figure1显示了不同组件包含在过滤器。tlk及其在实际环境中使用。

我们可以从图中扣除1,防火墙的设计与过滤规则。tlk包括三个阶段,用不同的工具包含在包中。我们首先利用BDAT(带通滤波器设计辅助工具)设计一个筛选条件来检测一种特定的包。的设计带通滤波器过滤器可以测试不同的包集(一组匹配的数据包pcap过滤器和其他失配pcap过滤器)使用带通滤波器测试工具(它)。它能够轻松地评估一个输入滤波器的质量通过使用不同的数据集。一旦带通滤波器检测规则,他们可以很容易地转换成iptables规则使用iptables规则生成器(IPTRB)脚本。

BDAT负责创建带通滤波器过滤条件定义从传输和网络层(见图1)。通过使用BDAT通过一个简单的图形化界面,我们可以创建一个布尔带通滤波器过滤评估表达式相关网络或运输报头和有效载荷(TCP, UDP、IP、ICMP)。为了创造头条件,用户必须选择他们想要的字段的标题建立滤波器必须满足的条件。一旦定义的条件,用户可以继续添加新条件相同的过滤器或创建一个新的。一旦所有过滤器定义,他们可以被导出到一个文件用于测试井下电视(带通滤波器测试工具)。作为一个例子,图2显示管理员可以轻松地将一个HTTP POST请求的条件对TCP负载通过指定条件。

如图2(一个)从TCP负载,我们选择第一个四个八位字节进行比较。BDAT允许选择一个,两个,每个单词或四个八位字节(32位)检查条件。向导的下一个步骤(见图2 (b))允许轻松地定义使用十六进制值,ASCII或十进制表示法。为了比较任何八隅体载荷(和选项/填充),偏移值(以红色突出显示在图2(一个))可以被编辑到所需的值。请注意,提供的设计条件为例,应该补充的“头长度”价值五确保没有选项/填充字段。在向导的下一步中,当前的带通滤波器条件规则添加到整个带通滤波器过滤,允许生成过滤器包括多个测试。

它是Wireshark的插件,适用于一个过滤器或一组过滤器pcap文件。因此,我们获取信息为每个应用过滤包的数量分析,接受和拒绝。一组的pcaps过滤器按目的地IP分组包接受还提供了用于调试目的。为了检测错误,每个规则应该测试使用pcap数据库只包含应该捕获的数据包(确保达到0的结果拒绝了),另一个包含正常网络流量(保证0实现接受)的结果。

最后,IPTRB (IPTables规则生成器)脚本可以将带通滤波器未编译过滤器转换为全功能IPTables规则。这个过程是遵循直观libncurses-based图形用户界面,允许定制生成的规则。规则可以生成用于过滤和/或有害的包记录。(即一个预定的任务。,crontab) could be periodically executed (for instance once a day) to upload the compiled information (logs) to a centralized repository for its further analysis.

3.1。Filter.tlkImplementation

本节提供了一个简短的描述最相关的实现问题发展的每个工具包含在Filter.tlk。

BDAT设计作为一个Java独立的应用程序,它可以很容易地使用任何Java虚拟机实现执行。界面设计使用JFC / Swing库(55]。

它是Wireshark插件使用Lua编程语言实现(56),这是由Wireshark发展的新功能,比如创建解剖器或听众57]。解剖器的目的是分析数据的一个包的一部分,而听众是用来数出现的次数一个事件;例如,数据包的数量匹配一个过滤器。在这项研究中,我们使用Lua语言实现Wireshark侦听器来评估过滤器和计数包拟合目标带通滤波器条件(接受)(拒绝)。

IPTRB是一个bash脚本,将对话框命令的使用(58)提供一个易于使用的直观的图形用户界面。此外,带通滤波器规则的编译成字节码是通过使用tcpdump [59)功能。

最后,我们使用Ansible [19)(一个著名的自动化工具)来自动化的安装过滤器。tlk在所有支持的平台上。Ansible是一个受欢迎的自动化工具的主要功能是(我)避免脚本的需要和/或自定义代码部署和更新应用程序和(2)取代标准SSH代理在远程系统上的工具。Debian-based GNU Linux发行版的安装脚本提供。

3.2。部署生成的过滤器

利用表达式(iptables规则和带通滤波器)使用我们的带通滤波器生成框架,我们考虑两种不同的场景:(i)物联网设备使用GNU基于linux的软件/固件(ii)和其他物联网设备没有带通滤波器/ iptables的支持。在第一个场景中,iptables规则可以直接集成到固件保护他们免受恶意攻击。我们正在服务的发展一起分享带通滤波器的工具能够自动下载和升级不同的物联网设备的带通滤波器。

虽然GNU / Linux存在于一些设备,有许多电器运行其它操作系统执行的带通滤波器是不可能的。考虑到这一点,我们正在设计一个小桥路由器(路由器)60设备运行GNU / Linux和ebtables。路由器是一种设备,能够透明地向前所有流量两个以太网接口,允许包含网络接口的过滤规则。该解决方案将适用于物联网设备通过以太网连接连接到网络。

使用带通滤波器的主要弱点过滤器保护设备免受攻击,我们无法保护802.11的(无线局域网,无线局域网)物联网设备不运行GNU / Linux。

下一节提供了一个综合实例描述使用过滤的过程。tlk工具设计一个滤波器能够检测和过滤两个重要漏洞最近发现知名物联网设备。

4所示。实验

在本节中,我们测试设计的滤波器来检测和过滤攻击在两个著名的物联网设备使用两个漏洞,允许远程执行任意命令:(i) LG Supersign电视,和(2)华硕ADSL路由器DSL-N12E_C1。下一小节介绍工作环境准备为了生成高质量的带通滤波器模式。此外,分段4.2介绍了实验协议和我们的案例研究结果而分段4.3措施中使用这些过滤器的影响物联网设备的性能。最后,分段4.4显示了如何编译和利用物联网设备收集的信息的使用过滤器。tlk用于科学目的。

4.1。配置工作环境

为了生成高质量的带通滤波器表达式描述漏洞利用的模式,使用大型包数据库用于测试目的为宜。幸运的是,许多公开的包数据集可以从互联网上免费下载。表1列出有用的数据集。

从表中包含的数据集1和其他来源,我们建立的一组包将被用于确保无害的网络请求不被设计带通滤波器表达式。

我们决定研究并生成带通滤波器过滤两个知名物联网设备的漏洞。为了确定带通滤波器表达式使用它创建的质量Lua脚本,我们作为负样本的所有数据包从源表1我们和其他合法包集编制的。为了在单个pcap聚集所有的负样本文件,我们结合所有来源使用mergecap [64年Wireshark提供的工具。

4.2。执行这个实验

最近,一个漏洞允许远程执行任意命令出现在LG SuperSign电视(cve - 2018 - 17173)65年,66年]。这些智能电视包括CMS运行在LG webOS 3.3(一个基于linux的操作系统)。发现远程代码执行漏洞允许(通过实现反向shell连接)利用用户的URL用于看到缩略图图像。我们使用了利用版本生成pcap文件捕捉攻击。过滤器。tk由三级操作。第一步设计检测数据包的过滤条件,和第二步测试与一组带通滤波器过滤数据包捕获与一组pcap过滤和正常的数据包。第三步将带通滤波器转换成iptables规则。生成的带通滤波器表达式如表所示2。这些带通滤波器表达式可以直接计入LG webOS保护电视。

第二个分析是关于华硕DSL-N12E_C1路由器的远程代码执行漏洞,特别是在固件版本1.1.2.3_345 (cve - 2018 - 15887)67年]。这个漏洞已被列为至关重要,因为它允许执行任意代码使用一个文件”Main_Analysis_Content.asp的未知函数。“远程攻击者可以通过telnet访问路由器作为一个享有特权的用户应用程序和运行操作系统命令。再一次,我们利用我们的框架来生成带通滤波器表达式过滤这种类型的攻击。生成的带通滤波器如表所示3。

如表所示2和3,iptables命令可以很容易地从一个带通滤波器表达式生成下降和日志匹配的信息包。尽管iptables只能检查表达式在网络数据包的报头,带通滤波器表达式可以检查信息包含在包报头和有效载荷,以发现任何潜在的漏洞剥削。生成的第二个iptables规则允许存储安全信息,可以上传到一个集中的存储库的进一步分析。在下一节中,我们评估的性能影响物联网设备在使用这些过滤器。

4.3。对过滤的影响吞吐量

我们评估的影响,使用带通滤波器过滤物联网设备,以确定他们是否可以成功地用于保护物联网设备与网络漏洞剥削。执行这个分析,我们使用了一个Apache web服务器上安装一个覆盆子π2模型B (68年]。

我们利用Apache HTTP服务器基准测试的功能69年和GNU平行70年)工具来评价使用带通滤波器的影响在物联网硬件防火墙。使用这些工具,我们的基准测试两个平行测试的执行10000个HTTP请求分布在10个线程,每个线程1000个请求。测量提供了并行测试的平均值作为结果。作为比较,我们使用生成的带通滤波器表达式所示的两个案例研究。表4之间的性能比较缺乏攻击保护和两个带通滤波器过滤规则的使用。

结果显示在表中4表明,使用带通滤波器滤波器时对性能的影响是很有限的,不会严重影响整个物联网设备的操作。我们分析的影响逐步将带通滤波器的规则添加到过滤器通过添加100新规则和测量每一个带通滤波器后的传输速率表达式添加(见图3)。只要额外的性能深受存在的交通网络和其他进程消耗CPU,我们绘制一个趋势线观察退化。

从图可以看出3吞吐量降低接近零当使用50 (nonfitting)带通滤波器的规则。然而,包含50多个规则明显损害GNU / Linux防火墙系统的性能,需要额外的使用iptables加速策略,如创建额外的链(71年)和counters-based优化(72年]。

滤波器的最有趣的特性之一。tlk框架是全球物联网信息安全事件的编译。收集的信息可以成功地使用机器学习技术分析提供有价值的知识(我)威胁的来源,(2)traffic-filtering更好的模式,或(3)的威胁。研究信息系统的攻击被执行时,我们可以成功地识别蠕虫利用一定的脆弱性,一个单独的黑客的存在,和执行的分布式拒绝服务攻击和僵尸网络。

提供物联网用户产品保护设备免受攻击,而在同一时间实现危险的攻击性的网络数据包信息针对物联网产品,复制一个威胁的响应模式由传统的防病毒产品。这些知识可以更好的识别和也许更简单的带通滤波器可以用于网络入侵检测的模式。

5。结论和未来的工作

在这篇文章中,我们介绍了一个易于使用的框架,旨在帮助快速防火墙的发展基于使用带通滤波器,它可以通过使用标准的防火墙功能执行包含在Linux内核(IPTables / netfilter)。这些防火墙已经专门用来保护物联网设备的开发远程漏洞。由于带通滤波器的使用字节码可以大大加快防火墙的执行,我们设计了一组工具来促进夹杂物带通滤波器的防火墙规则。进行了一项实验的应用介绍了工具集。

由于带通滤波器是最有效的形式之一的过滤流量,它提供了一个可靠的过滤物联网背景下的解决方案。虽然,使用特定的带通滤波器过滤器允许使用包含在数据包的有效载荷信息,只能直接使用GNU / linux设备固件中实现。我们正在致力于特定的硬件的设计来克服的局限性nonGNU / Linux以太网发展的物联网设备和一个包管理器来自动下载带通滤波器过滤字符串和配置防火墙。

这个方案最相关的功能之一是能够轻松地构建数据集与安全事故发生在全球物联网设备,如VizSec [73年]。未来的工作将包括机制分析他们实现有价值的安全知识。我们认为进化计算作为自动过滤器生成候选方法通过数据包捕获和考虑DPI(深度数据包检测(52)是一个可靠的方法简化的过滤条件,因为它允许访问应用程序层信息定义匹配表达式。虽然DPI表达式不能直接包含在带通滤波器过滤器,我们相信,他们可以被自动转换成简单的带通滤波器表达式简化代带通滤波器的过滤器。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

d . Ruano-Ordas支持的博士后奖学金Xunta德加利西亚(ED481B 2017/018)。此外,这项工作是由项目语义知识集成的基于内容的垃圾邮件过滤(tin2017 - 84658 c2 - 1 - r)的西班牙经济产业和竞争力(SMEIC),国家研究机构(SRA)和欧洲区域发展基金(ERDF)和由Conselleria de Educacion大学e Formacion专业(Xunta德加利西亚)的范围的战略资金ED431C2018/55-GRC竞争参照群体。唱组由于花旗(Centro de Investigacion Transferencia e Innovacion)大学的维主办其IT基础设施。

引用

1. g .香A·博塔携手p . Marchetta诉多夫,和A . Pescape“全面调查网络中断,”网络和计算机应用》杂志上卷。113年,36 - 63年,2018页。视图:出版商的网站|谷歌学术搜索
2. 美国清和w·温”,网络蠕虫、调查和趋势”电脑与安全,24卷,不。4、334 - 346年,2005页。视图:出版商的网站|谷歌学术搜索
3. d·e·Hiebeler a . Audibert e . Strubell和i . j . Michaud“流行病学模型层次分布和空间聚类的网络蠕虫主机,“理论生物学杂志》上卷。418年,地位,2017页。视图:出版商的网站|谷歌学术搜索
4. 进攻的安全,利用数据库,2009。
5. m . Ge j·b·香港e·优素福,和d s . Kim“主动防御机制和non-patchable漏洞软件定义网络的事,”未来一代计算机系统卷,78年,第582 - 568页,2018年。视图:出版商的网站|谷歌学术搜索
6. r·k·Deka k . p . Kalita d·k·巴塔查里亚和j . k . Kalita”网络防御:方法,方法和技术。”网络和计算机应用》杂志上57卷,第84 - 71页,2015年。视图:出版商的网站|谷歌学术搜索
7. g .梳子Wireshark深入,1998年。
8. Wireshark Wireshark CaptureFilters 2016。
9. McCanne和v .雅各布森,BSD包过滤:用户级数据包捕获、新架构”USENIX学报1993年冬季会议圣地亚哥,p。2、钙、美国,1993年1月。视图:谷歌学术搜索
10. p . Anand,”一个入门使用eBPF过滤数据包的Linux内核中,“2017年,http://www.OpenSource.com。视图:谷歌学术搜索
11. t .伯爵,“为什么是内核社区和带通滤波器取代iptables吗?“2018年11月,https://cilium.io/blog/2018/04/17/why-is-the-kernel-community-replacing-iptables/。视图:谷歌学术搜索
12. Ł。马克维斯奇和p·格罗索,”评价集装箱网络虚拟化和流量过滤方法,”未来一代计算机系统卷,93年,第357 - 345页,2019年。视图:出版商的网站|谷歌学术搜索
13. g .贝尔坦公司“XDP实践:将XDP集成到我们的DDoS缓解,”Linux网络程序的技术会议p。5日,韩国首尔,2017年11月。视图:谷歌学术搜索
14. Maeda m . Yuhara b . n . Bershad c和j·e·b·莫斯“高效的包多路分解为多个端点和大消息,”学报1994年冬季USENIX大会,页153 - 165年,旧金山,美国1994年1月。视图:谷歌学术搜索
15. d·朔尔茨d . Raumer·艾默里奇a·库尔茨k . Lesiak g·卡尔,“与Linux eBPF信息包过滤性能的影响,”学报2018年30日国际话务国会30 (ITC),第217 - 209页,维也纳,奥地利,2018年9月。视图:谷歌学术搜索
16. m . Majkowski BPF-the忘记字节码,2014。
17. m . Majkowski引入带通滤波器工具,2014年。
18. 读的帽子,Ansible星系罗利,阅读的帽子,Inc .,数控,美国,2018年。
19. m . DeHaanAnsible是简单的自动化罗利,阅读的帽子,Inc .,数控,美国,2012年。
20. 码头工人。码头工人中心码头工人,Inc .)、旧金山、钙、美国,2016年。
21. m·a·Rguibi和n·穆萨”,混合信任模型在P2P网络蠕虫缓解,“《信息安全与应用程序,43卷,21-36,2018页。视图:出版商的网站|谷歌学术搜索
22. 张y . f . Wang, j .马“捍卫被动蠕虫传播在非结构化P2P网络基于健康文件,”电脑与安全,28卷,不。7,628 - 636年,2009页。视图:出版商的网站|谷歌学术搜索
23. t . Chen X.-S。张,X.-D h . Li。李、吴y“快速隔离非结构化P2P网络的主动蠕虫”网络和计算机应用》杂志上,34卷,不。5,1648 - 1659年,2011页。视图:出版商的网站|谷歌学术搜索
24. c。冯,j·杨,Z.-G。秦,d .元,H.-R。程,“被动蠕虫传播的建模和分析P2P文件共享网络,”仿真建模实践和理论,51卷,第99 - 87页,2015年。视图:出版商的网站|谷歌学术搜索
25. s . d . Kamvar m . t . Schlosser, h . Garcia-Molina”Eigentrust算法在P2P网络声誉管理”第十二学报》国际会议在万维网上p。640年,布达佩斯,匈牙利,2003年5月。视图:谷歌学术搜索
26. l .熊和l .刘”PeerTrust:支持基于声誉的信任点对点的电子社区,”IEEE工程知识和数据,16卷,不。7,843 - 857年,2004页。视图:出版商的网站|谷歌学术搜索
27. r .周和k黄,“PowerTrust:一个健壮且可伸缩的声誉对等计算系统信任,”IEEE并行和分布式系统,18卷,不。4、460 - 473年,2007页。视图:出版商的网站|谷歌学术搜索
28. 斯特林,w·卡尔弗特,c·斯宾塞,“男性大西洋海象(刻板的水下声音的证据Odobenus rosmarus rosmarus),“加拿大动物学杂志》,卷65,不。9日,第2321 - 2311页,1987年。视图:出版商的网站|谷歌学术搜索
29. l . Cai和r . Rojas-Cessa缓解的恶意软件扩散在P2P网络中使用双层动态信任管理方案(DDT),”《IEEE Sarnoff研讨会美国,页1 - 5,普林斯顿,纽约,2009年4月。视图:谷歌学术搜索
30. d . Minoli和b . Occhiogrosso区块链物联网安全机制”,物联网1 - 2卷,1-13,2018页。视图:出版商的网站|谷歌学术搜索
31. m·a·汗和k .沙拉”物联网安全:审查,区块链解决方案,和开放的挑战,”未来一代计算机系统卷,82年,第411 - 395页,2018年。视图:出版商的网站|谷歌学术搜索
32. 江钱y, y, j . Chen等人“对分散的物联网安全增强:区块链的方法,”计算机与电气工程卷,72年,第273 - 266页,2018年。视图:出版商的网站|谷歌学术搜索
33. 马克督姆,m . Abolhasan h·阿巴斯,w .倪”区块链采用物联网:挑战,前进,”网络和计算机应用》杂志上卷,125年,第279 - 251页,2019年。视图:出版商的网站|谷歌学术搜索
34. m . Ammar, g·罗素,b . Crispo”物联网:物联网的安全框架,调查”《信息安全与应用程序卷,38 8-27,2018页。视图:出版商的网站|谷歌学术搜索
35. a . k . Das s Zeadally, d .他,“分类和分析物联网的安全协议”未来一代计算机系统卷,89年,第125 - 110页,2018年。视图:出版商的网站|谷歌学术搜索
36. 公元木头和j . a .斯坦科维奇在传感器网络拒绝服务,“电脑,35卷,不。10日,54 - 62年,2002页。视图:出版商的网站|谷歌学术搜索
37. j·p·瓦克、k·卡特勒和j .极防火墙和防火墙策略指导方针弗吉尼亚州McLean,博思艾伦公司,美国,2002年。
38. k . a . Scarfone和p•霍夫曼防火墙和防火墙策略指导方针,国家标准与技术研究所,盖瑟斯堡,医学博士,美国,2009年。
39. r . p . Hinglaspure和b . r . Burghate信息包过滤技术在计算机网络安全的分析,“国际计算机科学杂志和移动计算,3卷,不。4、1302 - 1927年,2014页。视图:谷歌学术搜索
40. o . Kirch, t·道森Linux网络管理员指南美国马,O ' reilly Media,牛顿,第二版,2000年版。
41. j . Vos, w . Konijnenberg IPFWADM: Linux内核级信息包过滤防火墙设备,”《NLUUG春季会议荷兰,阿姆斯特丹,1996年5月。视图:谷歌学术搜索
42. r·罗素,Linux IPCHAINS-HOWTO, 2000。
43. j·斯坦格和p·t·莱恩”章9-implementing ipchains和iptables防火墙,”Linux黑客防Syngress,页445 - 506年,伯灵顿,妈,美国,2001。视图:谷歌学术搜索
44. p·罗素,Netfilter:防火墙、NAT和包管理Linux, 2000。
45. b .沙玛和k·巴贾杰”,在Linux中,使用IP信息包过滤表”国际计算机科学杂志》上的问题,8卷,第325 - 320页,2011年。视图:谷歌学术搜索
46. a . Alemayhu”从iptables nftables”, 2018年,https://nftables.org。视图:谷歌学术搜索
47. j . Corbet“带通滤波器来防火墙”,2018年,https://lwn.net/。视图:谷歌学术搜索
48. k·伊格汉姆和美国福勒斯特,“历史和调查网络防火墙,”新墨西哥大学阿尔伯克基纳米,美国,2002年,技术报告2002 - 37。视图:谷歌学术搜索
49. r . Antonello费尔南德斯,c . Kamienski et al .,”大宗商品平台:深层数据包检测工具和技术挑战和趋势,“网络和计算机应用》杂志上,35卷,不。6,1863 - 1878年,2012页。视图:出版商的网站|谷歌学术搜索
50. t . Bujlow诉Carela-Espanol, p . Barlet-Ros”独立的比较受欢迎的DPI交通工具分类、”计算机网络卷,76年,第89 - 75页,2015年。视图:出版商的网站|谷歌学术搜索
51. Netresec a B。,CapLoader, 2018.
52. Ntop团队,打招呼nDPI 2.0, 2017。
53. Netresec”,公开PCAP文件,“2018年,http://www.netresec.com。视图:谷歌学术搜索
54. b·克鲁兹,d . Ruano-Ordas和j·r·门德斯FilterTLK, 2019年。
55. 甲骨文公司小路:创建和JFC / Swing GUI、Oracle雷德伍德城、钙、美国,2017年。
56. r . Ierusalimschy w .蔡氏,和l . h . de Figueiredo Lua的编程语言,Lua。Org,巴西,ISBN: 8590379868,第四版,2016年版。
57. h·卡普兰,Lua解剖器,2015年。
58. w•索特LinuxCommand:对话框,没有淀粉出版社,旧金山,CA,美国,2000年。
59. Tcpdump集团Tcpdump和Libpcap, 2010。
60. Netfilter项目,Ebtables,http://ebtables.netfilter.org。
61. 2014年m .跑酷Contagio-Malware转储。
62. b·邓肯,”源Pcap文件和恶意软件样本,“Malware-Traffic-Analysis。2018年。
63. b . Dolan-Gavitt GTISK熊猫Malrec-PCAP文件从恶意软件样本在熊猫运行,2018年。
64. Renfo和b•盖顿MergeCap:合并两个或多个捕获文件成一个2018年,https://www.wireshark.org/docs/man-pages/mergecap.html。
65. a . Fanjul LG SuperSign远端控制设备,2018年。
66. 常见的漏洞和风险,cve - 2018 - 17173, 2018,https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2018 - 17173。
67. 常见的漏洞和风险,cve - 2018 - 15887, 2018,https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2018 - 15887。
68. 覆盆子p I。,Raspberry Pi 2 Model B, 2018.
69. Apache软件基金会,Apache HTTP服务器基准测试工具:Apache HTTP服务器2.4版Apache软件基金会,森林山,医学博士,美国,2018年。
70. o . Tange GNU平行2018,2018。
71. l .赵a Shimae, h . Nagamochi”Linear-tree防火墙规则结构优化,”学报第六{适}国际会议通信、互联网和信息技术2007年7月,页67 - 72。视图:谷歌学术搜索
72. l . Defert Iptables-optimize, 2014年。
73. VizSec集团“VizSec cib安全数据集”《IEEE研讨会上可视化网络安全,柏林,德国,2019年6月,https://vizsec.org/。视图:谷歌学术搜索

版权

版权©2019布鲁诺克鲁斯等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。