SlideShare a Scribd company logo

Chinese automatic generation of attack signatures based on sequences alignment

G
guest9d324d2
EducationTechnologyBusiness
1 of 9
Download to read offline
第! 卷!第"期 " 计 !! 算 !! 机 !! 学 !! 报 57 ! ( 8 68 " 6 " !# 年"月 #$ %& ( * ,-. 0 , ’ ) )+ (/ 1% ,23 ) * -4 . *: 8 # $ 9; ! # ! 基于多序列联配的攻击特征自动提取技术研究 唐 ! 勇 ! 卢锡城 ! 胡华平 ! 朱培栋 #国防科技大学计算机学院 ! 长沙 !A # > $ ?#= 摘 ! 要 ! 误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质 量 8 文 提 出 一 种 基 于 多 序 列 联 该 配的攻击特征自动提取方法!首先将可疑的网络数据流转 化 为 序 列 加 入 到 可 疑 数 据 池 中" 过 聚 类 将 这 些 序 列 分 通 为若干类别" 后利用该文提出的多序列联配算法对同 一 类 中 的 序 列 进 行 联 配( 以 产 生 的 结 果 代 表 一 类 攻 击 最 并 的特征8该方法的核 心 是 该 文 提 出 的 两 种 序 列 联 配 算 法! 励 相 邻 匹 配 的 全 局 联 配 算 法 %2) 奖 (M # 6; J J! % DH 6 N I 2 ;ON) LJGHI( 97F D MJ NO$ 层 次 式 多 序 列 联 配 算 法 &2 /# H GLHG 2 7! 9 J D9 /HD GL9 D6PID 9K G! DL 和 9 * &9 PO 7 J H*Q 9L 7 < P L ; I F D $%2) 9; 8 (M 算法克服了 ( 97 F D MJ NO 算法易产生碎片的问题( 9K9 G! DL 使得连续的 特 征 片 段 能 够 尽 量 地 予 以 保 留" * 算法以层次式策略对多序列进行联配( &2 / 支持通配 符( 带 有 剪 枝 功 能 8 方 法 可 以 自 动 地 提 取 包 括 变 形 并 该 病毒和缓冲区溢出在内的新攻击的特征(其主要优点 是!?$ 生 的 攻 击 特 征 包 含 位 置 相 关 信 息 ( 而 相 对 传 统 的 # 产 因 方法结果更加准确"! 具有良好的抗噪能力 8 #$ 关键词 ! 攻击特征提取"入侵检测"序列联配"变形蠕虫"缓冲区溢出攻击 中图法分类号 4 = " 3# ! # % # **& $ -!#( ’+#,1213$ 4 5! *"+*!’+ *# "$ & () +,# +$ # ./ &"* &* + " ’/6*( 5 % + ’ ’ & 0 # 0 4/(C R D !0 S< O D !&- & G3D !T 6 I - H% 9 I J<HI &- 3HU D 9 6I < ## %& ’( ) +- #-# ( 2/0&3 /-5 6% - -5 -$ %% 6( $ 0 5 2!A # > $ " $% % % * ,."/0- 1 , 2 04./ ’7 ’0-8 # 0&9 ( 2 9$ % , ?#= ! 1 &# 4 9K;L 6 G GH; 6 HJ9’ *H 9 9 K D D; 9D F 9 D Q G ; 6 ; 7# ( ! O 99; DL: V HE WFN N U NK : D 9;6 O J VPG K J7 E WG< , H 7 H ;L HD;PN 4 H : :P:99; DG;L HD;PNG; F ; I DP; DG :6L ( G9 GXNI GJ9 8 ON G 9 PNDNG ;GXNI GJ9 J6 G L 9 9G 6 : PGO VNK H H DF 7<9 J D9G I F D ! O J :L J W NG9 PDWP9 H; 9 J D9 D K 9 6G 6 J; NQ 9 L 7 D 9; 4 9N NH 6 N 7 Y P ;G N9PK D6NQ 9 LNG KG K K; H H H 6 N NH 6 N PW L: 6 " HOLJ;PD ( ON 9 J D9 P HH9 D6NZP7 7N9N V 9< J :L J ;GW 67 Y; 7N9HI ; 99NQ 9 LNG9KZK KH; 99G LJ;P " E [ H H 7H D O P : NKNQ 9 L 7 D 9;GI P F ( O 9 J D9 P F 9;H 7N9 P :6 HI; 9 :6 69 9 J D9G I F D 76HO N ; 9NQ 9 LNW6 LPGD LJ;PG9 ; H ; G I 9 D D HD;P O;P:99; D E 96 ;GXH I DP;K O :H;6 O : 7 D KG K6 9NI GJ9; G 9PNDN6 9; : WG;L N 9 9G9 84 9 6D W; 9G< H :6L NGI6 G 7 D 9;GI P O < PGOH 7V7G I F D 76H F %2) H ; (M # 6 ; J J!2 ;ON) L JGHI ( 97 F D % DH 6 N GL 9 D6 PID 9K9 G< I DL $ D J; NQ 9 L 7 D 9;GI P F &2* # HPPOL72 7< 9 J D9/HD MJ NO G KGF 7<9 J D9G I F D 76HO < H H ; / &9GLHG J; * Q 9 L 7 < H I F D $ 9 L JGHIL DHJ J E9 6V 7 D K;I; 9 ( 9; 8 E D6 PID 6 ; 6 NV ;N; 9G I 9 6 9OP %2) I H (M PK LN; 9 D79 L 9 J9 O HWJ D9 W PI 9; H O PLN WG I F D " 6 WG F DN D; 9:69N6 7 D 9; &2* 76HO NL GG;P 9 E Y7LP OPL H /GI P FH OPL9H KV H GKL GG< ; ] K ;P J :P D G K:JHIWD; D O G KG;IN6 ;9G;6N G :6L P !# $ O 9NN : 6; I D P DD J L 6 84 9F H ZDG9 W O JOP ) : PGOG9 ? 4 9 H H DG IDP;KN D;PNLDH W:NHDHWP G 6 O OH 99ZKK P IG I F DN !$ G 9 99G9 H GJ9 6 N ;6 6H6 D6 F ; DY H NPNP9 JH 7 D 9; "# & Z I N ; H L D H P V NDN IHN 6 9 8 6 J;9NG GD;DH N N 8 9 $3 ! G;L HD;PNI DP; D" DP N DK;L 6 " 9 J D9G I F D " 6E 6:H * : ,1 ;GXNI GJ9 9 9G 6 H;JH 99; D NQ 9 L 7 D 9; :7 F P OL H 6 H H 6 F "JWP6 9W Y Y P N V W9 ZP 6 7 收稿日期!# $#<>" ! #<=! 修改稿收到日期!# $#<=8 ! #<$? 本课题得到国家自然科学基金## > ? $ % $ @ = = $ 国家&八六三’高技术研究 发 展 计 划 项 目 基金## @ ? ? > $ ! # // ! @ # 和现代通信国家重点实验室基金#? = # # # BC ? ! 资 助 8 ! 勇( ? > 年 生( 士( 究 方 向 为 网 络 与 信 @A$@$@ ## $ 唐 男(" " 博 研 息安全%入侵检测% 6 9 :; ) F H! ;D !D K 8 J8 卢锡城( ? A 年生( & D E 6 8 < G EG I J;9 L 7 K D8 男(" $ 教授(博士生导师(中国工程院院士(主要研究领域 为 网络技术%高性能计算%并行与分布 处 理% 息 安 全 8 华 平( ? $ 年 生( 授( 士 生 导 师( 究 领 域 为 网 络 与 信 息 安 全% 码 学 8 信 胡 男(" > 教 博 研 密 朱培栋( ? > 年生( 男(" ? 博士(副教授(研究方向为网络安全和路由技术等 8
?= @A 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 2 ;ON) L JGHI ( 97 F D MJ NO% 层 次 GL 9 D6 PID 9K9 G< DL 和 ;! 引 ! 言 式 多 序 列 联 配 算 法 &2* $ HPPOL7 2 7< / &9GLHG J; H 9 J D9/H F D % * Q 9 L 7 D 9; 8 I 误用入侵检测系统的检测能力在很大程度 上 取 本文 第 ! 节 介 绍 现 有 两 序 列 全 局 联 配 算 法 应 决于攻击特征的数量和质量 8当前攻击特征主要依靠 用于 攻 击 特 征 提 取 时 的 不 足& 第 = 节 中 提 出 了 在 专家以事后分析的方式来提 取!缺点是 过 程长"速度 %2)(M 算 法 和 &2* 算 法! 介 绍 了 基 于 多 序 / 并 慢8往往是新攻击出现几天甚至几周后相应的特征才 列联配的攻击特征 自 动 提 取 方 法& A 节 给 出 了 若 第 发布!并且这样提取出的特征也不一 定 准 确 8在新 的 干实验!用以验证本文提出的方法的有效性& @ 节 第 攻击层出不穷!特别是蠕虫病毒能够快速传播且破坏 是本文的总结 8 极大的情况下!入侵检测技术不断受到新的挑战 8 攻击特征自动提取技术就是在这样的背景下产 <! 相关研究 生的!主要研究在没有人工帮助的情况下!如何快速 准确 地 检 测 新 攻 击 并 提 取 出 其 特 征 8 ! # 年 开 从 #= 两序列的联配算法是 多 序列联 配的基 础! 9K ( 9< 始!攻击特征自动提取得到越来越多研究者的关注! 7F D MJ NO> 算法 是 其 中 具 有 代 表 性 的 应 用 广 9 G< DL ’( 已经成为入侵检测技术研究的一个新热点 8 泛的一种全局联配算法 8 面向攻击特征提取的应用! 综 合 分 析 目 前 典 型 的 攻 击 特 征 自 动 提 取 系 统! 本 节 首 先 说 明 ( 97 F D MJ NO 算 法 存 在 的 问 9K9 G< DL 攻击特征提取总体上有两个基本步骤#? 获取可疑 $% 题& 然后介绍 3 7IG O 系统 ’ (提 出的解 决 方 法! 6E P: " 并 的数 据! 前 比 较 有 效 的 方 法 是 通 过 & D E 6 进 当 6 9 :; 分析该方法的局限 8 行获取&! 对可 疑 数 据 进 行 分 析 和 比 较! 中 提 取 $% 从 < ;!> *5% + @ +( 算法 = *3* &? " 1A 出共性的"不变的 成 分! 成 攻 击 的 特 征! 前 已 提 形 目 对于序列 : 和6! 果 序 列 联 配 的 相 似 度 计 算 如 出的主要方法包括最大公共子串$ % % 0 * 提取 ? ! " ’ !( 基 函数定义为 于 . VD W IPPDN 算 法 的 内 容 的 数 据 流 划 GH H 9:H; D "$ ! % ;匹 配 字 母 数 ‘)a 不 匹 配 字 母 数 ‘<a 空 位 数 ‘ :6 _ ; ; ! 分 ’ ! (" 率 有 效 状 态 自 动 机 ’ (" 于 ) :LG 6< =A 概 @ 基 [ 9;; D H $% ? 2 [F]; D )2% CV N* F 7 I 算 法 的 *I GH HG 6 $ H 和 HV G : D H H< 其中! 是 字 母 匹 配 得 分! 是 字 母 不 匹 配 得 分! ) < ! D HG;. I6 H LD 9HD W 计算 ’ (等 8 $ 是空位罚分& 匹 配 字 母 数 是 联 配 结 果 中 匹 配 的 字 母 数! ; 序列联配 ’ ! (是将 两 个 或 多 个 符 号 序 列 进 行 比 >^ ;不 匹 配 字 母 数 是联配结果中不匹配的字 母数! 空 位 数 是联 ; 较和对齐!从而尽可 能 确 切 地 反 映 它 们 之 间 的 相 似 配结果中含有的空位符数 = 或相异!获取有用的信息和知识 8序列联配在生物信 ( 97 F D MJ NO 算 法 基 于 动 态 规 划 思 想! 9K9 G< DL 息学中应用 非 常 广 泛! 用 于 解 决 U 如 (/ 序 列 和 蛋 算法结束时将得到 一 个 全 局 的 联 配 结 果! 据 该 联 根 白质序列比 较" 物 同 源 性 分 析 等 问 题 8 序 列 聚 生 在 配结果计算出的相 似 度 值 最 大 = 算 法 具 有 两 个 主 该 类"文本分析"网络安全等领域序列联配算法得到了 要步骤#?% 算 所 给 定 的 两 个 序 列 整 个 的 相 似 分 $ 计 应用 8通过借鉴序列 联 配 算 法 在 生 物 信 息 学 中 的 应 值!并得到一个相似度矩阵&! 根据相似度矩阵! $% 按 用!本文提出了一种 基 于 多 序 列 联 配 的 攻 击 特 征 自 照动态规划的方法回溯寻找最优的联配 = 动提取方法 8该方法的基本过程是#首先将包含某一 若序列 : 和 6 联配后得到序列5 记为 :! " % $ 6 5! 新攻击的网 络 数 据 流 表 示 为 多 个 序 列& 后 ! 用 然 利 为了方便比较和显示!如图 ? 所示!联配结果可以表 多序列的 全 局 联 配 算 法 对 这 些 序 列 进 行 分 析!产 示为三个序列 : ! 和5= >6 > 其中! 和6 分别由: 和6 : > > 生的联配结果代表着新攻击的特征& 后! 联 配 最 将 插入适 当 的 空 位 符 产 生! 中 包 含 : 和6 对 齐 后 相 5 > > 的 结 果 转 化 为 ’ * 规 则! 用 于 ’ *8 向 攻 击 特 U 应 U 面 同的字母以及通配 符) * #*5 体现了: 和6 的 ? 和) = 征提取的应用!本文提出了两种序列联配算法#奖励 相似关系!本文将5 中 被) * ? 分 开 的 部 分 称 为 # 和) * 相 邻 匹 配 的 全 局 联 配 算 法%2)(M $6 ; J J! % DH 6 N I 片段 = 联配 !"#$$!%&&’(&)"*!+,*-./ 算法的结果 !""""""""""""""""""""""""""""""""联配 012" !最佳结果" 图 ?! 序列)[ [ [[ Y [ 和) Y E E EE * 6 D 9]; 6 * E 6 6 D 9] 两个可能的联配结果 ;
"期 唐 ! 勇等&基于多序列联配的攻击特征自动提取技术研究 ?= @@ !! 实验中 发 现! 9K9 G< DL 算 法 存 在" ( 97 F D MJ NO 易 / % 中而被丢弃( 然 后! " " 1 代替原来 " # ) 用 / %)" 产生 碎 片# 问 题 ! 不 适 合 应 用 于 特 征 提 取 = 的 $% " 并 考 的 序 列 "V / 9) I # 用 " " 1 代 替 " / < GL K %W 1 O ! / % ) H X e 虑下面的例子 = / %F 1 ) 后! " " 1 和"/ % ) 进 行 7 ) #最 对 / %)" " 1 例 ;= 联 配 字 符 序 列 :_ "[ [ [[ Y [# ! 6 D 9 ]; 6 和 联配! 联配的结果表示成特征为" # 1 # #/ % ) # = 6_ " Y E E E E # 参数设 置 为& 配 得 分 ) _?! E 6 6 D 9] = ; 匹 虽然 3 7IG O 解 决 了 ( 97 F D MJ NO 算 6E P: 9K9 G< DL 不匹配得分 <_b# ^! c 空位罚分!_b?= 法易产生碎片 的 问 题! 是 因 为 要 求 ; X D 互 不 包 但 69 图 ? 中联配’ ( G 和联配’ ( V 是两个可能的联配结 含!所以可能会丢失一些有 用的 片段’如例 ! 中" # / 果!其中联配’ ( ( 97 F D MJ NO 算法 输出 的 G 是 9K9 G< DL 因为包含 在 " # 而 被 丢 弃 ( 考 虑 如 果 对 例 ! / % 中 8 结果 =比较这 两 个 联 配& 配 ’ ( 相 似 度 值 _?‘ 联 G 的 进行 联 配 后 能 够 得 到 如 图 ! 所 示 的 结 果! 以 此 并 Aa ’ c a b?‘? ( b^ A! 配’ ( 相 b# ^‘=( ’ # _ c 联 V 的 结果 产 生 特 征 " #/ ? % ?) ? 1## 显 然 该 特 征 比 8 似度值 _?‘=a ’ c b# ^‘! a ’ ( b?‘? (A _b?c ) !$ 3 7IG O 产生的特征" # 1 # 加" 确# 一 6E P: # % ) # 更 精 8 联配’ ( G 匹配的字母有 A 个! 联配’ ( = 个) V 是 如果将 方面! 片段" # 以 保 留) 一 方 面! 过 单 字 母 通 / 得 另 通 只含有一个字母的片段称为碎片!则联配’ ( A 个 G有 配符" # " ? %?) # ? !/ ? 1 可以成为 一个描 述能 力更加 碎片!而联配’ ( V 没有碎片 = 准确的整体 = 尽管联配’ ( 相 似 度 值 要 大 于 联 配 ’ ( 匹 配 G的 V! 上的字母数 目 也 大 于 联 配 结 果 ’ ( 然 而 对 于 攻 击 V= 特征提取的应用来说!联配’ ( V 要优于联配’ ( 这是 G! 因为& 图 !! 序列"V / / %W 1 O 和" / / % F 1# G L K 9) I # H X 7 ) e ? 碎片容易导致误报 ’( 联配的结果 若将联配’ (G 表示成特征 # # # # #! 特 征 6 D9] 该 与随机 产 生 的 长 度 为 ? # 的 字 符 串 相 比 较!有 ## D! 基于多序列联配的攻击特征提取 A ^d 的 概 率 被 匹 配! 联 配 ’ ( 示 成 的 特 征 @c 而 V 表 #Y # ;6 只有 # # # @ @d 的概率被匹配 $ %= c ##" " 可见! 联 D ;! 奖励相邻匹配的全局联配算法 E4F = >@ 配结果中的碎片可 能 成 为 无 用 的 干 扰 信 息! 得 提 使 为了消除基本 ( 97 F D MJ NO 算法容易产 9K9 G< DL 取出的攻击特征不准确 = 生碎片的 问 题! 时 避 免 3 7IG O 方 法 产 生 的 特 同 6E P: ! 连续的片段更可能含有语义信息 ’( 征不够精确的缺点!本文提出一种奖励相邻匹配的全 相比 之 下! 配 ’ ( 含 有 连 续 字 母 的 片 段 联 V 中 局联配算法 %2)(M ’ 6; J J!2 ;ON) LJ< % D I 6 N GL9 D6P H ; 6 显然 更 具 有 语 义 信 息 = 络 协 议 的 字 段 一 般 "Y # 网 ID 9K9 G< DL ( GHI ( 97 F D MJ NO = 是由多个字母组成的’ 例如" 4 # " ) # ! &4 3 !C 4 等( 而 与 ( 97 F D MJ NO 算 法 一 样! 9K9 G< DL %2)(M 算 = 位 机 器 上 一 条 指 令 由 连 续 的 A 个 字 节 组 成= ! 所 法也是一种动态规划算法!其时间和空间复杂度都为 以! 网络数据流中含 有 连 续 字 母 的 片 段 显 然 更 有 可 ?’)(0 和 ) 分 别 是 两 个 序 列 的 长 度(%2) 0 ’ = (M 能含有语义信息!应该尽可能地保留到联配结果中 = 算法关键 的 改 进 是& 了 鼓 励 将 连 续 的 字 母 联 配 为 < <!B50& A = $9,C 在 一 起 ! 入 了 连 续 匹 配 奖 励 函 数 -#’ ( 其 中 : 引 0 : ! 3 7IG O" 是一 个 主 要 针 对 变 形 蠕 虫 进 行 攻 $% 6E P: 是 连 续 匹 配 的 字 母 数 目 = 虑 线 性 的 空 位 罚 分! 考 击 特 征 自 动 提 取 的 系 统 8 对 ( 97 F D MJ NO 针 9K9 G< DL %2)(M 算法所对应的序列联配得分函数为 算法易产生 碎 片 的 问 题! 6E P: 首 先 计 算 0 个 3 7IG O "’ !(A ;匹 配 字 母 数 B ) C;不 匹 配 字 母 数 B< C 2@ 序列中至少 出 现; 次 的 所 有 互 不 包 含 的 子 字 符 串 ;空 位 数 B!C $ -#’ % ! 0 % (’ ( 5 ’称为; X D ! 6 9 ( 然后通过特殊符号" 和; X D 重新表 69 5是 联 配 结 果 中 的 片 段 示原来的序列!最后再对新 的序列 串 进 行 联 配 8 ! 例 举例 说 明 连 续 匹 配 奖 励 函 数 的 作 用 = 果 定 义 如 举例说明了 3 7IG O 的工作过程 = 6E P: -# :( ’ b?( 则 例 ? 中 联 配 ’ ( 相 似 度 值 0 ’ _= : ! @ 的 例 <= 用 3 7IG O 的 方 法 联 配 字 符 串 "V ! 6E P: G< b$ $ ?‘=a ’ ( Aa ’ c ( c ’ b? ‘? b# ^ ‘!a=‘!’ =b / / %W 1 O 和" X 7 ) 8 L K 9) I # H/ / % F 1# e ! ( 大于联配’ ( (! G 的相似度值 b^ A ?‘Aa ’ c ( c ’ b# ^ 首先! 计算出现次数大于 ? 的互不包含的子字符 b? ‘? ( 因此! ‘=a ’ ( # = %2)(M 算 法 将 输 出 最 佳 串’ X D( 得 到 " # " 1# " # 为 包 含 在 ; 9 ! 6 / % 和 ) ’/ 因 的结果!即图 ? 中的联配’ ( V=
?= @$ 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 算法 ;=!%2)(M 算法 = 通配符序列中的 元 素 进 行 比 较" 中 # 和$ 分 别 表 其 输入!序列 2" @ 示两个普通字母 = 输出! " 的最大的相似度值及最优联配 2@ 表 ;! 含通配符序列中的元素比较关系 ?=初始化 = 联配结果中的 : ’( 联配结果中的 6 ’( 联配结果中的5’( >/ >/ / G D# " $ " # " $ = # # _# 8 # # _# # # # # ? V 1 P9L E_?" " 1 = 6 GO ! %" $ # ? ? D# "$ E " # "$ #E _ ! 8 #E _# ? ? ? L 1 P9L / " " F = 6 GO _? ! %" # # # ? # # D#" $ / " #" $ / # _ ! 8 / # _# b # # !=主迭代 =填充局部的联配结果 # # # # b # 1 P9L / " " F 6 GO _? ! %" ? b # 1 P9L E_?" " 1 6 GO ! %" 8 b?" b? a?" W /_ E H2 @ 算法 <= 层次式多序列联配算法 &2* ! /8 8"_ /E &/ #" E H2 & E W/ @ 输入!序列集合 " D#"$ /E _ 输出!多序列联配结果 D#b?E $ 52 "E$ -# 8 " $ ’ N ?( / "b? a #/ @ a 0 #/E "L 9 G ?=初始化 = *" H ( F [ D#b?"$ !" G’ / ’N! L 9 ( !=层次迭代 K6 Ea G ) #"b?$ !" D /E a ’N= L 9 ( G 8* &, U /C"H ’ N ( O 9% %+?" 6 YH H 7 K (’ W L 9? G , #"$ 0 1 H L 9! G./E _’ ) 4" W ’ N ( G H % %_?" H 中只剩序列2" 9 将 2 加入 8 WH 即 ; D O ) 3" H ’ N ( - W L 9= G 99 7N 结束 = 从 H 中任意选取两个序列2 和@" == 应用两序列联配算法 # %2)(M 或 ( 97< 9K9 G 输出最大的相似度值 D# " $ = F 1 " V 从 G. F " $ = , # 1 回溯路径得到最优的联配结果 = F D MJ NO 对 2" 联配" G< DL $ @ 联配结果为 I/ " &2 @ 判断剪枝! D <! 层次式多序列联配算法 G4 ! = / ! WI/ " 包含 的 片 段 数 +=G K 有 两 个 片 段 ’ &2 @ D 基于变形和隐蔽 技 术" 击 # 虫$ 能 具 有 多 攻 蠕 可 的长度大于等于 = 种形态 = 以 必 须 对 同 一 攻 击 的 多 个 样 本 进 行 分 所 !! O D 将 I/ " 加入 8 ;9 &2 @ 析" 就是进行多序列的联配" 能得到 准 确 的 泛 也 才 H *8 化 程 度 高 的 攻击特征 =在两序列联配算法 %2)(M J; 8 DH 7% %,? 的基础上"本文提出 了 一 种 适 合 于 攻 击 特 征 提 取 应 ==结束 =输出 8 中的元素 用 的 层 次 式 多 序 列 联 配 算 法 &2* # HPPOL7 / &9GLHG 图= 说明了 &2* 算法的剪枝过程 = / 剪枝的作 2 7< 9 J D9/HD 9; = 算 法 主 要 具 有 = 个 J; * Q 9 L 7 F D $ 该 H I 用是及时去掉平凡解"以提高算法收敛的速度"并使 特点!? 俩俩配对" 层 得 到 结 果)!$ 持 序 列 含 #$ 逐 # 支 算法可以抵抗噪音的干扰 =因此"判断剪枝是 &2*/ 有通配符)= 带有剪枝功能 = #$ 算法的关键 = 联配结果中片段的数目要大于等于 以* 为了 支 持 含 通 配 符 序 列 的 联 配" 们 对 两 序 列 我 ="并且有两个 片 段 的 长 度 大 于 等 于 =+ 为 剪 枝 的 作 联配算法 # %2)(M 算 法 和 ( 97 F D MJ NO 算 9K9 G< DL 条件" 其的依据是!?$ 献 ’#( 出 了 一 种 可 以 有 # 文 ? 给 法$进行了扩展" 方法 是!?$ 入 单 字 母 通 配 符 * + # 引 ? 效描述攻 击 的 ) N 6! G G 3 模 型" 模 型 说 :H D C FF ! H 7 该 和多字母通配符* +# $ 两 序 列 联 配 的 结 果 表 示 # )! 将 明攻击往往具有三个关键片段)! 连续三字节可以 #$ 为一个含上述两种通配符的序列)= 按照表 ? 对含 #$ 比较有效地描述攻击特征 ’?"!(= ? ? 多序列联配结果 样本序列 第 !层 噪音序列 剪枝 第 "层 第 #层 第 $层 图 =!&2 / 算法运行的示意图 *
"期 唐 ! 勇等)基于多序列联配的攻击特征自动提取技术研究 ?= @> 定理? 给出了 &2* 算法的一个重要性质! / 即 : ! :. 中相邻两个 片 段 / 和 之 间 肯 定 包 含 字 . . ! "!# 在多序列联配过程 中! 段 之 间 的 位 置 信 息 能 够 在 片 母#! : !, ! :, 中 相 邻 两 个 片 段 / 和 之 间 而 , : "!, ? ! # 一定程度上得到保 留 = 文 第 A 节 将 进 一 步 说 明 该 本 肯定包 含 字 母 $! 此 : ! . ! :. !, !, ! :, 因 . ? : . ! "! # : : ? , ! "! # 性质的作用 = 中相邻两个片段 / 和 之 间 一 定 包 含 一 个 字 母 % # 定理 ;= 多序列联配的 位置 保 留 定 理 = 0 个 ! 设 或$&= 序列:? !! ! : 应 用 &2* 算 法 得 到 的 联 配 结 : "! 0 / H 不失一 般 性 5 ’( #!, ’( # $ 则 : ! %& H > & _ 5 & _ ?! . . > ? 果是5 如果5 中 相 邻 两 个 片 段 / 和 之 间 含 有 ; ! :. !! :. 中相邻两个 片 段 / 和 之 间 肯 定 包 含 字 "!#. 个# $ ? 通配符!则对于任意一个的序列 : % / 0& / ?, , ! 母#! : !, ! :, 中 相 邻 两 个 片 段 / 和 之 间 而 , : "!, ? ! # : 中 / 和 之间至少含有 ; 个字母 = / 肯定包含某一字母 = 证明 =! % &. ’( # $>’( # $ 则 : !. ! :. 中 H 5 & _ ? ! & _ ? ! . : "!# H > H 5, ? ! . % & 先 证 明 两 个 不 含 通 配 符 的 序 列 联 配! ? 首 满 相邻两 个 片 段 / 和 之 间 肯 定 包 含 某 一 字 母! 而 足定理 ?=设不含通配符的序列 : !E"5! ! 5! 中 / : /E 若 /E : !, ! :, 中相邻两个片段 / 和 之间肯定也包 , ? : , ! "!# 相邻两个片段 / 和 之 间 的 5! ’( # $ 必 然 是 /E & _ ? ! 含某一字母 = : ’( : ’( 由于: !E和5 ! 相匹配的字母和片段 >& & > & = / E >: / > /E 因为被联配序列的一个字母只能对应到联配结 是对齐的! : !E是由: !/插入若干空位符生成! 且 >: / > / 6 果中的一个位置!由上面三种情况的分析可以得到) 所以 : ’(: ’( 别 也 是 在 : !E 中 / 和 之 间 > & !E & 分 / > / : 若5! 中相邻两个片段 / 和 之间含有 ; 个# $ 则 ., ?! 的一个字母 =由于被 联 配 序 列 的 一 个 字 母 只 能 对 应 : !! ! :. !? !! ! :, 中相邻两个片段 / 和 . ? : . . , , "!# : : "!# , 到联配结果中的一个位置! 所以若5! 中相 邻 两个 片 /E 之间至少含有 ; 个字母 = 段 / 和 之间有; 个# $ 则 : !/中 / 和 之间至 ?! / 6 = 由于 &2* 算 法 反 复 调 用 两 序 列 联 配 以 %& / 少也有 ; 个字母 = 及% & % & ? !! 的结果!定理得证 = 证毕 = ! 含有通配符的 .! " .! = : !. ! :. " %& 5 5 5 , 设 . : "!# , ? ! . D D! 攻击特征自动提取系统框架 = . : : ? , ! "!# 5 且满 足 定 理 ?= 如 果5! 中 相 5 !, !, ! :, " ,! 则 ., 主要 针 对 变 形 病 毒 和 缓 冲 区 溢 出 攻 击! 立 在 建 邻两个片段 / 和 之间的5! ’( # $ 则根据算法 ., & _ ? ! & D E 6 系统之上! 6 9 :; 本文设计并基本实现了一个攻 扩展% ? ! 表 & 只可能是下面 = 种情况) 击特 征 自 动 提 取 系 统! 框 架 如 图 A 所 示 8 中 其 其 %&. ’ ( #& _ >’ ( 那 么 由 归 纳 定 义: ! H5 & _ $ 5 & ! > , . ? %2)(M 算法和 &2* 算法是该系统的核心 = / 分布式 去除噪音 多序列联配 !"#$%&"’ ()*’+,-."#/01’$2’3"* 攻击聚类 !!678算法 " 系统 3*/4"*$%&"’5 96:;< 算法 # =>7 中应用新规则 特征转化 图 A! 基于多序列联配的攻击特征自动提取系统框架 !! 该系统的主要工作过程如下) %2)(M 算法进行多序列联配* @ 将联配的结果转化为标准的 * 6;规则 ? * ’@( % & 向 大 规 模 网 络! 用 基 于 代 理 的 分 布 式 ? 面 利 %& DP & D E 6 系统 ? 采集可疑的数据和事件* 6 9 :; ’=( $ 将提取出的特征应用于 ’ *! * 6; %& U 如 DP = % & 6 9 :; 系 统 采 集 到 的 数 据 可 能 含 有 噪 ! & DE 6 声%正常的数据和 行 为& 为 此 我 们 提 出 了 两 种 针 对 ! H! 测试结果及分析 & D E 6 系统的攻击检测模型+ +4 . 3 模型和 6 9 :; + 1 3 H ;! 测试数据和算法参数的选择 = 贝叶斯模型 ’A(! ? 基于这两种模型进 一 步 确 定 攻 击 行 为 了 便 于 比 较! 文 选 取 / GO! DL 9 " , 本 :L 9 B GXP 为!从而去除掉噪声* ( ! * C# 和 /4 O; K$ 这三种 漏 洞 利 用 攻 击 ’ U 4’ 3 ;: % & 可 疑 数 据 进 行 攻 击 聚 类! 得 同 一 类 或 = 对 使 相似的攻击聚合到 一 类 中! 前 本 系 统 采 用 与 3 7 目 6< " %8 /( ! #<! @8 ;: - YYY89JHE6J 86 -H- % ! # =# A O; )- NLP WLN L F VK ; > ! -HLNHD 8 > = K JN - N 6 E P: 相同的聚类方法 * ’( " IG O # * *’N ;; ) HDY P /( D; J9 06 6 F8 ;: - YYY8 D 8P- ! - H O; )- N N 6I E X G 7 D8; H O F8 6 % & 于 同 一 类 攻 击!应 用 &2* 算 法 和 A 对 / $ O; )- ;: - YYY8 LP E D 6 8 - 6N$ A8; 7 N JH 8D ZP K L= = O F 8 9 ; J
?= @^ 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 作 为 测 试 用 例! 利 用 病 毒 变 形 引 擎 %9 "$# 和 并 7;? 特征中就缺少与后面的 )[ # [ # [ /* 联 系 的 . #. #. 1 有 /U2F ;; " 进行了变形处 理! 得 每 种 攻 击 各 产 JG9 使 )[ # 8 一 方 面! 于 引 入 了 单 字 符 通 配 符 ) * .# *另 由 ?! 生A# 个样本#8 了 评 估 误 报 率 和 漏 报 率! 文 使 为 本 在 &2*/a%2) (M 算法所产生的特征中! 片段之 用两 个 不 含 攻 击 的 测 试 数 据 集! . 3 " 数 据 U / / " 间的位置关系更加准确 8例如!对于 / GO! DL< : L 9 B GX 库 ">#中的第一 周 数 据 以 及 从 国 防 科 技 大 学 内 部 网 ? 9 攻 击! P &2* a%2) / (M 算 法 产 生 了 ) [ 1 .1 . 络中采集的 @ 天 的 网 络 数 据 $ &4 3 和 U * 协 以 4 ( [1 ? ? ? ? ? .. * 其中 ? 个) * ? ? ? ? ? PD ! # ? 表明特征片段 议为主! 含 ^ # 个 数 据 流 %%2) 包 !? 8 (M 算 法 的 参 . 1 . 和)P D 之间具有 ? 个可 变的 字母 8 )[ 1 [ * .. * # 而 数设置为&匹配得分 ) _?! 匹 配 得 分 <_ b# !! 不 c 这 ? 个字母很可能 恰 恰 反 映 了 攻 击 隐 藏 或 攻 击 变 # 空位罚分!_ b?=并且! %2) 将 (M 算 法 的 连 续 匹 形技术的效果 8 配奖励函数定义为 表 = 给出了 &2* /a%2)(M 算法和 &2* / $ b? ‘? @! : % c 若 :,= a( 97 F D MJ NO 9K9 G< DL 算法在产 生 碎 片 数 和 运 行 时 -# :% 0$ _ ’ =a $ b= ‘# @! 若 :-= : % c $% = 间上的 对 比 8 以 看 出! 可 &2*/a%2)(M 算 法 和 H <! 生成的攻击特征 = &2*/a ( 97 F D MJ NO 算 法 的 计 算 时 间 相 9K9 G< DL 表 ! 给出了 3 7IG O 方 法( 6E P: &2* 算 法 配 合 / 当!&2* a %2) / (M 算 法 产 生 的 碎 片 略 少 于 %2) (M 算 法( &2* 算 法 配 合 ( 97 F D MJ < / 9K9 G< D &2*/a( 97 F D MJ NO 算 法 8 于 &2* 9K9 G< DL 由 /a NO 算 法 对 三 种 攻 击 所 产 生 的 攻 击 特 征 8 表 ! 中 L 从 %2)(M 算法 尽 可 能 地 保 留 含 连 续 字 母 的 片 段! 可以看出! &2* /a%2) (M 算法 产 生 的 攻 击 特 征 其产生 特 征 的 质 量 要 优 于 &2* a ( 97 F D / 9K9 G< 比 3 7IG O 方 法 产 生 的 攻 击 特 征 准 确 8 方 面! 6E P: 一 MJ NO DL 算法 8 如 在 表 ! 中 对 于 /4 O; K 攻 击! 例 3 ;: &2*/a%2)(M 算 法 产 生 的 特 征 片 段 更 多 更 准 &2*/a( 97 F D MJ NO 算法因 为 碎 片 的 干 扰 9K9 G< DL 确8例如&对于 ( ! * C 攻击!6E P: 产生的 ’ U 4’ 3 7IG O 而缺少了重要的特征片段)[ 1 [ 1* .1. 8 表 <!G4 ! 算法和 B50& A 方法产生的攻击特征的对比 / $9,C / GO! DL 9 的攻击特征 :L 9 B GXP ( ! * C 的攻击特征 ’ U 4’ /4 O;K 的攻击特征 3 ;: C 4%#&4 3 ? ?PD & .. & N & ) 4 +c .. # # PD 6; 37IG O 6E P: . 1 . # [# [# [ / [ 1 [ 1 . #. #. 1 C 4%+ [ 1 [ 1#% &4 3 ? ?PD ) #. 1 . 4 +c .. # P D &.. & N &. 1 . .. .. # # P D 6; # [ 1 [ 1# P D C 4?????%&4 3 ? ? P D# P ) ????? 4 +c .. .. &2 /a * # [# ???????[ # . # ??????? # . . D 6; %%#.. & N & & N& P D 6; %#. 1 . [1 C 4%+ ) 4 +c .. #% &4 3 ? ? P D ( 97F D MJ NO 9K G< DL 9 [ # [ /? #. 1 ? [ 1????? P D ????? . . C 4%#%&4 3 ? ? P D#& .. ) 4 +c .. %# P # [ 1 [ 1 . # ???? C 4%+ [ 1 [ 1???????????? . 1 . # [ # ???? ) #. 1 . ??????????? &2 /a%2) * (M D 6; %#.. & & N& P D# %#.. & N & P D 6; ??? [# [# [ /? ??? # . # . 1 ? . ??????????? # 个# 4 3 ??PD ??????????" ^ ? & 4 +c .. %# [ 1 [ 1????? P D . 1 . ????? . . 表 D! 联配过程中的碎片数和性能比较 &2 /a%2) * (M &2 /a( 97 F D MJ NO * 9K9 G< DL &2 /a%2) * (M 9K9 G! DL &2 /a( 97 F D MJ NO * 算法碎片数 算法碎片数 算法运行时间$% N 算法运行时间$% N / GO! DL 9 :L 9 B GXP !$ ! != A ?# A ?= = ( ! *C ’ U 4’ ?^ = ?@ A =@ =# /4 O;K 3 ;: !? = !! A ?# ? ?# # H D! 产生 I / 规则 = J 本文将图 @ 给 出 的 三 条 规 则 应 用 于 * 6; 系 DP 根据 表 ! 所 示 的 序 列 联 配 结 果! 以 产 生 相 应 可 统!利用 A ? 节介绍 的 测 试 数 据 对 它 们 进 行 误 报 率 c 的 ’ * 检 测 规 则! @ 给 出 了 由 表 ! 中 &2* U 图 /a 和漏报率测试 8结果显示!这三条规则的误报率和漏 %2)(M 算法的联 配 结 果 产 生 的 三 条 * 6; 规 则 8 DP 报率都为零 8从而说明了基于 &2*/a%2)(M 算 值得说明的是! 根据定理 ? 联配结果中的通配符)* ! ? 法产生的攻击特征是准确的 8 可用于确定特征片 段 之 间 至 少 含 有 的 字 母 数! 而 从 " B !G FF ;; 8O; &+ ! K JG9 ;: + YYY8 ; 6 L++ U2F ;;! X Y 8G L / JG9 反映特征片 段 之 间 的 相 对 位 置 关 系 8 N 6; 的 规 而 DP # ^ A8 PI c c ; 8] G # 感谢 ( Y 6 9+ 提供 37IG O 的相关源代码和数据 8 9 NF 8 6E P: 则选项) W9 * ) NG L * 恰 好 可 以 准 确 地 表 达 6 N; 和 K ;D9 $ W H $ ) W9 * 明 在 数 据 流 的 多 少 偏 移 量 后 才 开 始 匹 配!K < 6 N; 说 W )H N ;D9 说明从上一个特征开始 忽 略 多 少 个 字 符 才 开 始 匹 配 GL * 此关系 8 下一个特征 8
"期 唐 ! 勇等!基于多序列联配的攻击特征自动提取技术研究 ?= @" / GO! DL 9 ! :L 9 B GXP 7P ;:G EG Eb-G EG E " N ! / GO! DL 9f# H !# # # #6;D !C 4 # 6;D ! G9; L D D D D F I f :L 9 B GXP N ? # # ? L D9;f ) f L D9; K f 4 $ ? # # % # H G L !## 6;D !.! # 6;D !% U / & N.! # 6;D ! &4 3 ?8% U / f K ;D9? L D9;f f L D9;f # # % 6; f L D9; N f # # % # 6;D !.! # 6;D !% U / 6; ! # 6;D !% 1 1 f#6;D !% U / f# % U / f L D9;f f L D9;f # # %& N. f L D9;f 1 % L D9;f # # % K ;D9? # Z ?# H G L !# P ! % N 9 ( 4’ ! ’ U *C 7P ;:G EG Eb-G EG E " N ! ( 4 ’ f#H ! # # # # 6;D !% 1 1 f# W 9 !? # G9; L D D D D F I f ’ U * C N ? # # ! L D9;f 1 % 6W ;= = K N L D9;f # % # H G L !^ # 6;D !% # # / f# H G L !A# Z ?# 6;D !% # f K ;D9? ? L D9;f # # 1 % K ;D9? P ! % N N 9 3 ;: ! /4 O;K 7P ;:G EG Eb- G EG E " N ! G9; L D D D D F I f/4 O;K # H !? # # =# 6;D ! ) $ # 6;D ! 3 ;: f N K # # # L D9;fC 4 f L D9; f 1 % # 6;D ! &4 3 ?8% U / f# H G L !# # Z ?# % 1 1 f L D9;f 4 $ ? # # % K ;D9? ^ P ! % N 9 图 @! 根据序列联配结果产生的 * 6;规则 DP H H! 抗噪能力测试 = 本文还进 行 了 &2* 算 法 的 抗 噪 能 力 实 验 8 / 首先在理 论 上 分 析 &2* 算 法 的 抗 噪 能 力 8 / 固定使用 ! 个样本& # 不断插入更多完全随机产生的 若 ) 是算法输入中 的 样 本 数& 是 样 本 数 和 噪 音 数 0 噪声&分别测试算法 返 回 结 果( 回 正 确 结 果 " 到 返 得 之和 8考虑理想情况&即满足以下两个假设!? 任意 "% 的攻击特征准确%的概率 8 两个噪音联配都会产生平凡解而被剪枝#! 任意两 "% 实验 结 果 如 图 $ 所 示 8 法 返 回 结 果 的 概 率 略 算 个样本联配都不会 被 剪 枝& 且 可 以 产 生 准 确 的 攻 并 低于理想情况&主要 原 因 是 没 有 满 足 理 想 情 况 的 假 击特征 8那么参考图 = 的示例&只要在第一层中有两 设 ?8也就是说某些噪声之间联 配 后 没 有 被 剪 枝 掉& 个样本配对在一起& &2* / 算法便 能 返回 正 确 的结 从而与样本之间的 联 配 结 果 进 行 联 配& 致 没 有 结 导 果8因此& 理想情况下算法返回正确结果的概率分为 果返回 8 $ 显示& 图 算法返回的结果中有很多不是准 下面两种情况! 确的攻击特征 8我们 发 现 其 主 要 原 因 是 没 有 满 足 理 ? ) 0 ! 由于在第一层中共有 0 ! 个配 对& "% - $ & $ 想情 况 的 假 设 !& 就 是 说 仅 仅 通 过 两 个 样 本 得 到 也 从而根据抽屉原理& 算法成功的概率是 ?= 的特征因为泛化程度不够而不准确 8因而&算法的结 ! ) 0 ! 则算法成功的概率为 "% , $ & 果只有来自于多个样本的联配&才会是正确的 8 $ 0 !b? $ 0 !b! 实验结果表明 &2* 算 法 有 较 强 的 抗 噪 音 能 G_?b?‘ $ 0! ‘ $ 0! )J? ‘’‘ " %" % 力8 / 噪声数小于或等于样本数" 噪声数$样本数 ,? & % $ 0 !b)b? ? " $ 0! _?b ) / " b! % 0 /A? 0 /= % 算法都能以较大的概率返回正确结果 8同时&该算法 !"# !%# 理想情况 理想情况 有结果 有结果 $%& 有正确结果 #%& 有正确结果 $%’ #%’ 概率 概率 $%( #%( #%) #%) # # #******************!******************)*****************+******************(******************,******************’*****************-******************& #*****************!******************)*****************+******************(*******************,******************’*****************-******************& 噪音 . 样本 噪音 .样本 !"#$%&"’()!*+"’,)-溢出攻 击 !.#$/012$3405溢出攻击 理想情况 !%# 有结果 有正确结果 #%& #%’ 概率 #%( #%) # #******************!*****************)******************+*****************(******************,*****************’*****************-******************& 噪音 .样本 6’#7%38(99&:溢出攻击 图 $!&2 /a%2) * (M 算法抗噪能力实验的结果
@# ?A 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 在抗噪能力上还存在较大的改进余地 8例如!可以通 $ 4D ! O D*8 UWDHIG GD; D9D;Y P N /N < G IR8 % 9 8 99 KD IHN ’;P9 6 F # HI D;P! G9 : PGO8’ #369KD N 6 O ( , ,2! GJ9 VNKG :6L D PL9HI W;9’ 1 % 过多次调用算法得 到 多 个 结 果! 后 再 对 这 些 结 果 然 2G H 16HG ! # != A%? " H F ! 7P ! # @ ? ^ K =A 进行联配!便可以以更高概率获得正确结果 8 > ( 97 F D*8 !MJ NO%8 8/I DP7F ; 6 :7 G7 9K9 G 8 DL U8 9 9G 9O KG : LV9 H ; O 9POWPNF7PHN D;9G H6GH 9 J D96 ; 6 6;9NGL 6 H H H 9 H O FD L G; KNQ 9 L W Y K! 小 ! 结 :69D 8 6 PG W 2 7L7P66 E ? > ! ^$ % A =% P;HN + JD76 69JG H7I ! " # A = # A A= @ F; ! G9 F D ^ * HO48 M ;P G 28 ’9;HG 6 WL FF D F 7L7P 8 K DHL; D6 6 6 69JG W H 本文 借 鉴 生 物 信 息 学 中 的 序 列 分 析 方 法! 出 提 N V9 J D9 8 6 PG W 2 7L7P66 E ? ^ ! A $ % J NQ 9 LN + JD76 69JG H7I ! " ? ? > ? # 了一种基于多序列 联 配 的 攻 击 特 征 自 动 提 取 方 法 8 ? @%? > " " " ( Y 6 9+ !B P 8 * D U8 6E P: #/ ; F ; G E 9 N F 8 G: ! 6I 837IG O J6 G L7 H 7 该方法的核心 是 两 序 列 联 配 算 法 %2)(M 和 多 序 I DP; IN D;PN 6 6E 6:H 6 F 8 D# PL9HI 9 9G D H GJ9 WP:7 F P OLY P N ’ 369KD N H I 列联配算法 &2* 通过在联配 过程 中奖 励 相邻 的 /8 6 ;9 ) )*g3! # ! G7D ! GWPH ! # @! ! WO ’) # @ , XG K %7 6DG ! # ! $%! ? H A 匹配! %2)(M 算 法 克 服 了 ( 97 F D MJ NO 算 9K9 G< DL ?# %G K7 + .8 MJ*8 ! O D PD G 8 ! 7 18 % 6 I18 8 [ 9HD9 N I2< 48 ) :P LNJH 9 D H D NG 6 NG;6 WPL:JHIG KG GEHID Z7Y P NWPJ < 67 6 G;P D D D7] D 69 6 F 6 D 法易产生碎片的问 题! 得 含 有 连 续 字 母 的 片 段 尽 使 X 6 DZ79GH; N ’ #369KD N6 O C ’ * U . D Y JDPVH 9 8 D PL9HI W;9 ’* C ’ / 7H &2* 算法建 立在 两序 列 联配 算 可能地予以保留 8 / % D99 L DU ;L 6 W DPN D G K2 7 G9 D JDP 6WPD96 99; D6 ’;JH N D GY P G K5 79< H 6 法之上!是一种支持通配符"带剪枝的层次式多序列 GH; N9N 9; 59 D ! # @! !%@ VHE/ NN F D ! HD G ! # = 7 # ?? %G K7 + .8 * O DU D !MJ*8 !% 6 I18 8, PD G 8 ! JT 9< 6 I 7 18 O D 48 D 联配算法 8 KP HI J X 6 D Z79GH; NW6 TP U E :7 F P OL 9H D D D Y JDPVH 9 P F 96 G 6E 6:H Z 7H 实验结果表明该方法 具 有如下 优点#? 该方 法 $% G KF ; F P OLY P [7H 8 D# PL9HI W O %2 D 9G 6:H 6 F9 :6 N ’ 369KD N6 ;9/ ; 产生的攻击特征包 含 位 置 相 关 信 息! 而 相 对 传 统 因 % *! # !/9 G KH !5PHH ! # @! = % # @ 7[ D P G HIDG ! # ! @%! ^ A 方法结果更加准确&! 有效的剪枝策略使该方法可 $% ?! J+ ! HI38 B7%8 T G S 8 (D ! H ! OHR8 6 O7 ! 6X 6;%8 / ; F ; K 8 J6 G L H H < G D N D 9: D9 6F F P 6P :HDZ79GH; N ’ # I 6H KPN 6 N ; 9 6ELPJ ; NG 6 JDPVH 9 8 D 7H $ 该方法产生的攻击特征 以有效抵抗噪音的干扰&=% PL9HI W;9 %2 % * ! # ! /9 G KH ! 5PHH ! 369KD N6 O / % # @ 7[ D P G HIDG 与主流的 ’ * 规 则 有 着 天 然 的 相 似 性! 于 应 用 到 U 易 !# ! ! # @ ! =%! A = ’ * 中去 8 U 下一 步 主 要 研 究 如 何 提 高 该 方 法 的 性 能" ?= M D H !& & GHI 4 D R D 8 ; K D F 7 F DG G I+ 9 J J :D ! G I 6 I *J EG KH :9 9;< ; D6 H P J9 Z ;G 6 9 D;NN9 ( *8K NPG H WK ; V ;K H J7O D E 9 E; F 28 6 NH P H 9;< N 减少空间开销! 进一步提高算法的抗噪能力等 8 ; D 8( ; D7- H9N E6 99 N 9O 66 E % G IO ! H ) G 6 G DZPH WUWD94 L D7I ! O D N G 6 H ; ! # $ ODN % # AH H99 D% 参 考 文 献 $ !洁8 汪 分布式 虚 拟 陷 阱 网 络 的 设 计 与 实 现 ( 究 生 学 位 论 研 文) 国防科学技术大学! 8 长沙! # A !# % ? B 9VL ! P Y PW 8 6 9L F PG D DPN PHHO%8 % 6 L6;+ 8& D E6 VL9; IH;JHDK< H 6 9 ?A 4 D 6 I & & G3D !0 S< O D !M D H 8) O D G IR D ! J J<HI J H% 9 I G I+9 D G< ;L 6 HD;PNJHIO D E 6N ’ # PL9HI W O D 9; DN GJ9 N H I D 6 9 :; 8 D 369KD N6 ;9! K L I & D E 6 E; F Y; DPN D K;L 6 F K7 8’ # HD 6 9 :;NN9 HOH;JH 6 99; D 6 9 H N D M PN 6 D & ; 4 : NH ( ; 6X $ 6 ( ;!’ !% F 6X O :6 6 6H D 9Y PN & ; 9N’ % G < L 369KD N6 ;9AO’ ) D9D; D7 D6 F ; D / NP PL9HI W O ; ) )’;PG 6 G ’WP G 6 NJ< H H VHI !2/ - /! # =! ?%@ P 9 K * !# @ $ G L M PN 6 ! # $ D9 6X O : ! # ! ! ;7 8 D F 7J G7G! G9 9Y P H;J G IB8 *6 6*8 / 6 G6 N: E6K VNKD; 6X DP< MD W ?@ . 9L 28 D P #0I ; 9 O DPN D K;L 6 6 9< 6NO 8* 6; HO YH ;H;JH I 6 99; DWPD; H N DK;L 6 ’ # PL9HI 6 ;9./ U! 6 OG/ ; 6 N H 99; D8D 369KD N W O 6 H ’ * :H DH 7 ! :H Y PN ’ # PL9HI W O ? ; 6WPD96 E; F K 6X 8 D 369KD N6 ;9 =O% D99 L D* N9 N/ < 19 L HHP ! # A! # PD O.Z G ! # ! ?%! ! 9 ! FDNP; D! 9X7E % ! " "! ! HH G 6 P 9 ! / ? " ! "%! ^ ; H 9 = = ! G:8 J6P: #4 Y P J6 G9 ! H P J B F &8 B P H 8/ ;IG O 6 GKG; F ;K K ; V < NH ?$ U ; NG ! 7D:99 ! G F ! D 9K X 9P ;D48 -9 NHI748 2 76 R8 - KP J 28 8 H L 58 ;KY P HD;P 99; D8 D# PL9HI W O * ( S 9 6 FN GJ9K;L 6 ’ 369KD N6 ;9- ) ’ I H 37 F P OLN 9 LK DH9JHIN9;J D7N 8 OGX 6E 6:H O7 6 99 ID N 7 D :LP FG GEH 3 PL N *LP E * DU9 6 % ! # A! > 9JH ! G HI ! / ! # ! ?%! $ ; ^ , 7 92 I] 9 ! # ! ? D D G GH ! # = $ H D ! NG ! GI 99 ! GG 9 8/ ; F ;K A *D O*8 );D %8 5 P ON C8 * ZI *8 J6 G9 HI ?> H: G D.8 ! P KU8 8 C G ’ - 2 8 Z7G D DP< 0: F D 38 1H9 + ! PW 8, & ) GJ; IH;J H Y P HIPP ; I ’ #369KD N6 O ; / ’ * < 6 FW 9:H H 8 D PL9HI W;9$O %2 - ) D DD N DK;L 6 E; F #4 9? " U . / 6W7 9H;JHD 6 H !D H 99; DNN9 N O " ^ / 3 W H DPN 6 ( S* F 6H F6 :P; I* N9 U N DG K’ :9 9;< ’ E :N J D, 9G D E; F 9H D F 7 F DG H I K;L 6 Z7G 6 ’ # PL9HI W O # # U . /’< 99; D9GJ; D8 D 369KD N6 ;9! # / 3 D H H ; D $ * ’ ! G PDHL ! /!# A!@%$ H6 , U % * D1G L 6 % ! # A N # [ 6H 6 ! H D WP G 6 * PHGH; % D99 L G K ) : NHD &76 6 F ; D JZZ VHE 6WPD9 D H 7 ; ; @ R I 9 Y PD58 CW D+ ! GWP 9 DN GG ! HH 8 P6K38 + G*8 DGLH L W !O 8/ PO 9< ; & G ! %! # #! # # !%? = 9K * ! # ! ? ? #@ ;P 6 9 9G D 9 G; NG G9N D;PN ’ #369K J9WPI DP; IN F DH ! Y P H GJ9 8 D PL9< H L I HI W O * ( S*LP E 7 F P !2U! # @! >%? ! D N6 ;9- ) ’ 9JH ! G H 69 ; ; !# " ? L > $ 0 VP H " "! O8 ! )M + ! 6D D? > 3 U8 N ’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’0 VP H " > :69NP 3 U8 J 9Z < NP H 99POH;PNNHLJ 9D; 6XG KHWP G 6 6 8&NPNGL D99; D7K 9Y P D D6 F ; D H 9JH ! D P :6 P: E NLP E G KLE;IG O 8 ;
"期 唐 ! 勇等’基于多序列联配的攻击特征自动提取技术研究 ?A @? Q OB’J + ! 6D D? > ! O8 ! N6H; PWN G * $ 0 VP H " ? 3 U8 GNL 9:69< ? G 9JH ! 6;D 9OHJ ! ; 8 NLP E PJHI;L DQ 9 9L ; NP H 99POH;PNNHLJ 9D; 6XG KHWP G 6 6 8&NPNGL D99; D7K 9Y P D D6 F ; D H 2 (0$ + &.," 3 4 H G 9 N:P EN : 6;KV O G 6 G GJG ON: :PH G; J :P9 E;9( ; D7( ;P7 7 H ; DNN9 NG9:6 69 H 99;EGN H E; F P P: NK DPND 9P 8 6 *HD9 1 J K; D 6 % HG J KP :69; " O *LP E L L 6 D G 6 W OD D 9 PeL 4 9 9JH 9 H ; *Q 9L 7 D 9;ONV9 [9N 9EG : 9 D;9 9 J D9G I F D G 9D9;DH 7 :7 KH O H Z H 4 L D7I *J E 6 0 P9 *G 2/( 4 # Y; IG; 9O 66 E ;K W GI L7 9 ) HO PD H K6 HHWP G L 8 D;H G 9 ! O JO P PND W 7 WV6D6 F ; N ’ ON: :P ;9G;6N:99;G 9 H 6 $ @ = = ! D O G 6 G HO 9O 66 E 99PO ( c # > ? $ G K;9 ( ; D7 &I 4 L D7I . NGL H N D;P 9 9G 6 : PGO;G N J H 9 J D9G I < H GJ9I DP; DG :6L O;J9F 7< Q 9L 7 D I H ;N H G KU Z7: 9;36P F $$ PIG % W% HGJ KP P< D 99 F D PIG ^ =36P F 6 OD D 9 :6 6 F D GIP O N 6G; F ; G E:6 J9N D;PN6 6 9 9; 76H F ; J6 G L7 PK L H GJ9 WN F ; H 7 I eL " J K F DG 4 9P G K B E 4 L D7I NWP ( Y 9; 1 D G 9; 7 O6E D 9 9O 66H 6 9 9 D Z7 ;GX ! JOG 6E 6:H 6 F D JWP6 9< 6 9 G;L N NL N:7 F P OLY P NG KVW9 ZP C DP; D’;P9 6; I Y; PD 6 ! # // ! @ #! 99G 6 D9D;. J D # H H H OIG;( c # @ ? ? > W YG;L N O 6 9 E6 O JO P & : PGOPN7 76 ;GX 84 9D Z7 W;9G;6N G :6L 9J N ; ; G K;91 D W( ; D70 VP;P 6 2 KP 6 JH D O J K6 G 6 G G 6G6EWP 6 9D% FF D H < W6 Y 9 J D9 7 D 9;GIP O N P F; 6NQ 9LNG I F D 76H F H ; ’%2) $ 6< (M % D L; D W% HGJ KP:69; " * ! G9 23 P;L7 G 6 N6 OD D 9 PeL 5 * NK* %3666 # H ; J J!2 ;ON ) L JGHI ( 97 F D MJ NO % GI< H 6 N GL 9 I D6 PID 9K9 G< DL 76 Y; PD 6 @ A $ @ $ @ # # HOIG;( c ? = # # # BC ? !8 P O D &2 / $ HPPOL7 2 7< 9 J D9 /HD 9; H FG K ; * &9GLHG J H*Q 9L 7 F D % ; I 4 9K;L 6 G GH; WFNN U NK : D 9;6 O 99; DL: VH H 7 E6 HJ9’ *H 9 9 K D D GIP O 4 9F H K G;IN6 ;9 JO P & : PGOG9 76H F8 O GDG Z DG 9 W O G;6N G :6L P ; ;9D F 9 D J7 E6 ;GXN D;PN ON HD< O J VPG KQ G; WG;L H GJ9 84 99N G H I I N FF P 9 N 6 6 N $ % O 9 9G9 HD;PNG9G< J GH KG W7 Y 8 ? 4 9I DP;KN GJ9 P L ] 7 I ;PN 6 O U 9 P N G EI DP;K F D G E6 9 H J9 WP;9’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

Recommended

Zy
ZyZy
ZyZuhaib
 
PPI
PPIPPI
PPIguestcc5f377
 
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...guestf875
 
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)npinto
 
主要函数命令
主要函数命令主要函数命令
主要函数命令MichaelAllen01
 
Detecting biosignals with the Emotiv EPOC headset : a review
Detecting biosignals with the Emotiv EPOC headset : a reviewDetecting biosignals with the Emotiv EPOC headset : a review
Detecting biosignals with the Emotiv EPOC headset : a reviewiMALorg
 
Plan de recuperación y seguimiento
Plan de recuperación y seguimientoPlan de recuperación y seguimiento
Plan de recuperación y seguimientoBlanca Cañamero Vicente
 
planeta terra
planeta terraplaneta terra
planeta terrarato1997
 

Recommended

Zy
ZyZy
ZyZuhaib
 
PPI
PPIPPI
PPIguestcc5f377
 
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...
2006 Implementation Of The Total Field Scattered Field Technique In The 2 D A...guestf875
 
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)
[Harvard CS264] 15a - Jacket: Visual Computing (James Malcolm, Accelereyes)npinto
 
主要函数命令
主要函数命令主要函数命令
主要函数命令MichaelAllen01
 
Detecting biosignals with the Emotiv EPOC headset : a review
Detecting biosignals with the Emotiv EPOC headset : a reviewDetecting biosignals with the Emotiv EPOC headset : a review
Detecting biosignals with the Emotiv EPOC headset : a reviewiMALorg
 
Plan de recuperación y seguimiento
Plan de recuperación y seguimientoPlan de recuperación y seguimiento
Plan de recuperación y seguimientoBlanca Cañamero Vicente
 
planeta terra
planeta terraplaneta terra
planeta terrarato1997
 
Treball judits__sara_i_foix
Treball judits__sara_i_foixTreball judits__sara_i_foix
Treball judits__sara_i_foixguest2821916
 
Questionnaire analysis
Questionnaire analysisQuestionnaire analysis
Questionnaire analysisAndrew Hall
 
Alejo y la revolución
Alejo y la revoluciónAlejo y la revolución
Alejo y la revoluciónleandro bascuñan
 
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]Anais Gironès
 
O sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulherO sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulherUNEB
 
C:\fakepath\manualposicbebece
C:\fakepath\manualposicbebeceC:\fakepath\manualposicbebece
C:\fakepath\manualposicbebecediegodecarli
 
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdfشرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdfArdi Haitsam
 
Introduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin RohlingIntroduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin RohlingKevin Rohling
 
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...sugeladi
 
Improbidade
ImprobidadeImprobidade
ImprobidadeVinicius Canova Pires
 
Андрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в ПитонеАндрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в Питонеotkds
 
Luxe et Digital - Iscpa
Luxe et Digital - IscpaLuxe et Digital - Iscpa
Luxe et Digital - Iscpaluxedig
 
Catálogo Utiform
Catálogo UtiformCatálogo Utiform
Catálogo UtiformGlobal Trade Tender
 
لمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلزلمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلزSocial Media Exchange
 
Farmacologia cto 7
Farmacologia cto 7Farmacologia cto 7
Farmacologia cto 7Luis Medina
 
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحليةRagab Al-Areny, B.Arch.E,VMA,Intl. Assoc. AIA,NCARB,LEED
 
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ानबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ाNisreen Ly
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreEduardo Eduardo
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreEduardo Eduardo
 
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...KnowCamp
 
下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01sugeladi
 
Sun Storage 7000 in HPC
Sun Storage 7000 in HPCSun Storage 7000 in HPC
Sun Storage 7000 in HPCrjmurphyslideshare
 

More Related Content

Viewers also liked

Treball judits__sara_i_foix
Treball judits__sara_i_foixTreball judits__sara_i_foix
Treball judits__sara_i_foixguest2821916
 
Questionnaire analysis
Questionnaire analysisQuestionnaire analysis
Questionnaire analysisAndrew Hall
 
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]Anais Gironès
 
O sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulherO sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulherUNEB
 
C:\fakepath\manualposicbebece
C:\fakepath\manualposicbebeceC:\fakepath\manualposicbebece
C:\fakepath\manualposicbebecediegodecarli
 

Viewers also liked (6)

Treball judits__sara_i_foix
Treball judits__sara_i_foixTreball judits__sara_i_foix
Treball judits__sara_i_foix
 
Questionnaire analysis
Questionnaire analysisQuestionnaire analysis
Questionnaire analysis
 
Alejo y la revolución
Alejo y la revoluciónAlejo y la revolución
Alejo y la revolución
 
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
Noves tecnologies per_a_persones_amb_discapacitat_visual[1]
 
O sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulherO sublime ser maria... marias uma construção queiroziana de mulher
O sublime ser maria... marias uma construção queiroziana de mulher
 
C:\fakepath\manualposicbebece
C:\fakepath\manualposicbebeceC:\fakepath\manualposicbebece
C:\fakepath\manualposicbebece
 

Similar to Chinese automatic generation of attack signatures based on sequences alignment

شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdfشرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdfArdi Haitsam
 
Introduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin RohlingIntroduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin RohlingKevin Rohling
 
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...sugeladi
 
Андрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в ПитонеАндрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в Питонеotkds
 
Luxe et Digital - Iscpa
Luxe et Digital - IscpaLuxe et Digital - Iscpa
Luxe et Digital - Iscpaluxedig
 
لمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلزلمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلزSocial Media Exchange
 
Farmacologia cto 7
Farmacologia cto 7Farmacologia cto 7
Farmacologia cto 7Luis Medina
 
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحليةRagab Al-Areny, B.Arch.E,VMA,Intl. Assoc. AIA,NCARB,LEED
 
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ानबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ाNisreen Ly
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreEduardo Eduardo
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreEduardo Eduardo
 
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...KnowCamp
 
下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01sugeladi
 
GlassFish OSGi - From modular runtime to hybrid applications
GlassFish OSGi - From modular runtime to hybrid applicationsGlassFish OSGi - From modular runtime to hybrid applications
GlassFish OSGi - From modular runtime to hybrid applicationsAlexis Moussine-Pouchkine
 
找出你的金礦2
找出你的金礦2找出你的金礦2
找出你的金礦2Alex Lin
 
找出你的金礦2
找出你的金礦2找出你的金礦2
找出你的金礦2Alex Lin
 

Similar to Chinese automatic generation of attack signatures based on sequences alignment (20)

شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdfشرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
شرح ثلاثة الأصول وأدلتها الشيخ عبد الرزاق بن عبد المحسن البدر.pdf
 
Introduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin RohlingIntroduction to AI Agents (8/2/23) - Kevin Rohling
Introduction to AI Agents (8/2/23) - Kevin Rohling
 
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
世界玉米期货市场国际关联性研究基于中美日三国实证分析V $ '&,-2 ...
 
Improbidade
ImprobidadeImprobidade
Improbidade
 
Андрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в ПитонеАндрей Светлов. Расширение механизма импорта в Питоне
Андрей Светлов. Расширение механизма импорта в Питоне
 
Luxe et Digital - Iscpa
Luxe et Digital - IscpaLuxe et Digital - Iscpa
Luxe et Digital - Iscpa
 
Catálogo Utiform
Catálogo UtiformCatálogo Utiform
Catálogo Utiform
 
لمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلزلمحة عامة عن برنامج مادسكيلز
لمحة عامة عن برنامج مادسكيلز
 
Farmacologia cto 7
Farmacologia cto 7Farmacologia cto 7
Farmacologia cto 7
 
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
05. تحديد الاحتياجات وترتيب الأولويات فى إعداد خطة قطاع التنمية المحلية
 
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ानबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
नबी सल्लल्लाहु अलैहि व सल्लम की नमाज़ का तरीक़ा
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
 
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libreAtps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
Atps 2014 1_adm_5_estrutura_e_analise_demonstracoes_financeiras-libre
 
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
Riccardo Polesel – “Comunicare le energie rinnovabili: meno filosofia e più i...
 
下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01下载 《! #$%》&'()-+,-._01
下载 《! #$%》&'()-+,-._01
 
Sun Storage 7000 in HPC
Sun Storage 7000 in HPCSun Storage 7000 in HPC
Sun Storage 7000 in HPC
 
Prog auditori oct-des_2012
Prog auditori oct-des_2012Prog auditori oct-des_2012
Prog auditori oct-des_2012
 
GlassFish OSGi - From modular runtime to hybrid applications
GlassFish OSGi - From modular runtime to hybrid applicationsGlassFish OSGi - From modular runtime to hybrid applications
GlassFish OSGi - From modular runtime to hybrid applications
 
找出你的金礦2
找出你的金礦2找出你的金礦2
找出你的金礦2
 
找出你的金礦2
找出你的金礦2找出你的金礦2
找出你的金礦2
 

Recently uploaded

日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单
日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单
日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单kathrynalvarez364
 
EDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptxEDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptxmekosin001123
 
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书kathrynalvarez364
 
educ6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptxeduc6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptxmekosin001123
 
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书kathrynalvarez364
 
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单jakepaige317
 
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制jakepaige317
 
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,Xin Yun Teo
 
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptxEDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptxmekosin001123
 
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...黑客 接单【TG/微信qoqoqdqd】
 

Recently uploaded (10)

日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单
日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单
日本姫路独协大学毕业证制作/修士学位记多少钱/哪里可以购买假美国圣何塞州立大学成绩单
 
EDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptxEDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptx
 
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书
澳洲圣母大学毕业证制作/加拿大硕士学历代办/购买一个假的中央警察大学硕士学位证书
 
educ6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptxeduc6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptx
 
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书
布莱德福德大学毕业证制作/英国本科学历如何认证/购买一个假的香港中文大学专业进修学院硕士学位证书
 
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单
日本九州齿科大学毕业证制作🚩定制本科卒业证书🚩哪里可以购买假美国西南基督复临安息日会大学成绩单
 
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
 
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,
中国文学, 了解王安石变法,熙宁变法,熙盛变法- 中国古代改革的类型- 富国强兵,
 
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptxEDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
 
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
 

Chinese automatic generation of attack signatures based on sequences alignment

  • 1. 第! 卷!第"期 " 计 !! 算 !! 机 !! 学 !! 报 57 ! ( 8 68 " 6 " !# 年"月 #$ %& ( * ,-. 0 , ’ ) )+ (/ 1% ,23 ) * -4 . *: 8 # $ 9; ! # ! 基于多序列联配的攻击特征自动提取技术研究 唐 ! 勇 ! 卢锡城 ! 胡华平 ! 朱培栋 #国防科技大学计算机学院 ! 长沙 !A # > $ ?#= 摘 ! 要 ! 误用入侵检测系统的检测能力在很大程度上取决于攻击特征的数量和质 量 8 文 提 出 一 种 基 于 多 序 列 联 该 配的攻击特征自动提取方法!首先将可疑的网络数据流转 化 为 序 列 加 入 到 可 疑 数 据 池 中" 过 聚 类 将 这 些 序 列 分 通 为若干类别" 后利用该文提出的多序列联配算法对同 一 类 中 的 序 列 进 行 联 配( 以 产 生 的 结 果 代 表 一 类 攻 击 最 并 的特征8该方法的核 心 是 该 文 提 出 的 两 种 序 列 联 配 算 法! 励 相 邻 匹 配 的 全 局 联 配 算 法 %2) 奖 (M # 6; J J! % DH 6 N I 2 ;ON) LJGHI( 97F D MJ NO$ 层 次 式 多 序 列 联 配 算 法 &2 /# H GLHG 2 7! 9 J D9 /HD GL9 D6PID 9K G! DL 和 9 * &9 PO 7 J H*Q 9L 7 < P L ; I F D $%2) 9; 8 (M 算法克服了 ( 97 F D MJ NO 算法易产生碎片的问题( 9K9 G! DL 使得连续的 特 征 片 段 能 够 尽 量 地 予 以 保 留" * 算法以层次式策略对多序列进行联配( &2 / 支持通配 符( 带 有 剪 枝 功 能 8 方 法 可 以 自 动 地 提 取 包 括 变 形 并 该 病毒和缓冲区溢出在内的新攻击的特征(其主要优点 是!?$ 生 的 攻 击 特 征 包 含 位 置 相 关 信 息 ( 而 相 对 传 统 的 # 产 因 方法结果更加准确"! 具有良好的抗噪能力 8 #$ 关键词 ! 攻击特征提取"入侵检测"序列联配"变形蠕虫"缓冲区溢出攻击 中图法分类号 4 = " 3# ! # % # **& $ -!#( ’+#,1213$ 4 5! *"+*!’+ *# "$ & () +,# +$ # ./ &"* &* + " ’/6*( 5 % + ’ ’ & 0 # 0 4/(C R D !0 S< O D !&- & G3D !T 6 I - H% 9 I J<HI &- 3HU D 9 6I < ## %& ’( ) +- #-# ( 2/0&3 /-5 6% - -5 -$ %% 6( $ 0 5 2!A # > $ " $% % % * ,."/0- 1 , 2 04./ ’7 ’0-8 # 0&9 ( 2 9$ % , ?#= ! 1 &# 4 9K;L 6 G GH; 6 HJ9’ *H 9 9 K D D; 9D F 9 D Q G ; 6 ; 7# ( ! O 99; DL: V HE WFN N U NK : D 9;6 O J VPG K J7 E WG< , H 7 H ;L HD;PN 4 H : :P:99; DG;L HD;PNG; F ; I DP; DG :6L ( G9 GXNI GJ9 8 ON G 9 PNDNG ;GXNI GJ9 J6 G L 9 9G 6 : PGO VNK H H DF 7<9 J D9G I F D ! O J :L J W NG9 PDWP9 H; 9 J D9 D K 9 6G 6 J; NQ 9 L 7 D 9; 4 9N NH 6 N 7 Y P ;G N9PK D6NQ 9 LNG KG K K; H H H 6 N NH 6 N PW L: 6 " HOLJ;PD ( ON 9 J D9 P HH9 D6NZP7 7N9N V 9< J :L J ;GW 67 Y; 7N9HI ; 99NQ 9 LNG9KZK KH; 99G LJ;P " E [ H H 7H D O P : NKNQ 9 L 7 D 9;GI P F ( O 9 J D9 P F 9;H 7N9 P :6 HI; 9 :6 69 9 J D9G I F D 76HO N ; 9NQ 9 LNW6 LPGD LJ;PG9 ; H ; G I 9 D D HD;P O;P:99; D E 96 ;GXH I DP;K O :H;6 O : 7 D KG K6 9NI GJ9; G 9PNDN6 9; : WG;L N 9 9G9 84 9 6D W; 9G< H :6L NGI6 G 7 D 9;GI P O < PGOH 7V7G I F D 76H F %2) H ; (M # 6 ; J J!2 ;ON) L JGHI ( 97 F D % DH 6 N GL 9 D6 PID 9K9 G< I DL $ D J; NQ 9 L 7 D 9;GI P F &2* # HPPOL72 7< 9 J D9/HD MJ NO G KGF 7<9 J D9G I F D 76HO < H H ; / &9GLHG J; * Q 9 L 7 < H I F D $ 9 L JGHIL DHJ J E9 6V 7 D K;I; 9 ( 9; 8 E D6 PID 6 ; 6 NV ;N; 9G I 9 6 9OP %2) I H (M PK LN; 9 D79 L 9 J9 O HWJ D9 W PI 9; H O PLN WG I F D " 6 WG F DN D; 9:69N6 7 D 9; &2* 76HO NL GG;P 9 E Y7LP OPL H /GI P FH OPL9H KV H GKL GG< ; ] K ;P J :P D G K:JHIWD; D O G KG;IN6 ;9G;6N G :6L P !# $ O 9NN : 6; I D P DD J L 6 84 9F H ZDG9 W O JOP ) : PGOG9 ? 4 9 H H DG IDP;KN D;PNLDH W:NHDHWP G 6 O OH 99ZKK P IG I F DN !$ G 9 99G9 H GJ9 6 N ;6 6H6 D6 F ; DY H NPNP9 JH 7 D 9; "# & Z I N ; H L D H P V NDN IHN 6 9 8 6 J;9NG GD;DH N N 8 9 $3 ! G;L HD;PNI DP; D" DP N DK;L 6 " 9 J D9G I F D " 6E 6:H * : ,1 ;GXNI GJ9 9 9G 6 H;JH 99; D NQ 9 L 7 D 9; :7 F P OL H 6 H H 6 F "JWP6 9W Y Y P N V W9 ZP 6 7 收稿日期!# $#<>" ! #<=! 修改稿收到日期!# $#<=8 ! #<$? 本课题得到国家自然科学基金## > ? $ % $ @ = = $ 国家&八六三’高技术研究 发 展 计 划 项 目 基金## @ ? ? > $ ! # // ! @ # 和现代通信国家重点实验室基金#? = # # # BC ? ! 资 助 8 ! 勇( ? > 年 生( 士( 究 方 向 为 网 络 与 信 @A$@$@ ## $ 唐 男(" " 博 研 息安全%入侵检测% 6 9 :; ) F H! ;D !D K 8 J8 卢锡城( ? A 年生( & D E 6 8 < G EG I J;9 L 7 K D8 男(" $ 教授(博士生导师(中国工程院院士(主要研究领域 为 网络技术%高性能计算%并行与分布 处 理% 息 安 全 8 华 平( ? $ 年 生( 授( 士 生 导 师( 究 领 域 为 网 络 与 信 息 安 全% 码 学 8 信 胡 男(" > 教 博 研 密 朱培栋( ? > 年生( 男(" ? 博士(副教授(研究方向为网络安全和路由技术等 8
  • 2. ?= @A 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 2 ;ON) L JGHI ( 97 F D MJ NO% 层 次 GL 9 D6 PID 9K9 G< DL 和 ;! 引 ! 言 式 多 序 列 联 配 算 法 &2* $ HPPOL7 2 7< / &9GLHG J; H 9 J D9/H F D % * Q 9 L 7 D 9; 8 I 误用入侵检测系统的检测能力在很大程度 上 取 本文 第 ! 节 介 绍 现 有 两 序 列 全 局 联 配 算 法 应 决于攻击特征的数量和质量 8当前攻击特征主要依靠 用于 攻 击 特 征 提 取 时 的 不 足& 第 = 节 中 提 出 了 在 专家以事后分析的方式来提 取!缺点是 过 程长"速度 %2)(M 算 法 和 &2* 算 法! 介 绍 了 基 于 多 序 / 并 慢8往往是新攻击出现几天甚至几周后相应的特征才 列联配的攻击特征 自 动 提 取 方 法& A 节 给 出 了 若 第 发布!并且这样提取出的特征也不一 定 准 确 8在新 的 干实验!用以验证本文提出的方法的有效性& @ 节 第 攻击层出不穷!特别是蠕虫病毒能够快速传播且破坏 是本文的总结 8 极大的情况下!入侵检测技术不断受到新的挑战 8 攻击特征自动提取技术就是在这样的背景下产 <! 相关研究 生的!主要研究在没有人工帮助的情况下!如何快速 准确 地 检 测 新 攻 击 并 提 取 出 其 特 征 8 ! # 年 开 从 #= 两序列的联配算法是 多 序列联 配的基 础! 9K ( 9< 始!攻击特征自动提取得到越来越多研究者的关注! 7F D MJ NO> 算法 是 其 中 具 有 代 表 性 的 应 用 广 9 G< DL ’( 已经成为入侵检测技术研究的一个新热点 8 泛的一种全局联配算法 8 面向攻击特征提取的应用! 综 合 分 析 目 前 典 型 的 攻 击 特 征 自 动 提 取 系 统! 本 节 首 先 说 明 ( 97 F D MJ NO 算 法 存 在 的 问 9K9 G< DL 攻击特征提取总体上有两个基本步骤#? 获取可疑 $% 题& 然后介绍 3 7IG O 系统 ’ (提 出的解 决 方 法! 6E P: " 并 的数 据! 前 比 较 有 效 的 方 法 是 通 过 & D E 6 进 当 6 9 :; 分析该方法的局限 8 行获取&! 对可 疑 数 据 进 行 分 析 和 比 较! 中 提 取 $% 从 < ;!> *5% + @ +( 算法 = *3* &? " 1A 出共性的"不变的 成 分! 成 攻 击 的 特 征! 前 已 提 形 目 对于序列 : 和6! 果 序 列 联 配 的 相 似 度 计 算 如 出的主要方法包括最大公共子串$ % % 0 * 提取 ? ! " ’ !( 基 函数定义为 于 . VD W IPPDN 算 法 的 内 容 的 数 据 流 划 GH H 9:H; D "$ ! % ;匹 配 字 母 数 ‘)a 不 匹 配 字 母 数 ‘<a 空 位 数 ‘ :6 _ ; ; ! 分 ’ ! (" 率 有 效 状 态 自 动 机 ’ (" 于 ) :LG 6< =A 概 @ 基 [ 9;; D H $% ? 2 [F]; D )2% CV N* F 7 I 算 法 的 *I GH HG 6 $ H 和 HV G : D H H< 其中! 是 字 母 匹 配 得 分! 是 字 母 不 匹 配 得 分! ) < ! D HG;. I6 H LD 9HD W 计算 ’ (等 8 $ 是空位罚分& 匹 配 字 母 数 是 联 配 结 果 中 匹 配 的 字 母 数! ; 序列联配 ’ ! (是将 两 个 或 多 个 符 号 序 列 进 行 比 >^ ;不 匹 配 字 母 数 是联配结果中不匹配的字 母数! 空 位 数 是联 ; 较和对齐!从而尽可 能 确 切 地 反 映 它 们 之 间 的 相 似 配结果中含有的空位符数 = 或相异!获取有用的信息和知识 8序列联配在生物信 ( 97 F D MJ NO 算 法 基 于 动 态 规 划 思 想! 9K9 G< DL 息学中应用 非 常 广 泛! 用 于 解 决 U 如 (/ 序 列 和 蛋 算法结束时将得到 一 个 全 局 的 联 配 结 果! 据 该 联 根 白质序列比 较" 物 同 源 性 分 析 等 问 题 8 序 列 聚 生 在 配结果计算出的相 似 度 值 最 大 = 算 法 具 有 两 个 主 该 类"文本分析"网络安全等领域序列联配算法得到了 要步骤#?% 算 所 给 定 的 两 个 序 列 整 个 的 相 似 分 $ 计 应用 8通过借鉴序列 联 配 算 法 在 生 物 信 息 学 中 的 应 值!并得到一个相似度矩阵&! 根据相似度矩阵! $% 按 用!本文提出了一种 基 于 多 序 列 联 配 的 攻 击 特 征 自 照动态规划的方法回溯寻找最优的联配 = 动提取方法 8该方法的基本过程是#首先将包含某一 若序列 : 和 6 联配后得到序列5 记为 :! " % $ 6 5! 新攻击的网 络 数 据 流 表 示 为 多 个 序 列& 后 ! 用 然 利 为了方便比较和显示!如图 ? 所示!联配结果可以表 多序列的 全 局 联 配 算 法 对 这 些 序 列 进 行 分 析!产 示为三个序列 : ! 和5= >6 > 其中! 和6 分别由: 和6 : > > 生的联配结果代表着新攻击的特征& 后! 联 配 最 将 插入适 当 的 空 位 符 产 生! 中 包 含 : 和6 对 齐 后 相 5 > > 的 结 果 转 化 为 ’ * 规 则! 用 于 ’ *8 向 攻 击 特 U 应 U 面 同的字母以及通配 符) * #*5 体现了: 和6 的 ? 和) = 征提取的应用!本文提出了两种序列联配算法#奖励 相似关系!本文将5 中 被) * ? 分 开 的 部 分 称 为 # 和) * 相 邻 匹 配 的 全 局 联 配 算 法%2)(M $6 ; J J! % DH 6 N I 片段 = 联配 !"#$$!%&&’(&)"*!+,*-./ 算法的结果 !""""""""""""""""""""""""""""""""联配 012" !最佳结果" 图 ?! 序列)[ [ [[ Y [ 和) Y E E EE * 6 D 9]; 6 * E 6 6 D 9] 两个可能的联配结果 ;
  • 3. "期 唐 ! 勇等&基于多序列联配的攻击特征自动提取技术研究 ?= @@ !! 实验中 发 现! 9K9 G< DL 算 法 存 在" ( 97 F D MJ NO 易 / % 中而被丢弃( 然 后! " " 1 代替原来 " # ) 用 / %)" 产生 碎 片# 问 题 ! 不 适 合 应 用 于 特 征 提 取 = 的 $% " 并 考 的 序 列 "V / 9) I # 用 " " 1 代 替 " / < GL K %W 1 O ! / % ) H X e 虑下面的例子 = / %F 1 ) 后! " " 1 和"/ % ) 进 行 7 ) #最 对 / %)" " 1 例 ;= 联 配 字 符 序 列 :_ "[ [ [[ Y [# ! 6 D 9 ]; 6 和 联配! 联配的结果表示成特征为" # 1 # #/ % ) # = 6_ " Y E E E E # 参数设 置 为& 配 得 分 ) _?! E 6 6 D 9] = ; 匹 虽然 3 7IG O 解 决 了 ( 97 F D MJ NO 算 6E P: 9K9 G< DL 不匹配得分 <_b# ^! c 空位罚分!_b?= 法易产生碎片 的 问 题! 是 因 为 要 求 ; X D 互 不 包 但 69 图 ? 中联配’ ( G 和联配’ ( V 是两个可能的联配结 含!所以可能会丢失一些有 用的 片段’如例 ! 中" # / 果!其中联配’ ( ( 97 F D MJ NO 算法 输出 的 G 是 9K9 G< DL 因为包含 在 " # 而 被 丢 弃 ( 考 虑 如 果 对 例 ! / % 中 8 结果 =比较这 两 个 联 配& 配 ’ ( 相 似 度 值 _?‘ 联 G 的 进行 联 配 后 能 够 得 到 如 图 ! 所 示 的 结 果! 以 此 并 Aa ’ c a b?‘? ( b^ A! 配’ ( 相 b# ^‘=( ’ # _ c 联 V 的 结果 产 生 特 征 " #/ ? % ?) ? 1## 显 然 该 特 征 比 8 似度值 _?‘=a ’ c b# ^‘! a ’ ( b?‘? (A _b?c ) !$ 3 7IG O 产生的特征" # 1 # 加" 确# 一 6E P: # % ) # 更 精 8 联配’ ( G 匹配的字母有 A 个! 联配’ ( = 个) V 是 如果将 方面! 片段" # 以 保 留) 一 方 面! 过 单 字 母 通 / 得 另 通 只含有一个字母的片段称为碎片!则联配’ ( A 个 G有 配符" # " ? %?) # ? !/ ? 1 可以成为 一个描 述能 力更加 碎片!而联配’ ( V 没有碎片 = 准确的整体 = 尽管联配’ ( 相 似 度 值 要 大 于 联 配 ’ ( 匹 配 G的 V! 上的字母数 目 也 大 于 联 配 结 果 ’ ( 然 而 对 于 攻 击 V= 特征提取的应用来说!联配’ ( V 要优于联配’ ( 这是 G! 因为& 图 !! 序列"V / / %W 1 O 和" / / % F 1# G L K 9) I # H X 7 ) e ? 碎片容易导致误报 ’( 联配的结果 若将联配’ (G 表示成特征 # # # # #! 特 征 6 D9] 该 与随机 产 生 的 长 度 为 ? # 的 字 符 串 相 比 较!有 ## D! 基于多序列联配的攻击特征提取 A ^d 的 概 率 被 匹 配! 联 配 ’ ( 示 成 的 特 征 @c 而 V 表 #Y # ;6 只有 # # # @ @d 的概率被匹配 $ %= c ##" " 可见! 联 D ;! 奖励相邻匹配的全局联配算法 E4F = >@ 配结果中的碎片可 能 成 为 无 用 的 干 扰 信 息! 得 提 使 为了消除基本 ( 97 F D MJ NO 算法容易产 9K9 G< DL 取出的攻击特征不准确 = 生碎片的 问 题! 时 避 免 3 7IG O 方 法 产 生 的 特 同 6E P: ! 连续的片段更可能含有语义信息 ’( 征不够精确的缺点!本文提出一种奖励相邻匹配的全 相比 之 下! 配 ’ ( 含 有 连 续 字 母 的 片 段 联 V 中 局联配算法 %2)(M ’ 6; J J!2 ;ON) LJ< % D I 6 N GL9 D6P H ; 6 显然 更 具 有 语 义 信 息 = 络 协 议 的 字 段 一 般 "Y # 网 ID 9K9 G< DL ( GHI ( 97 F D MJ NO = 是由多个字母组成的’ 例如" 4 # " ) # ! &4 3 !C 4 等( 而 与 ( 97 F D MJ NO 算 法 一 样! 9K9 G< DL %2)(M 算 = 位 机 器 上 一 条 指 令 由 连 续 的 A 个 字 节 组 成= ! 所 法也是一种动态规划算法!其时间和空间复杂度都为 以! 网络数据流中含 有 连 续 字 母 的 片 段 显 然 更 有 可 ?’)(0 和 ) 分 别 是 两 个 序 列 的 长 度(%2) 0 ’ = (M 能含有语义信息!应该尽可能地保留到联配结果中 = 算法关键 的 改 进 是& 了 鼓 励 将 连 续 的 字 母 联 配 为 < <!B50& A = $9,C 在 一 起 ! 入 了 连 续 匹 配 奖 励 函 数 -#’ ( 其 中 : 引 0 : ! 3 7IG O" 是一 个 主 要 针 对 变 形 蠕 虫 进 行 攻 $% 6E P: 是 连 续 匹 配 的 字 母 数 目 = 虑 线 性 的 空 位 罚 分! 考 击 特 征 自 动 提 取 的 系 统 8 对 ( 97 F D MJ NO 针 9K9 G< DL %2)(M 算法所对应的序列联配得分函数为 算法易产生 碎 片 的 问 题! 6E P: 首 先 计 算 0 个 3 7IG O "’ !(A ;匹 配 字 母 数 B ) C;不 匹 配 字 母 数 B< C 2@ 序列中至少 出 现; 次 的 所 有 互 不 包 含 的 子 字 符 串 ;空 位 数 B!C $ -#’ % ! 0 % (’ ( 5 ’称为; X D ! 6 9 ( 然后通过特殊符号" 和; X D 重新表 69 5是 联 配 结 果 中 的 片 段 示原来的序列!最后再对新 的序列 串 进 行 联 配 8 ! 例 举例 说 明 连 续 匹 配 奖 励 函 数 的 作 用 = 果 定 义 如 举例说明了 3 7IG O 的工作过程 = 6E P: -# :( ’ b?( 则 例 ? 中 联 配 ’ ( 相 似 度 值 0 ’ _= : ! @ 的 例 <= 用 3 7IG O 的 方 法 联 配 字 符 串 "V ! 6E P: G< b$ $ ?‘=a ’ ( Aa ’ c ( c ’ b? ‘? b# ^ ‘!a=‘!’ =b / / %W 1 O 和" X 7 ) 8 L K 9) I # H/ / % F 1# e ! ( 大于联配’ ( (! G 的相似度值 b^ A ?‘Aa ’ c ( c ’ b# ^ 首先! 计算出现次数大于 ? 的互不包含的子字符 b? ‘? ( 因此! ‘=a ’ ( # = %2)(M 算 法 将 输 出 最 佳 串’ X D( 得 到 " # " 1# " # 为 包 含 在 ; 9 ! 6 / % 和 ) ’/ 因 的结果!即图 ? 中的联配’ ( V=
  • 4. ?= @$ 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 算法 ;=!%2)(M 算法 = 通配符序列中的 元 素 进 行 比 较" 中 # 和$ 分 别 表 其 输入!序列 2" @ 示两个普通字母 = 输出! " 的最大的相似度值及最优联配 2@ 表 ;! 含通配符序列中的元素比较关系 ?=初始化 = 联配结果中的 : ’( 联配结果中的 6 ’( 联配结果中的5’( >/ >/ / G D# " $ " # " $ = # # _# 8 # # _# # # # # ? V 1 P9L E_?" " 1 = 6 GO ! %" $ # ? ? D# "$ E " # "$ #E _ ! 8 #E _# ? ? ? L 1 P9L / " " F = 6 GO _? ! %" # # # ? # # D#" $ / " #" $ / # _ ! 8 / # _# b # # !=主迭代 =填充局部的联配结果 # # # # b # 1 P9L / " " F 6 GO _? ! %" ? b # 1 P9L E_?" " 1 6 GO ! %" 8 b?" b? a?" W /_ E H2 @ 算法 <= 层次式多序列联配算法 &2* ! /8 8"_ /E &/ #" E H2 & E W/ @ 输入!序列集合 " D#"$ /E _ 输出!多序列联配结果 D#b?E $ 52 "E$ -# 8 " $ ’ N ?( / "b? a #/ @ a 0 #/E "L 9 G ?=初始化 = *" H ( F [ D#b?"$ !" G’ / ’N! L 9 ( !=层次迭代 K6 Ea G ) #"b?$ !" D /E a ’N= L 9 ( G 8* &, U /C"H ’ N ( O 9% %+?" 6 YH H 7 K (’ W L 9? G , #"$ 0 1 H L 9! G./E _’ ) 4" W ’ N ( G H % %_?" H 中只剩序列2" 9 将 2 加入 8 WH 即 ; D O ) 3" H ’ N ( - W L 9= G 99 7N 结束 = 从 H 中任意选取两个序列2 和@" == 应用两序列联配算法 # %2)(M 或 ( 97< 9K9 G 输出最大的相似度值 D# " $ = F 1 " V 从 G. F " $ = , # 1 回溯路径得到最优的联配结果 = F D MJ NO 对 2" 联配" G< DL $ @ 联配结果为 I/ " &2 @ 判断剪枝! D <! 层次式多序列联配算法 G4 ! = / ! WI/ " 包含 的 片 段 数 +=G K 有 两 个 片 段 ’ &2 @ D 基于变形和隐蔽 技 术" 击 # 虫$ 能 具 有 多 攻 蠕 可 的长度大于等于 = 种形态 = 以 必 须 对 同 一 攻 击 的 多 个 样 本 进 行 分 所 !! O D 将 I/ " 加入 8 ;9 &2 @ 析" 就是进行多序列的联配" 能得到 准 确 的 泛 也 才 H *8 化 程 度 高 的 攻击特征 =在两序列联配算法 %2)(M J; 8 DH 7% %,? 的基础上"本文提出 了 一 种 适 合 于 攻 击 特 征 提 取 应 ==结束 =输出 8 中的元素 用 的 层 次 式 多 序 列 联 配 算 法 &2* # HPPOL7 / &9GLHG 图= 说明了 &2* 算法的剪枝过程 = / 剪枝的作 2 7< 9 J D9/HD 9; = 算 法 主 要 具 有 = 个 J; * Q 9 L 7 F D $ 该 H I 用是及时去掉平凡解"以提高算法收敛的速度"并使 特点!? 俩俩配对" 层 得 到 结 果)!$ 持 序 列 含 #$ 逐 # 支 算法可以抵抗噪音的干扰 =因此"判断剪枝是 &2*/ 有通配符)= 带有剪枝功能 = #$ 算法的关键 = 联配结果中片段的数目要大于等于 以* 为了 支 持 含 通 配 符 序 列 的 联 配" 们 对 两 序 列 我 ="并且有两个 片 段 的 长 度 大 于 等 于 =+ 为 剪 枝 的 作 联配算法 # %2)(M 算 法 和 ( 97 F D MJ NO 算 9K9 G< DL 条件" 其的依据是!?$ 献 ’#( 出 了 一 种 可 以 有 # 文 ? 给 法$进行了扩展" 方法 是!?$ 入 单 字 母 通 配 符 * + # 引 ? 效描述攻 击 的 ) N 6! G G 3 模 型" 模 型 说 :H D C FF ! H 7 该 和多字母通配符* +# $ 两 序 列 联 配 的 结 果 表 示 # )! 将 明攻击往往具有三个关键片段)! 连续三字节可以 #$ 为一个含上述两种通配符的序列)= 按照表 ? 对含 #$ 比较有效地描述攻击特征 ’?"!(= ? ? 多序列联配结果 样本序列 第 !层 噪音序列 剪枝 第 "层 第 #层 第 $层 图 =!&2 / 算法运行的示意图 *
  • 5. "期 唐 ! 勇等)基于多序列联配的攻击特征自动提取技术研究 ?= @> 定理? 给出了 &2* 算法的一个重要性质! / 即 : ! :. 中相邻两个 片 段 / 和 之 间 肯 定 包 含 字 . . ! "!# 在多序列联配过程 中! 段 之 间 的 位 置 信 息 能 够 在 片 母#! : !, ! :, 中 相 邻 两 个 片 段 / 和 之 间 而 , : "!, ? ! # 一定程度上得到保 留 = 文 第 A 节 将 进 一 步 说 明 该 本 肯定包 含 字 母 $! 此 : ! . ! :. !, !, ! :, 因 . ? : . ! "! # : : ? , ! "! # 性质的作用 = 中相邻两个片段 / 和 之 间 一 定 包 含 一 个 字 母 % # 定理 ;= 多序列联配的 位置 保 留 定 理 = 0 个 ! 设 或$&= 序列:? !! ! : 应 用 &2* 算 法 得 到 的 联 配 结 : "! 0 / H 不失一 般 性 5 ’( #!, ’( # $ 则 : ! %& H > & _ 5 & _ ?! . . > ? 果是5 如果5 中 相 邻 两 个 片 段 / 和 之 间 含 有 ; ! :. !! :. 中相邻两个 片 段 / 和 之 间 肯 定 包 含 字 "!#. 个# $ ? 通配符!则对于任意一个的序列 : % / 0& / ?, , ! 母#! : !, ! :, 中 相 邻 两 个 片 段 / 和 之 间 而 , : "!, ? ! # : 中 / 和 之间至少含有 ; 个字母 = / 肯定包含某一字母 = 证明 =! % &. ’( # $>’( # $ 则 : !. ! :. 中 H 5 & _ ? ! & _ ? ! . : "!# H > H 5, ? ! . % & 先 证 明 两 个 不 含 通 配 符 的 序 列 联 配! ? 首 满 相邻两 个 片 段 / 和 之 间 肯 定 包 含 某 一 字 母! 而 足定理 ?=设不含通配符的序列 : !E"5! ! 5! 中 / : /E 若 /E : !, ! :, 中相邻两个片段 / 和 之间肯定也包 , ? : , ! "!# 相邻两个片段 / 和 之 间 的 5! ’( # $ 必 然 是 /E & _ ? ! 含某一字母 = : ’( : ’( 由于: !E和5 ! 相匹配的字母和片段 >& & > & = / E >: / > /E 因为被联配序列的一个字母只能对应到联配结 是对齐的! : !E是由: !/插入若干空位符生成! 且 >: / > / 6 果中的一个位置!由上面三种情况的分析可以得到) 所以 : ’(: ’( 别 也 是 在 : !E 中 / 和 之 间 > & !E & 分 / > / : 若5! 中相邻两个片段 / 和 之间含有 ; 个# $ 则 ., ?! 的一个字母 =由于被 联 配 序 列 的 一 个 字 母 只 能 对 应 : !! ! :. !? !! ! :, 中相邻两个片段 / 和 . ? : . . , , "!# : : "!# , 到联配结果中的一个位置! 所以若5! 中相 邻 两个 片 /E 之间至少含有 ; 个字母 = 段 / 和 之间有; 个# $ 则 : !/中 / 和 之间至 ?! / 6 = 由于 &2* 算 法 反 复 调 用 两 序 列 联 配 以 %& / 少也有 ; 个字母 = 及% & % & ? !! 的结果!定理得证 = 证毕 = ! 含有通配符的 .! " .! = : !. ! :. " %& 5 5 5 , 设 . : "!# , ? ! . D D! 攻击特征自动提取系统框架 = . : : ? , ! "!# 5 且满 足 定 理 ?= 如 果5! 中 相 5 !, !, ! :, " ,! 则 ., 主要 针 对 变 形 病 毒 和 缓 冲 区 溢 出 攻 击! 立 在 建 邻两个片段 / 和 之间的5! ’( # $ 则根据算法 ., & _ ? ! & D E 6 系统之上! 6 9 :; 本文设计并基本实现了一个攻 扩展% ? ! 表 & 只可能是下面 = 种情况) 击特 征 自 动 提 取 系 统! 框 架 如 图 A 所 示 8 中 其 其 %&. ’ ( #& _ >’ ( 那 么 由 归 纳 定 义: ! H5 & _ $ 5 & ! > , . ? %2)(M 算法和 &2* 算法是该系统的核心 = / 分布式 去除噪音 多序列联配 !"#$%&"’ ()*’+,-."#/01’$2’3"* 攻击聚类 !!678算法 " 系统 3*/4"*$%&"’5 96:;< 算法 # =>7 中应用新规则 特征转化 图 A! 基于多序列联配的攻击特征自动提取系统框架 !! 该系统的主要工作过程如下) %2)(M 算法进行多序列联配* @ 将联配的结果转化为标准的 * 6;规则 ? * ’@( % & 向 大 规 模 网 络! 用 基 于 代 理 的 分 布 式 ? 面 利 %& DP & D E 6 系统 ? 采集可疑的数据和事件* 6 9 :; ’=( $ 将提取出的特征应用于 ’ *! * 6; %& U 如 DP = % & 6 9 :; 系 统 采 集 到 的 数 据 可 能 含 有 噪 ! & DE 6 声%正常的数据和 行 为& 为 此 我 们 提 出 了 两 种 针 对 ! H! 测试结果及分析 & D E 6 系统的攻击检测模型+ +4 . 3 模型和 6 9 :; + 1 3 H ;! 测试数据和算法参数的选择 = 贝叶斯模型 ’A(! ? 基于这两种模型进 一 步 确 定 攻 击 行 为 了 便 于 比 较! 文 选 取 / GO! DL 9 " , 本 :L 9 B GXP 为!从而去除掉噪声* ( ! * C# 和 /4 O; K$ 这三种 漏 洞 利 用 攻 击 ’ U 4’ 3 ;: % & 可 疑 数 据 进 行 攻 击 聚 类! 得 同 一 类 或 = 对 使 相似的攻击聚合到 一 类 中! 前 本 系 统 采 用 与 3 7 目 6< " %8 /( ! #<! @8 ;: - YYY89JHE6J 86 -H- % ! # =# A O; )- NLP WLN L F VK ; > ! -HLNHD 8 > = K JN - N 6 E P: 相同的聚类方法 * ’( " IG O # * *’N ;; ) HDY P /( D; J9 06 6 F8 ;: - YYY8 D 8P- ! - H O; )- N N 6I E X G 7 D8; H O F8 6 % & 于 同 一 类 攻 击!应 用 &2* 算 法 和 A 对 / $ O; )- ;: - YYY8 LP E D 6 8 - 6N$ A8; 7 N JH 8D ZP K L= = O F 8 9 ; J
  • 6. ?= @^ 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 作 为 测 试 用 例! 利 用 病 毒 变 形 引 擎 %9 "$# 和 并 7;? 特征中就缺少与后面的 )[ # [ # [ /* 联 系 的 . #. #. 1 有 /U2F ;; " 进行了变形处 理! 得 每 种 攻 击 各 产 JG9 使 )[ # 8 一 方 面! 于 引 入 了 单 字 符 通 配 符 ) * .# *另 由 ?! 生A# 个样本#8 了 评 估 误 报 率 和 漏 报 率! 文 使 为 本 在 &2*/a%2) (M 算法所产生的特征中! 片段之 用两 个 不 含 攻 击 的 测 试 数 据 集! . 3 " 数 据 U / / " 间的位置关系更加准确 8例如!对于 / GO! DL< : L 9 B GX 库 ">#中的第一 周 数 据 以 及 从 国 防 科 技 大 学 内 部 网 ? 9 攻 击! P &2* a%2) / (M 算 法 产 生 了 ) [ 1 .1 . 络中采集的 @ 天 的 网 络 数 据 $ &4 3 和 U * 协 以 4 ( [1 ? ? ? ? ? .. * 其中 ? 个) * ? ? ? ? ? PD ! # ? 表明特征片段 议为主! 含 ^ # 个 数 据 流 %%2) 包 !? 8 (M 算 法 的 参 . 1 . 和)P D 之间具有 ? 个可 变的 字母 8 )[ 1 [ * .. * # 而 数设置为&匹配得分 ) _?! 匹 配 得 分 <_ b# !! 不 c 这 ? 个字母很可能 恰 恰 反 映 了 攻 击 隐 藏 或 攻 击 变 # 空位罚分!_ b?=并且! %2) 将 (M 算 法 的 连 续 匹 形技术的效果 8 配奖励函数定义为 表 = 给出了 &2* /a%2)(M 算法和 &2* / $ b? ‘? @! : % c 若 :,= a( 97 F D MJ NO 9K9 G< DL 算法在产 生 碎 片 数 和 运 行 时 -# :% 0$ _ ’ =a $ b= ‘# @! 若 :-= : % c $% = 间上的 对 比 8 以 看 出! 可 &2*/a%2)(M 算 法 和 H <! 生成的攻击特征 = &2*/a ( 97 F D MJ NO 算 法 的 计 算 时 间 相 9K9 G< DL 表 ! 给出了 3 7IG O 方 法( 6E P: &2* 算 法 配 合 / 当!&2* a %2) / (M 算 法 产 生 的 碎 片 略 少 于 %2) (M 算 法( &2* 算 法 配 合 ( 97 F D MJ < / 9K9 G< D &2*/a( 97 F D MJ NO 算 法 8 于 &2* 9K9 G< DL 由 /a NO 算 法 对 三 种 攻 击 所 产 生 的 攻 击 特 征 8 表 ! 中 L 从 %2)(M 算法 尽 可 能 地 保 留 含 连 续 字 母 的 片 段! 可以看出! &2* /a%2) (M 算法 产 生 的 攻 击 特 征 其产生 特 征 的 质 量 要 优 于 &2* a ( 97 F D / 9K9 G< 比 3 7IG O 方 法 产 生 的 攻 击 特 征 准 确 8 方 面! 6E P: 一 MJ NO DL 算法 8 如 在 表 ! 中 对 于 /4 O; K 攻 击! 例 3 ;: &2*/a%2)(M 算 法 产 生 的 特 征 片 段 更 多 更 准 &2*/a( 97 F D MJ NO 算法因 为 碎 片 的 干 扰 9K9 G< DL 确8例如&对于 ( ! * C 攻击!6E P: 产生的 ’ U 4’ 3 7IG O 而缺少了重要的特征片段)[ 1 [ 1* .1. 8 表 <!G4 ! 算法和 B50& A 方法产生的攻击特征的对比 / $9,C / GO! DL 9 的攻击特征 :L 9 B GXP ( ! * C 的攻击特征 ’ U 4’ /4 O;K 的攻击特征 3 ;: C 4%#&4 3 ? ?PD & .. & N & ) 4 +c .. # # PD 6; 37IG O 6E P: . 1 . # [# [# [ / [ 1 [ 1 . #. #. 1 C 4%+ [ 1 [ 1#% &4 3 ? ?PD ) #. 1 . 4 +c .. # P D &.. & N &. 1 . .. .. # # P D 6; # [ 1 [ 1# P D C 4?????%&4 3 ? ? P D# P ) ????? 4 +c .. .. &2 /a * # [# ???????[ # . # ??????? # . . D 6; %%#.. & N & & N& P D 6; %#. 1 . [1 C 4%+ ) 4 +c .. #% &4 3 ? ? P D ( 97F D MJ NO 9K G< DL 9 [ # [ /? #. 1 ? [ 1????? P D ????? . . C 4%#%&4 3 ? ? P D#& .. ) 4 +c .. %# P # [ 1 [ 1 . # ???? C 4%+ [ 1 [ 1???????????? . 1 . # [ # ???? ) #. 1 . ??????????? &2 /a%2) * (M D 6; %#.. & & N& P D# %#.. & N & P D 6; ??? [# [# [ /? ??? # . # . 1 ? . ??????????? # 个# 4 3 ??PD ??????????" ^ ? & 4 +c .. %# [ 1 [ 1????? P D . 1 . ????? . . 表 D! 联配过程中的碎片数和性能比较 &2 /a%2) * (M &2 /a( 97 F D MJ NO * 9K9 G< DL &2 /a%2) * (M 9K9 G! DL &2 /a( 97 F D MJ NO * 算法碎片数 算法碎片数 算法运行时间$% N 算法运行时间$% N / GO! DL 9 :L 9 B GXP !$ ! != A ?# A ?= = ( ! *C ’ U 4’ ?^ = ?@ A =@ =# /4 O;K 3 ;: !? = !! A ?# ? ?# # H D! 产生 I / 规则 = J 本文将图 @ 给 出 的 三 条 规 则 应 用 于 * 6; 系 DP 根据 表 ! 所 示 的 序 列 联 配 结 果! 以 产 生 相 应 可 统!利用 A ? 节介绍 的 测 试 数 据 对 它 们 进 行 误 报 率 c 的 ’ * 检 测 规 则! @ 给 出 了 由 表 ! 中 &2* U 图 /a 和漏报率测试 8结果显示!这三条规则的误报率和漏 %2)(M 算法的联 配 结 果 产 生 的 三 条 * 6; 规 则 8 DP 报率都为零 8从而说明了基于 &2*/a%2)(M 算 值得说明的是! 根据定理 ? 联配结果中的通配符)* ! ? 法产生的攻击特征是准确的 8 可用于确定特征片 段 之 间 至 少 含 有 的 字 母 数! 而 从 " B !G FF ;; 8O; &+ ! K JG9 ;: + YYY8 ; 6 L++ U2F ;;! X Y 8G L / JG9 反映特征片 段 之 间 的 相 对 位 置 关 系 8 N 6; 的 规 而 DP # ^ A8 PI c c ; 8] G # 感谢 ( Y 6 9+ 提供 37IG O 的相关源代码和数据 8 9 NF 8 6E P: 则选项) W9 * ) NG L * 恰 好 可 以 准 确 地 表 达 6 N; 和 K ;D9 $ W H $ ) W9 * 明 在 数 据 流 的 多 少 偏 移 量 后 才 开 始 匹 配!K < 6 N; 说 W )H N ;D9 说明从上一个特征开始 忽 略 多 少 个 字 符 才 开 始 匹 配 GL * 此关系 8 下一个特征 8
  • 7. "期 唐 ! 勇等!基于多序列联配的攻击特征自动提取技术研究 ?= @" / GO! DL 9 ! :L 9 B GXP 7P ;:G EG Eb-G EG E " N ! / GO! DL 9f# H !# # # #6;D !C 4 # 6;D ! G9; L D D D D F I f :L 9 B GXP N ? # # ? L D9;f ) f L D9; K f 4 $ ? # # % # H G L !## 6;D !.! # 6;D !% U / & N.! # 6;D ! &4 3 ?8% U / f K ;D9? L D9;f f L D9;f # # % 6; f L D9; N f # # % # 6;D !.! # 6;D !% U / 6; ! # 6;D !% 1 1 f#6;D !% U / f# % U / f L D9;f f L D9;f # # %& N. f L D9;f 1 % L D9;f # # % K ;D9? # Z ?# H G L !# P ! % N 9 ( 4’ ! ’ U *C 7P ;:G EG Eb-G EG E " N ! ( 4 ’ f#H ! # # # # 6;D !% 1 1 f# W 9 !? # G9; L D D D D F I f ’ U * C N ? # # ! L D9;f 1 % 6W ;= = K N L D9;f # % # H G L !^ # 6;D !% # # / f# H G L !A# Z ?# 6;D !% # f K ;D9? ? L D9;f # # 1 % K ;D9? P ! % N N 9 3 ;: ! /4 O;K 7P ;:G EG Eb- G EG E " N ! G9; L D D D D F I f/4 O;K # H !? # # =# 6;D ! ) $ # 6;D ! 3 ;: f N K # # # L D9;fC 4 f L D9; f 1 % # 6;D ! &4 3 ?8% U / f# H G L !# # Z ?# % 1 1 f L D9;f 4 $ ? # # % K ;D9? ^ P ! % N 9 图 @! 根据序列联配结果产生的 * 6;规则 DP H H! 抗噪能力测试 = 本文还进 行 了 &2* 算 法 的 抗 噪 能 力 实 验 8 / 首先在理 论 上 分 析 &2* 算 法 的 抗 噪 能 力 8 / 固定使用 ! 个样本& # 不断插入更多完全随机产生的 若 ) 是算法输入中 的 样 本 数& 是 样 本 数 和 噪 音 数 0 噪声&分别测试算法 返 回 结 果( 回 正 确 结 果 " 到 返 得 之和 8考虑理想情况&即满足以下两个假设!? 任意 "% 的攻击特征准确%的概率 8 两个噪音联配都会产生平凡解而被剪枝#! 任意两 "% 实验 结 果 如 图 $ 所 示 8 法 返 回 结 果 的 概 率 略 算 个样本联配都不会 被 剪 枝& 且 可 以 产 生 准 确 的 攻 并 低于理想情况&主要 原 因 是 没 有 满 足 理 想 情 况 的 假 击特征 8那么参考图 = 的示例&只要在第一层中有两 设 ?8也就是说某些噪声之间联 配 后 没 有 被 剪 枝 掉& 个样本配对在一起& &2* / 算法便 能 返回 正 确 的结 从而与样本之间的 联 配 结 果 进 行 联 配& 致 没 有 结 导 果8因此& 理想情况下算法返回正确结果的概率分为 果返回 8 $ 显示& 图 算法返回的结果中有很多不是准 下面两种情况! 确的攻击特征 8我们 发 现 其 主 要 原 因 是 没 有 满 足 理 ? ) 0 ! 由于在第一层中共有 0 ! 个配 对& "% - $ & $ 想情 况 的 假 设 !& 就 是 说 仅 仅 通 过 两 个 样 本 得 到 也 从而根据抽屉原理& 算法成功的概率是 ?= 的特征因为泛化程度不够而不准确 8因而&算法的结 ! ) 0 ! 则算法成功的概率为 "% , $ & 果只有来自于多个样本的联配&才会是正确的 8 $ 0 !b? $ 0 !b! 实验结果表明 &2* 算 法 有 较 强 的 抗 噪 音 能 G_?b?‘ $ 0! ‘ $ 0! )J? ‘’‘ " %" % 力8 / 噪声数小于或等于样本数" 噪声数$样本数 ,? & % $ 0 !b)b? ? " $ 0! _?b ) / " b! % 0 /A? 0 /= % 算法都能以较大的概率返回正确结果 8同时&该算法 !"# !%# 理想情况 理想情况 有结果 有结果 $%& 有正确结果 #%& 有正确结果 $%’ #%’ 概率 概率 $%( #%( #%) #%) # # #******************!******************)*****************+******************(******************,******************’*****************-******************& #*****************!******************)*****************+******************(*******************,******************’*****************-******************& 噪音 . 样本 噪音 .样本 !"#$%&"’()!*+"’,)-溢出攻 击 !.#$/012$3405溢出攻击 理想情况 !%# 有结果 有正确结果 #%& #%’ 概率 #%( #%) # #******************!*****************)******************+*****************(******************,*****************’*****************-******************& 噪音 .样本 6’#7%38(99&:溢出攻击 图 $!&2 /a%2) * (M 算法抗噪能力实验的结果
  • 8. @# ?A 计 !! 算 !! 机 !! 学 !! 报 !# 年 #$ 在抗噪能力上还存在较大的改进余地 8例如!可以通 $ 4D ! O D*8 UWDHIG GD; D9D;Y P N /N < G IR8 % 9 8 99 KD IHN ’;P9 6 F # HI D;P! G9 : PGO8’ #369KD N 6 O ( , ,2! GJ9 VNKG :6L D PL9HI W;9’ 1 % 过多次调用算法得 到 多 个 结 果! 后 再 对 这 些 结 果 然 2G H 16HG ! # != A%? " H F ! 7P ! # @ ? ^ K =A 进行联配!便可以以更高概率获得正确结果 8 > ( 97 F D*8 !MJ NO%8 8/I DP7F ; 6 :7 G7 9K9 G 8 DL U8 9 9G 9O KG : LV9 H ; O 9POWPNF7PHN D;9G H6GH 9 J D96 ; 6 6;9NGL 6 H H H 9 H O FD L G; KNQ 9 L W Y K! 小 ! 结 :69D 8 6 PG W 2 7L7P66 E ? > ! ^$ % A =% P;HN + JD76 69JG H7I ! " # A = # A A= @ F; ! G9 F D ^ * HO48 M ;P G 28 ’9;HG 6 WL FF D F 7L7P 8 K DHL; D6 6 6 69JG W H 本文 借 鉴 生 物 信 息 学 中 的 序 列 分 析 方 法! 出 提 N V9 J D9 8 6 PG W 2 7L7P66 E ? ^ ! A $ % J NQ 9 LN + JD76 69JG H7I ! " ? ? > ? # 了一种基于多序列 联 配 的 攻 击 特 征 自 动 提 取 方 法 8 ? @%? > " " " ( Y 6 9+ !B P 8 * D U8 6E P: #/ ; F ; G E 9 N F 8 G: ! 6I 837IG O J6 G L7 H 7 该方法的核心 是 两 序 列 联 配 算 法 %2)(M 和 多 序 I DP; IN D;PN 6 6E 6:H 6 F 8 D# PL9HI 9 9G D H GJ9 WP:7 F P OLY P N ’ 369KD N H I 列联配算法 &2* 通过在联配 过程 中奖 励 相邻 的 /8 6 ;9 ) )*g3! # ! G7D ! GWPH ! # @! ! WO ’) # @ , XG K %7 6DG ! # ! $%! ? H A 匹配! %2)(M 算 法 克 服 了 ( 97 F D MJ NO 算 9K9 G< DL ?# %G K7 + .8 MJ*8 ! O D PD G 8 ! 7 18 % 6 I18 8 [ 9HD9 N I2< 48 ) :P LNJH 9 D H D NG 6 NG;6 WPL:JHIG KG GEHID Z7Y P NWPJ < 67 6 G;P D D D7] D 69 6 F 6 D 法易产生碎片的问 题! 得 含 有 连 续 字 母 的 片 段 尽 使 X 6 DZ79GH; N ’ #369KD N6 O C ’ * U . D Y JDPVH 9 8 D PL9HI W;9 ’* C ’ / 7H &2* 算法建 立在 两序 列 联配 算 可能地予以保留 8 / % D99 L DU ;L 6 W DPN D G K2 7 G9 D JDP 6WPD96 99; D6 ’;JH N D GY P G K5 79< H 6 法之上!是一种支持通配符"带剪枝的层次式多序列 GH; N9N 9; 59 D ! # @! !%@ VHE/ NN F D ! HD G ! # = 7 # ?? %G K7 + .8 * O DU D !MJ*8 !% 6 I18 8, PD G 8 ! JT 9< 6 I 7 18 O D 48 D 联配算法 8 KP HI J X 6 D Z79GH; NW6 TP U E :7 F P OL 9H D D D Y JDPVH 9 P F 96 G 6E 6:H Z 7H 实验结果表明该方法 具 有如下 优点#? 该方 法 $% G KF ; F P OLY P [7H 8 D# PL9HI W O %2 D 9G 6:H 6 F9 :6 N ’ 369KD N6 ;9/ ; 产生的攻击特征包 含 位 置 相 关 信 息! 而 相 对 传 统 因 % *! # !/9 G KH !5PHH ! # @! = % # @ 7[ D P G HIDG ! # ! @%! ^ A 方法结果更加准确&! 有效的剪枝策略使该方法可 $% ?! J+ ! HI38 B7%8 T G S 8 (D ! H ! OHR8 6 O7 ! 6X 6;%8 / ; F ; K 8 J6 G L H H < G D N D 9: D9 6F F P 6P :HDZ79GH; N ’ # I 6H KPN 6 N ; 9 6ELPJ ; NG 6 JDPVH 9 8 D 7H $ 该方法产生的攻击特征 以有效抵抗噪音的干扰&=% PL9HI W;9 %2 % * ! # ! /9 G KH ! 5PHH ! 369KD N6 O / % # @ 7[ D P G HIDG 与主流的 ’ * 规 则 有 着 天 然 的 相 似 性! 于 应 用 到 U 易 !# ! ! # @ ! =%! A = ’ * 中去 8 U 下一 步 主 要 研 究 如 何 提 高 该 方 法 的 性 能" ?= M D H !& & GHI 4 D R D 8 ; K D F 7 F DG G I+ 9 J J :D ! G I 6 I *J EG KH :9 9;< ; D6 H P J9 Z ;G 6 9 D;NN9 ( *8K NPG H WK ; V ;K H J7O D E 9 E; F 28 6 NH P H 9;< N 减少空间开销! 进一步提高算法的抗噪能力等 8 ; D 8( ; D7- H9N E6 99 N 9O 66 E % G IO ! H ) G 6 G DZPH WUWD94 L D7I ! O D N G 6 H ; ! # $ ODN % # AH H99 D% 参 考 文 献 $ !洁8 汪 分布式 虚 拟 陷 阱 网 络 的 设 计 与 实 现 ( 究 生 学 位 论 研 文) 国防科学技术大学! 8 长沙! # A !# % ? B 9VL ! P Y PW 8 6 9L F PG D DPN PHHO%8 % 6 L6;+ 8& D E6 VL9; IH;JHDK< H 6 9 ?A 4 D 6 I & & G3D !0 S< O D !M D H 8) O D G IR D ! J J<HI J H% 9 I G I+9 D G< ;L 6 HD;PNJHIO D E 6N ’ # PL9HI W O D 9; DN GJ9 N H I D 6 9 :; 8 D 369KD N6 ;9! K L I & D E 6 E; F Y; DPN D K;L 6 F K7 8’ # HD 6 9 :;NN9 HOH;JH 6 99; D 6 9 H N D M PN 6 D & ; 4 : NH ( ; 6X $ 6 ( ;!’ !% F 6X O :6 6 6H D 9Y PN & ; 9N’ % G < L 369KD N6 ;9AO’ ) D9D; D7 D6 F ; D / NP PL9HI W O ; ) )’;PG 6 G ’WP G 6 NJ< H H VHI !2/ - /! # =! ?%@ P 9 K * !# @ $ G L M PN 6 ! # $ D9 6X O : ! # ! ! ;7 8 D F 7J G7G! G9 9Y P H;J G IB8 *6 6*8 / 6 G6 N: E6K VNKD; 6X DP< MD W ?@ . 9L 28 D P #0I ; 9 O DPN D K;L 6 6 9< 6NO 8* 6; HO YH ;H;JH I 6 99; DWPD; H N DK;L 6 ’ # PL9HI 6 ;9./ U! 6 OG/ ; 6 N H 99; D8D 369KD N W O 6 H ’ * :H DH 7 ! :H Y PN ’ # PL9HI W O ? ; 6WPD96 E; F K 6X 8 D 369KD N6 ;9 =O% D99 L D* N9 N/ < 19 L HHP ! # A! # PD O.Z G ! # ! ?%! ! 9 ! FDNP; D! 9X7E % ! " "! ! HH G 6 P 9 ! / ? " ! "%! ^ ; H 9 = = ! G:8 J6P: #4 Y P J6 G9 ! H P J B F &8 B P H 8/ ;IG O 6 GKG; F ;K K ; V < NH ?$ U ; NG ! 7D:99 ! G F ! D 9K X 9P ;D48 -9 NHI748 2 76 R8 - KP J 28 8 H L 58 ;KY P HD;P 99; D8 D# PL9HI W O * ( S 9 6 FN GJ9K;L 6 ’ 369KD N6 ;9- ) ’ I H 37 F P OLN 9 LK DH9JHIN9;J D7N 8 OGX 6E 6:H O7 6 99 ID N 7 D :LP FG GEH 3 PL N *LP E * DU9 6 % ! # A! > 9JH ! G HI ! / ! # ! ?%! $ ; ^ , 7 92 I] 9 ! # ! ? D D G GH ! # = $ H D ! NG ! GI 99 ! GG 9 8/ ; F ;K A *D O*8 );D %8 5 P ON C8 * ZI *8 J6 G9 HI ?> H: G D.8 ! P KU8 8 C G ’ - 2 8 Z7G D DP< 0: F D 38 1H9 + ! PW 8, & ) GJ; IH;J H Y P HIPP ; I ’ #369KD N6 O ; / ’ * < 6 FW 9:H H 8 D PL9HI W;9$O %2 - ) D DD N DK;L 6 E; F #4 9? " U . / 6W7 9H;JHD 6 H !D H 99; DNN9 N O " ^ / 3 W H DPN 6 ( S* F 6H F6 :P; I* N9 U N DG K’ :9 9;< ’ E :N J D, 9G D E; F 9H D F 7 F DG H I K;L 6 Z7G 6 ’ # PL9HI W O # # U . /’< 99; D9GJ; D8 D 369KD N6 ;9! # / 3 D H H ; D $ * ’ ! G PDHL ! /!# A!@%$ H6 , U % * D1G L 6 % ! # A N # [ 6H 6 ! H D WP G 6 * PHGH; % D99 L G K ) : NHD &76 6 F ; D JZZ VHE 6WPD9 D H 7 ; ; @ R I 9 Y PD58 CW D+ ! GWP 9 DN GG ! HH 8 P6K38 + G*8 DGLH L W !O 8/ PO 9< ; & G ! %! # #! # # !%? = 9K * ! # ! ? ? #@ ;P 6 9 9G D 9 G; NG G9N D;PN ’ #369K J9WPI DP; IN F DH ! Y P H GJ9 8 D PL9< H L I HI W O * ( S*LP E 7 F P !2U! # @! >%? ! D N6 ;9- ) ’ 9JH ! G H 69 ; ; !# " ? L > $ 0 VP H " "! O8 ! )M + ! 6D D? > 3 U8 N ’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’0 VP H " > :69NP 3 U8 J 9Z < NP H 99POH;PNNHLJ 9D; 6XG KHWP G 6 6 8&NPNGL D99; D7K 9Y P D D6 F ; D H 9JH ! D P :6 P: E NLP E G KLE;IG O 8 ;
  • 9. "期 唐 ! 勇等’基于多序列联配的攻击特征自动提取技术研究 ?A @? Q OB’J + ! 6D D? > ! O8 ! N6H; PWN G * $ 0 VP H " ? 3 U8 GNL 9:69< ? G 9JH ! 6;D 9OHJ ! ; 8 NLP E PJHI;L DQ 9 9L ; NP H 99POH;PNNHLJ 9D; 6XG KHWP G 6 6 8&NPNGL D99; D7K 9Y P D D6 F ; D H 2 (0$ + &.," 3 4 H G 9 N:P EN : 6;KV O G 6 G GJG ON: :PH G; J :P9 E;9( ; D7( ;P7 7 H ; DNN9 NG9:6 69 H 99;EGN H E; F P P: NK DPND 9P 8 6 *HD9 1 J K; D 6 % HG J KP :69; " O *LP E L L 6 D G 6 W OD D 9 PeL 4 9 9JH 9 H ; *Q 9L 7 D 9;ONV9 [9N 9EG : 9 D;9 9 J D9G I F D G 9D9;DH 7 :7 KH O H Z H 4 L D7I *J E 6 0 P9 *G 2/( 4 # Y; IG; 9O 66 E ;K W GI L7 9 ) HO PD H K6 HHWP G L 8 D;H G 9 ! O JO P PND W 7 WV6D6 F ; N ’ ON: :P ;9G;6N:99;G 9 H 6 $ @ = = ! D O G 6 G HO 9O 66 E 99PO ( c # > ? $ G K;9 ( ; D7 &I 4 L D7I . NGL H N D;P 9 9G 6 : PGO;G N J H 9 J D9G I < H GJ9I DP; DG :6L O;J9F 7< Q 9L 7 D I H ;N H G KU Z7: 9;36P F $$ PIG % W% HGJ KP P< D 99 F D PIG ^ =36P F 6 OD D 9 :6 6 F D GIP O N 6G; F ; G E:6 J9N D;PN6 6 9 9; 76H F ; J6 G L7 PK L H GJ9 WN F ; H 7 I eL " J K F DG 4 9P G K B E 4 L D7I NWP ( Y 9; 1 D G 9; 7 O6E D 9 9O 66H 6 9 9 D Z7 ;GX ! JOG 6E 6:H 6 F D JWP6 9< 6 9 G;L N NL N:7 F P OLY P NG KVW9 ZP C DP; D’;P9 6; I Y; PD 6 ! # // ! @ #! 99G 6 D9D;. J D # H H H OIG;( c # @ ? ? > W YG;L N O 6 9 E6 O JO P & : PGOPN7 76 ;GX 84 9D Z7 W;9G;6N G :6L 9J N ; ; G K;91 D W( ; D70 VP;P 6 2 KP 6 JH D O J K6 G 6 G G 6G6EWP 6 9D% FF D H < W6 Y 9 J D9 7 D 9;GIP O N P F; 6NQ 9LNG I F D 76H F H ; ’%2) $ 6< (M % D L; D W% HGJ KP:69; " * ! G9 23 P;L7 G 6 N6 OD D 9 PeL 5 * NK* %3666 # H ; J J!2 ;ON ) L JGHI ( 97 F D MJ NO % GI< H 6 N GL 9 I D6 PID 9K9 G< DL 76 Y; PD 6 @ A $ @ $ @ # # HOIG;( c ? = # # # BC ? !8 P O D &2 / $ HPPOL7 2 7< 9 J D9 /HD 9; H FG K ; * &9GLHG J H*Q 9L 7 F D % ; I 4 9K;L 6 G GH; WFNN U NK : D 9;6 O 99; DL: VH H 7 E6 HJ9’ *H 9 9 K D D GIP O 4 9F H K G;IN6 ;9 JO P & : PGOG9 76H F8 O GDG Z DG 9 W O G;6N G :6L P ; ;9D F 9 D J7 E6 ;GXN D;PN ON HD< O J VPG KQ G; WG;L H GJ9 84 99N G H I I N FF P 9 N 6 6 N $ % O 9 9G9 HD;PNG9G< J GH KG W7 Y 8 ? 4 9I DP;KN GJ9 P L ] 7 I ;PN 6 O U 9 P N G EI DP;K F D G E6 9 H J9 WP;9’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