基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述,提出基于多源数据报警相关性的方法。首先,对CPN(Colored Petri Net)进行扩充,增加了反映安全工具报警信息的观测集,形成了ECPN(Extended Colored Petri Net),并对其进行了形式化描述与图形建模;其次,提出了基于ECPN攻击场景的构建关联算法ECPN-Scenario-Constructor以及攻击动作提取算法Multistep-Abstract;最后,对DARPA 2000入侵场景关联评测数据集进行了实验。实验结果表明:该算法可以对报警进行有效的关联,及早地发现攻击者的攻击策略,并能有效地避免误报和减少漏报。     

采用攻击策略图的实时警报综合分析方法

针对警报因果关联分析方法存在攻击场景图分裂且无法及时处理大规模警报的问题,提出并实现一种采用攻击策略图的实时警报综合分析方法．首先,通过在警报关联过程中引入推断警报环节避免攻击场景图的分裂;然后,采用一种新型滑动窗口机制,为每类攻击创建一个滑动窗口,并结合时间跨度与警报数量设定窗口大小,在保证关联效果基础上具有线性时间复杂度;最后,将该方法扩展为包含实时攻击场景重构、后续警报推测及分析结果融合的综合警报分析系统．实验结果证明了该方法的实际有效性和高效性．     

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

APT攻击场景重构方法综述

APT攻击已经成为网络安全的重要威胁之一,从大量告警日志数据中识别APT攻击并还原攻击场景已成为当前急需研究的问题。首先介绍了攻击场景重构基本概念和技术流程框架。其次,依据采用的关联分析方法,对攻击场景重构方法进行了分类,并分别综述了基于经验知识、基于因果关系、基于语义相似性和基于机器学习4类方法的基本步骤和具体案例。最后,讨论了不同方法的优势和不足,结合最新技术应用指出了未来发展趋势。     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

社交网络中社会工程学威胁定量评估

针对社交网络中社会工程学威胁难以定量评估的问题,提出基于属性攻击图和贝叶斯网络的社会工程学威胁评估方法. 基于社交网络社会工程学攻击过程,定义社会工程学的可利用的脆弱性语义和攻击节点语义,提出相应的脆弱性可利用概率计算方法. 通过分析社交网络中社会工程学攻击模式,模拟钓鱼攻击和跨站身份克隆攻击,根据属性攻击图生成算法构建社会工程学攻击图,采用贝叶斯网络模型对每种攻击路径造成的社会工程学威胁进行量化评估,得到社交网络中个人账号的隐私威胁风险. 通过在Facebook数据集上的实验验证所提出方法的有效性.     

基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

信息隐藏技术的安全反馈模型

为了防止内容相关型的网络入侵,从网络攻击对象的角度,利用蜜罐技术,提出了信息域自反馈网络入侵防护模型.该模型能够忽略攻击手段和方式而直接判断受到威胁的信息及所属领域,将信息根据其领域、内容等属性划分为信息域,在诱捕环境下将入侵者对信息域攻击的危害程度进行量化,获得域信息敏感度,以此作为评价数据是否需要重点防护的依据.网络场景实验表明,模型实现了对遭受网络攻击或威胁的信息及相关领域的预测,封闭数据集测试模型准确率高达96.56%,开放环境下其平均准确率为84.76%.     

边缘计算场景下的攻击区域威胁模型

针对边缘计算面临的安全威胁，提出一种基于攻击区域的威胁模型。在威胁发现阶段，根据边缘计算架构确立了安全边界内主要的攻击区域，在每个区域内建立了攻击树进行威胁分解，用叶节点表示具体的攻击方法。在威胁量化阶段，为了减小评估过程存在主观因素的影响，采用了模糊层次分析法(FAHP)计算叶节点的攻击概率。在威胁消减阶段，分析了每棵攻击树的攻击路径，确定了各区域的攻击概率并制定了威胁应对措施。结果表明，该模型能够识别边缘计算场景下的主要安全威胁，通过威胁消减措施有助于提升边缘计算产品和应用的安全性。     

基于加权灰色关联度分析与集对分析组合推理模型的航材消耗预测

为了改善传统预测方法在航材消耗预测问题上的不适应性,基于案例推理方法,结合加权灰色关联与集对分析方法分别构建出案例推理模型,并利用熵值法与改进层级分析法确定灰色关联系数权重与案例集对特征因素权重。最后构建航材消耗组合推理模型,再依据推理结果对航材消耗数量进行预测,其结果具有一定的准确性和可靠性。     

分布式架构中的Sybil攻击及防御综述

近年来,分布式架构在互联网信息服务中的应用越来越广泛.分布式架构通常依靠多个独立节点应对潜在的恶意威胁,但是由于节点间缺乏认证,识别网络中的身份和节点的关系较困难,容易受到多重身份攻击,即Sybil攻击,这破坏了节点间的信任关系.对分布式架构中的Sybil攻击及其防御方法进行分析研究.首先,梳理了不同应用场景下Sybi...     

考虑电压控制的信息物理协同攻击模型

随着电力信息物理系统的高度融合，信息物理协同攻击对电网的运行构成巨大的威胁。基于完全信息下的攻防策略，构建了考虑电压控制的两阶段协同攻击模式。首先分析了针对电压控制的虚假数据注入攻击；然后建立了信息物理协同攻击双层优化模型，上层模型优化物理和信息攻击点；为考虑物理攻击后果对信息攻击实施的影响，下层为模拟物理和信息攻击下的二阶段攻防模型；最后，以改进的IEEE14、IEEE57节点系统为例，对所提模型进行仿真验证。仿真结果表明，协同攻击较单一打击更加有效、隐蔽，物理攻击点的选择和系统负荷的大小都能影响协同攻击的效果；并揭示了随机物理打击下最优信息打击点的特征，为防御此类协同攻击提供参考。     

基于神经网络和遗传算法的网络安全事件分析方法

传统网络安全事件分析方法较多依赖人工干预,针对该问题提出了一种具备更高自适应能力和自动化程度的网络安全事件分析方法,利用神经网络模型对多种异构事件源产生的数据进行分析,按照不同攻击场景自动分类,基于分类结果提取规则项,利用遗传算法自动生成针对不同攻击场景的关联规则. 实验结果表明,该方法可自动完成事件分类和关联规则生成,是对传统方法的有效增强和改进.     

基于三层攻击图的入侵意图自动识别模型

针对预测入侵意图、发现网络漏洞困难等问题,提出了基于三层攻击图的入侵意图自动识别方法。该方法通过对底层报警数据的分析,建立了网络的三层攻击图,并通过对入侵意图的概率分析来定量攻击图。最后,通过最小关键点集生成算法来发现网络中的关键主机,从而为管理人员提供正确的网络安全策略。经验证,这种入侵意图自动识别的方法可行、有效,且具有简单易行等特点。     

APT攻击检测与反制技术体系的研究

高级持续威胁（APT）是近年兴起的新型网络攻击,一直受到网络安全界的重视。该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢。同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘。实验得出,同一组织使用的工具集间存在相似性规律。综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用。