一种基于ATT&CK的新型电力系统APT攻击建模

以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻击,严重影响电网调度与能源消纳。文章基于ATT&CK知识库建立了面向新型电力系统APT攻击的杀伤链模型,针对传统方法难以将APT攻击技术划分到杀伤链攻击阶段,从而导致安全员无法迅速做出防御决策的情况,提出了一种基于杀伤链模型的APT攻击技术阶段划分方法,并采用Bert模型对技术文本进行语义分析,自动将攻击技术划分到所属阶段。实验结果表明,文章所提方法比现有模型具有更好的效果。     

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。     

基于阶段特性的APT攻击行为分类与评估方法

APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。     

分布式拒绝服务攻击建模与形式化描述

分布式拒绝服务（DDoS）攻击严重威胁网络的安全性。需要有合适的模型来刻画DDoS攻击的行为特征,指导DDoS攻击的分析、检测和防御。使用攻击树对分布式拒绝攻击进行建模,并引入Object_Z语言对具体攻击模式进行了面向对象的形式化描述。分布式拒绝服务攻击的攻击树模型可以刻画出分布式拒绝服务攻击的本质特征,对其具体子类的形式化描述又可以降低构造攻击模型的复杂度,从而易于使用,分析和维护。     

SCADA系统通信网中的高级持续性攻击检测方法

高级持续性攻击（advanced persistent threat,APT）作为一种新型攻击,已成为SCADA（supervisory control and data acquisition）系统安全面临的主要威胁,而现有的入侵检测技术无法有效应对这一类攻击,因此研究有效的APT检测模型具有重要的意义。提出了一种新的APT攻击检测方法,该方法在正常日志行为建模阶段改进了对行为模式的表示方式,采用多种长度不同的特征子串表示行为模式,通过基于序列模式支持度来建立正常日志行为轮廓;在充分考虑日志事件时序特征的基础上,针对APT攻击行为复杂多变的特点,提出了基于矩阵相似匹配和判决阈值联合的检测模型。通过对比研究,该检测方法表现出了良好的检测性能。     

基于非零和随机博弈的APT攻击主动防御策略选取

为解决APT（高级持续性威胁）攻防对抗过程中的防御滞后性问题,并在有限资源下做出最优主动防御决策,针对APT攻击过程中攻防双方意图、可行策略集随攻击阶段推进而演变的特点进行了研究,基于非合作博弈理论构建了多阶段APT攻防随机博弈模型AO-ADSG（APT-oriented attack-defense stochastic game）。针对APT攻防对抗中双方效用不对等的现象引入非零和思想,设计符合APT攻击特征的全资产要素效用量化方法;在分析博弈均衡的基础上给出最优防御策略选取算法。最后,通过“夜龙攻击”模拟实验验证了提出方法的可行性及正确性。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

面向APT家族分析的攻击路径预测方法研究

近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体,已成为最严重的网络空间安全威胁之一,当前针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,由于复杂且庞大的数据很容易将APT特征隐藏,使得获取可靠数据的工作难度大大增加,如何尽早发现APT攻击并对APT家族溯源分析是研究者关注的热点问题。基于此,本文提出一种APT攻击路径还原及预测方法。首先,参考软件基因思想,设计APT恶意软件基因模型和基因相似度检测算法构建恶意行为基因库,通过恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意特征解决可靠数据获取问题;其次,为解决APT攻击路径还原和预测问题,采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测,利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数,进而还原和预测APT攻击路径,预测准确率可达90%以上;最后,通过HMM和基因检测两种方法对恶意软件进...     

基于ATT&CK的APT攻击语义规则构建

从自然语言描述文本中提取网络攻击知识存在语义鸿沟,导致TTPs威胁情报自动化利用低。为提高威胁情报自动分析效率,设计并实现了基于ATT&CK的APT攻击语义规则。首先,构建带标签的有向图语义规则模型,对自然语言文本描述的攻击技术进行知识化描述;其次,定义语义规则,阐释网络实体属性及其逻辑运算关系的形式化描述方法;最后,利用关键词组识别、知识抽取等自然语言处理技术,从攻击技术文本中抽取形成123个APT攻击语义规则,涵盖ATT&CK的115项技术和12种战术。利用模拟场景采集的APT攻击日志数据,对语义规则进行验证,实验结果表明,语义规则检出率达到93.1%,并具备一定的攻击上下文信息还原能力,可有效支撑威胁检测分析。     

基于Petri网的APT攻击模型生成方法

在严峻的APT(Advanced Persistent Threat)攻击防御背景下,针对现有网络攻击建模方法无法反映APT攻击的攻击特点,建立了基于Petri网的APT攻击模型。借助Petri网,首先针对APT攻击的特点及生命周期,建立APT攻击的基本Petri网模型;然后设计并实现APTPN(Advanced Persistent Threat Petri Nets)模型的生成算法,针对具体的APT攻击生成其完整的攻击路径;最后,实验通过模拟极光攻击验证了算法的有效性及正确性。     

面向APT攻击的关联分析检测模型研究

近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。     

基于攻击树模型的数传电台传输安全性评估

数传电台在数据采集与监视控制系统中广泛应用,其传输安全也受到越来越大的挑战。文章为了系统分析评估数据采集与监视控制系统中数传电台传输的安全性,针对数传电台传输阶段可能存在的风险,采用攻击树建模方法,对传统攻击树进行改进,重新定义了攻击节点,量化了叶子节点的攻击风险,建立了以威胁数据采集与监视控制系统安全为攻击目标的攻击树模型,在攻击树的基础上可以直观地反映各种可能的攻击图景。并根据攻击树计算出了各攻击图景发生的概率,根据多攻击图景考虑系统总的安全性。最后利用安全性灵敏度,定量分析各攻击方式发生概率变化对系统安全性的影响,找出对系统安全性影响较大的关键方式,提出提高系统安全水平的措施。文中攻击树模型可以用于评估系统风险,区分不同攻击方式对系统的不同安全威胁程度,由此为决策者采取相应的数传电台传输保护措施提供依据。     

基于攻击树的网络攻击建模方法

攻击树(AttackTree)是一种具有树表示结构的网络攻击建模工具。它具有结构化、可重用的优点。已有一些工作在它的基础上展开。但总的来说,现有的研究都着重于针对具体的攻击事件进行建模,在利用攻击树进行分析时缺乏系统性和整体性,难以对攻击树进行有效的利用。该文利用攻击树从系统的角度来对攻击进行建模,并尝试利用建模后得到的攻击树对系统整体的安全性进行分析与评估;此外,通过对攻击过程进行阶段划分,大大降低了构造出的攻击树的复杂度,使得攻击树更易于使用、分析和维护。实例分析表明,该方法能很好地刻画网络攻击的特征,可以为系统的安全分析和评估提供比较令人满意的指导,具有较好的实用性。     

基于诱捕的软件异常检测综述

高级持续威胁(APT,advanced persistent threats)会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁.传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口.为此,以资...     

一种联合检测命名数据网络中攻击的方法

兴趣泛洪攻击(interest flooding attack,IFA)和合谋兴趣泛洪攻击(conspiracy interest flooding attack,CIFA)是命名数据网络(named data networking,NDN)面临的典型的安全威胁.针对现有检测方法的检测特征单一因此不能有效地辨别攻击种类以及检测率不够高等问题,提出一种基于关联规则算法和决策树算法联合检测NDN中攻击的方法.首先,通过提取NDN路由节点的内容缓存(content cache,CS)中的数据信息挖掘CS中新的检测特征“缓存增长率”,实验发现“CS数据包增长率”是辨别IFA还是CIFA的有利依据.其次,使用关联规则算法将新的检测特征与待定兴趣表(pending interest table,PIT)中多个检测特征联合,寻找各个特征之间的关联性并将其作为决策树的输入.最后,使用决策树算法检测攻击.该方法使用决策树算法和关联规则算法联合检测NDN中的攻击,不仅避免了单一特征检测攻击造成的误判并且丰富了决策树的分类属性.分析仿真结果表明该检测方法可以精确地区分并检测IFA和CIFA并且提高了检测率.     

基于指标依赖模型构建与监控的攻击检测方法

随着攻击技术的不断演进,防御的难度也与日俱增.为了及时有效地识别和阻断攻击的实施,学术界与工业界已提出众多基于攻击检测的防御技术.现有的攻击检测方法主要着眼于攻击事件,通过识别攻击特征或者定位异常活动来发现攻击,分别具有泛化性和攻击导向性不足的局限性,容易被攻击者精心构造的攻击变种绕过,造成漏报和误报.然而本文根据观察发现,尽管攻击及其变种可能采用众多不同的攻击机制来绕过一些防御措施,以实现同一攻击目的,但由于攻击目的不变,这些攻击对系统的影响依然具有相似性,因此所造成的系统影响并不会随攻击手段的大量增多而随之产生对应的增长.针对该特点,本文提出基于攻击指标依赖模型的攻击检测方法以更有效地应对攻击变种.本文所提出的指标依赖模型着眼于漏洞利用后对系统的影响而非变化多样的攻击行为,因此具有更强的泛化能力.基于模型指导,我们进一步采用多层次监控技术,以迅速捕获定位攻击迹,最终实现对目标攻击与变种的精确检测,有效降低攻击检测的误报率.本文在DARPA透明计算项目以及典型APT攻击组成的测试集上与现有的基于攻击事件分析的检测方法进行实验对比,实验表明在预设场景下本文所提出的方法可以以可接受的性能损耗实现99.30%的检出率.