基于攻击路径图的网络攻击意图识别技术研究

针对目前网络攻击分析和威胁评估都是建立在静态的网络环境和攻击行为之上的问题,设计了网络攻击意图动态识别系统。研究了基于最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,搭建了网络攻击意图动态识别系统的框架并完成了该系统的设计。最后搭建了临时实验网络平台进行实验,实验结果表明,网络攻击意图动态识别系统在测试环境下是正确有效的。     

基于攻击图模型的网络安全态势评估方法

针对网络攻击出现的大规模、协同、多阶段的特点,提出一种基于攻击图模型的网络安全态势评估方法。首先,结合攻击事件的时空特征融合多源告警数据构建网络攻击行为特征;其次,基于告警信息映射攻击节点,关联多步攻击的路径;再次,在构建攻击图的基础上,结合转移序列构建攻击节点转移概率表,将转移概率引入攻击图中,推断攻击者的攻击意图;最后,针对最大可能的攻击路径,对大概率的攻击节点进行安全态势评估,科学量化网络攻击后潜在攻击节点的安全态势,为网络安全管理人员提前做好防护提供理论支撑和科学依据。     

基于扩展网络攻击图的网络攻击策略生成算法

该文针对网络攻防领域攻击策略生成问题的特性,从攻击者角度研究网络攻击图。根据漏洞信息对攻击模板进行实例化,维护原子攻击以及攻击的前提条件和攻击效果等因果关系,形成扩展网络攻击图,并进一步提出基于扩展网络攻击图的网络攻击策略生成算法,该算法能够动态的预测下一步网络攻击效果,求出达到该攻击效果的攻击链及其成功概率,为网络攻击过程的顺利实施提供决策支持。通过网络攻防实验,验证了网络攻击图的扩张和网络攻击策略生成算法的正确性。     

基于多挖掘方法和CPN的告警关联系统

网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。     

基于攻击效用的复合攻击预测算法

网络攻击以复合攻击形式为主,但当前的安全设备只能检测无法预测,针对这个问题,提出了一种基于攻击效用的复合攻击预测方法,通过该方法识别攻击者的最终意图,预测攻击者下一步可能进行的攻击行为.该方法利用攻击意图描述复合攻击过程,建立了基于攻击意图的复合攻击逻辑关系图,并引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益的大小,是复合攻击预测的重要参考.最后,通过实验验证了该方法的有效性.     

考虑置信度的告警因果关联的研究

一个成功的网络攻击往往由若干个处于不同阶段的入侵行为组成,较早发生的入侵行为为下一阶段的攻击做好准备。在因果关联方法中,可以利用入侵行为所需的攻击前提和造成的攻击结果,重构攻击者的攻击场景。论文引入了告警关联置信度的属性描述,用于分析因果关联结果的可信度,进而能够进一步消除虚假关联关系。通过DARPA标准数据集分析,该方法取得了较好的实验结果。     

基于贝叶斯攻击图的SDN安全预测方法

现有研究者采用威胁建模和安全分析系统的方法评估和预测软件定义网络（software defined network, SDN）安全威胁,但该方法未考虑SDN控制器的漏洞利用概率以及设备在网络中的位置,安全评估不准确。针对以上问题,根据设备漏洞利用概率和设备关键度结合PageRank算法,设计了一种计算SDN中各设备重要性的算法;根据SDN攻击图和贝叶斯理论设计了一种度量设备被攻击成功概率的方法。在此基础上设计了一种基于贝叶斯攻击图的SDN安全预测算法,预测攻击者的攻击路径。实验结果显示,该方法能够准确预测攻击者的攻击路径,为安全防御提供更准确的依据。     

基于因果关联的电力工控系统攻击场景还原

随着电力系统自动化程度的快速提升,电力工控系统已成为网络攻击的重要目标。文中将因果关联方法应用于电力工控系统攻击场景还原,并提出一个完整的场景还原框架。该框架在攻击取证阶段通过入侵检测和监测设备得到多源原始告警信息,然后采用入侵检测信息交换格式将多源告警信息标准化并去除冗余,获得有效攻击证据;在场景还原阶段,引入告警信息差异度计算方法,并结合因果关联方法推理还原攻击路径。配电网攻击还原案例分析验证了所提框架的可行性。     

基于动态概率攻击图的云环境攻击场景构建方法

针对复杂多步攻击检测问题,研究面向云计算环境的攻击场景构建方法。首先,构建了动态概率攻击图模型,设计了概率攻击图更新算法,使之能够随着时空的推移而周期性更新,从而适应弹性、动态性的云计算环境。其次,设计了攻击意图推断算法和最大概率攻击路径推断算法,解决了误报、漏报导致的攻击场景错误、断裂等不确定性问题,保证了攻击场景的准确性。同时将攻击场景随动态概率攻击图动态演化,保证了攻击场景的完备性和新鲜性。实验结果表明,所提方法能够适应弹性、动态的云计算环境,还原出攻击者完整的攻击渗透过程,重构出高层次的攻击场景,为构建可监管可追责的云环境提供了一定的依据和参考。     

基于模糊聚类的攻击预警

为提高攻击预警的准确性,本文在基于攻击意图的攻击预警方法的基础上提出了一种基于模糊聚类的攻击预警方法.该方法通过聚类攻击行为,量化和反映攻击者的攻击意图,从而对攻击者的下一步攻击行为进行准确预警.实验表明,该方法能够在有效的时间内更加准确地预测并报警攻击者下一步攻击行为,满足攻击预警时效性和准确性要求.     

基于动态防御策略的石油石化工控网络安全防护方法

<正>石油石化产业是支撑国家经济发展与保障社会稳定的基石，是国家关键基础设施的重要组成部分。随着工业化与信息化的深度融合，由于其重要的经济和政治价值，它们已成为网络攻击的首选目标。现有静态防护策略（如防火墙、入侵检测系统）无法防御日益复杂的新型未知网络威胁，致使石油石化工控系统面临严峻的网络威胁挑战。本文提出一种基于动态防御策略的石油石化工控系统防护方法 ：首先，通过网络主动跳变、快速迁移构建一个动态“平行网络”，动态改变攻击面，使攻击者无法找到攻击目标；然后，设计一种全新的自适应蜜网系统，在网络中营造出大量以假乱真的业务节点及业务网络，引诱攻击者进入虚假业务网络以实现实时捕获与阻断；最后，提出一种基于异构图卷积网络的攻击行为分析方法，有效识别和定位包括APT攻击在内的网络攻击模式，有效识别并阻断新型未知网络威胁。     

基于模糊场景关联分析的技术研究与实践

文章针对海量多源异构安全日志分析问题,提出了一种基于模糊场景的关联分析方法。这种方法打破传统安全告警日志关联分析技术中常采用的构建固定攻击场景的方式。它采用聚类算法对多源异构告警日志进行聚合,综合考虑告警事件的数据来源、数量和事件等级,对每部分进行权重的累加,计算出与源IP对应的事件疑似度。文章介绍了模糊场景关联分析方法的架构原理、技术实现,并通过实例加以说明,对所提出的方法进行验证。结果表明该方法和应用是可行和有效的。     

基于贝叶斯网络的攻击事件智能发掘模型

针对目前传统入侵检测系统难以得出网络攻击行为之间存在的关联关系问题,以攻击图表示模型为指引,提出一种基于贝叶斯网络的攻击事件智能发掘模型。本文以先验知识建立贝叶斯攻击行为关联图。基于属性相似度聚合网络攻击行为,针对网络攻击场景设计高效的Ex-Apriori算法发掘攻击行为间的关联规则,并建立攻击行为组集。利用贝叶斯攻击行为关联图的参数对攻击行为组集进行计算,实现对攻击事件的发掘。实验表明,本模型能有效提取网络攻击事件及发现攻击路径,为网络攻击事件的发现与应对措施提供理论支持和技术支撑。     

基于APT潜伏攻击的网络可生存性模型与分析

基于传统网络攻击模式和高级持续性威胁（Advanced Persistent Threat,简称APT）攻击模式提出网络可生存性的评估模型。建立网络攻击场景,仿真验证提出的网络可生存性模型,并比较两种模式的性能。得到的结论：提出的评估模型合理刻画了网络可生存性的两个重要参数,网络攻击传播速率和网络修复速率;基于APT潜伏攻击模式下的网络可生存性性能低于传统攻击模式。     

基于关联分析的软件漏洞评估方法

目前国家信息化水平正在逐步提升,但信息化发展过程中也凸显出日益严重的信息安全问题。信息系统中的软件漏洞层出不穷,攻击者通过攻击多个低级别的软件漏洞来触发高级别的软件漏洞,使用多步攻击方法提升自己的权限,达到损害或控制信息系统的目的。文中以软件漏洞之间的位置关系为基础,深入分析了不同情况下软件漏洞之间的关联关系并提出相应的量化方法,为正确评估软件漏洞对整个系统的危害提供了有效的依据。     

基于隐马尔可夫模型的风险评估方法

针对网络攻击场景下一段时间内信息系统面临的安全风险,文中提出一种基于隐马尔可夫模型的风险评估方法,将网络主机的漏洞建模为隐马尔可夫模型中的状态,将可能受到的攻击建模为隐马尔可夫模型中的观察值,求解一段时间内的成功攻击概率;根据攻击成功后产生的代价和成功攻击的概率,得到时间段内总风险度量值。该方法可从整体角度对网络攻击场景下一段时间内的信息安全风险进行量化评估。     

入侵告警关联系统及关键技术的研究

入侵检测系统的大部分攻击事件之间都存在某种联系,通过对这些告警的关联分析能够减少告警数量,降低误报率,更好地发现攻击以及动态地监控网络。论文提出了一种告警关联系统,系统包括聚合分析、告警确认、多步攻击关联分析和告警严重度分析等过程。文章还对系统中两种主要方法—步攻击关联进行了描述。     

基于攻击图的多源告警关联分析方法

现有基于攻击图(attack graph)的告警关联分析方法难以全面处理告警关联关系,同时,漏报推断和告警预测带来大量冗余路径误报。针对以上问题提出了基于攻击图的多源告警关联分析算法,能够综合应用图关系和阈值限制进行联动推断和预测,达到更为全面解决攻击图中的告警漏报和减少误报数量的目的。同时,将告警处理算法并行化,提出了AG-PAP告警并行处理引擎。实验表明,该方法能够提升关联分析的有效性和性能表现。     

基于吸收马尔可夫链攻击图的网络攻击分析方法研究

现有基于攻击图的入侵路径研究在计算状态转移概率时，缺乏对除基本网络环境信息以外因素的考虑，为了全面且合理地分析目标网络的安全性，提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先，在攻击图的基础上，提出了一种基于漏洞生命周期的状态转移概率归一化算法；其次，使用该算法将攻击图映射为吸收马尔可夫链，并给出其状态转移概率矩阵；最后，对状态转移概率矩阵进行计算，全面分析目标网络的节点威胁程度、攻击路径长度、预期影响。在实验网络环境中应用所提方法，结果表明，所提方法能够有效分析目标网络中的节点威胁程度、攻击路径长度以及漏洞生命周期对网络整体的预期影响，有助于安全研究人员更好地了解网络的安全状态。     

电信网络海量安全事件关联分析引擎技术研究

关联分析引擎通过把孤立的安全事件集合关联为一个安全事件链,从大量误报告警与低级别告警中找出真正威胁告警,是安全运营中心分析安全态势、做出及时响应的关键技术模块。提出了一种结合状态机与推理机两类关联分析机制优点的关联分析引擎技术——基于序列状态推导的关联分析引擎,通过自动序列控制攻击场景规则的匹配,实现高效准确的海量安全事件的关联分析,能够较好地解决传统关联分析引擎在电信级网络应用中的问题。