基于时空关联分析的网络实时威胁识别与评估

如何从大量安全报警中提取有效威胁并识别当前状态,是评估实时威胁状况的前提和关键,这需要对威胁事件进行多角度、多信息的关联融合.为此,深入分析网络安全对抗环境在空间上的复杂性和时间上的动态性,提出一种基于时空关联分析的网络实时威胁识别与量化评估方法.首先基于威胁状态转移图挖掘威胁事件的时空关联关系,在时间维度上结合威胁渗透过程,在空间维度上关联威胁状态属性,获得当前有效威胁及实时状态;进而基于网络实体价值、威胁严重度、威胁成功3个要素,提出多粒度的层次化递推算法,按照"点、线、面"的思路,分别从威胁状态、威胁路径、网络全局3个层面上量化评估安全威胁,以反映不同粒度的威胁态势.通过仿真实验,验证了该方法的实用性及有效性.     

高安全属性价值设备威胁态势量化评估方法

传统的网络安全态势量化评估方法主要面向宏观网络安全态势,未针对安全价值较高的网络设备,给出了高安全属性价值设备的定义,设计了针对设备的威胁态势量化评估框架和评估指标,根据评估框架和指标提出了高安全属性价值设备威胁态势量化评估方法。对具体网络中实际设备的评估结果表明,该方法能够准确、有效地量化评估高安全属性价值设备的威胁态势。     

基于贝叶斯网络的多属性信息安全风险评估

对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。     

地面作战目标威胁评估多属性指标处理方法

评估指标的量化处理是目标威胁评估(Threat assessment, TA)算法应用的基础.本文针对地面作战目标威胁评估指标类型多样和难以量化的问题, 系统地提出了一种多属性威胁指标的量化方法, 并将指标量化结果转化为统一的直觉模糊集(Intuitionistic fuzzy set, IFS)表示形式.研究了地面作战目标威胁评估指标如目标距离、速度、攻击角度、类型、通视条件和作战环境等, 通过模糊评价语言、区间数、实数、三角模糊数等方式进行量化, 最大限度地保留指标不确定信息并降低实际应用的复杂度; 提出了不同表示形式的威胁指标数据与直觉模糊数的转化原则和转化方法, 并给出了理论可行性的数学证明.通过一个地面作战目标威胁评估的多属性指标处理实例, 验证了该方法在多属性指标量化和直觉模糊集表示中的合理性, 说明了该方法能够为目标威胁评估提供科学的评估数据.     

一种改进的网络安全态势量化评估方法

在基于隐马尔可夫模型的网络安全态势评估中,观测序列的获取和状态转移矩阵的确立是影响评估准确性的关键.目前观测序列多以随机方式获取,不能有效表征网络的安全性;而状态转移矩阵往往依据经验给出,具有很强的主观性.该文提出改进方法:首先,基于警报的统计特性提出警报质量的概念,依据警报质量获取的观测序列,可改进数据源的有效性;其次,基于安全事件和防护措施的博弈过程,提出确定状态转移矩阵的方法,并结合攻击成功的概率对其进行修正,提高状态转移矩阵的有效性.对比实验证明,基于改进算法生成的风险值对网络安全态势的量化更加合理.     

多属性目标决策的分类融合威胁排序的模型

协同空战中,目标威胁等级的判定为武器资源的有效配置提供了重要依据,是现代作战指挥决策系统的核心内容.目前该问题的难点在于,如何解决多属性目标量化属性和非量化属性的混合比较问题.运用目标多属性理论探索对空中目标的威胁排序问题,提出了一种基于被保护对象相互关系鼍化的空中目标威胁评估和排序的方法,方法对威胁冈素进行了详细分类,并分析了它们之间的关系,在此基础上融入了我方目标任务属性的比较关系,同时对一些模糊属性进行了量化处理.最后通过示例介绍了威胁评估和排序的求解过程.该方法有效地解决了目标威胁评估与排序问题,是可行和有效的.     

如何建立和健全信息安全风险评估机制

一、了解信息安全风险评估的定义信息系统的安全风险是指,由来自人为或是自然的威胁,利用信息系统存在的脆弱性,造成安全事件发生的可能性及其可能造成的影响。信息安全风险评估,则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响等,并根据安全事件发生的可能性和负面影响的程度,来识别信息系统的安全风险。信息安全是一个动态的复杂过程,它贯穿于…     

两种网络环境中权限提升攻击分析与对比

为了分析分离映射网络对权限提升攻击的缓解作用,提出了一种基于损失期望的攻击图建模评估方法.首先根据网络状态和脆弱性信息确定属性节点和原子攻击节点,生成攻击图,然后根据攻击者选取的攻击序列计算其对目标网络造成损失的期望值.基于该方法对两种网络环境中权限提升攻击情况进行了建模分析对比,结果表明分离映射网络对权限提升攻击起到了良好的缓解作用,较传统网络具有明显的安全优势.     

一种基于隐Markov模型的网络安全态势感知方法研究

为了准确评估网络系统的安全状态,文章提出一种基于隐Markov模型(HMM)的网络安全态势感知方法.首先通过对系统多种安全检测数据融合,得到系统的网络结构、资产、威胁和脆弱性数据的规范化数据;接着对系统中的每个资产,将该资产受到的威胁和存在的脆弱性结合起来,分析影响该资产的安全事件序列,分别建立该资产保密性、完整性和可用性三个安全性分量的HMM,采用滑动窗口机制将观测序列分段训练,并采用带遗忘因子的更新算法得到HMM的各个参数;然后根据HMM和观测序列分析该资产安全状态,评估该资产的安全态势分量;最后综合分析网络中所有资产的安全态势分量,评估网络的安全态势分量,并根据应用背景评估网络的整体安全态势.实验分析表明,基于HMM的网络安全态势感知方法符合实际应用,评估结果准确有效.     

基于群广义直觉模糊软集的空袭目标威胁评估方法

空袭目标威胁评估是提高防空武器系统应对多目标的基础. 针对威胁评估的实时性、多因素和信息不确定性问题, 构建一种基于群广义直觉模糊软集的多属性威胁评估模型. 在选择合适的威胁评估指标和量化方法的基础上, 引入多专家参量集来弥补传统广义直觉模糊软集中单个专家的评估不准确性和知识局限性等缺陷. 通过应用实例分析并与其他最新决策评估方法进行比较, 验证了该方法的可行性和有效性.

     

基于动态攻击图的网络安全实时评估

针对网络安全评估对实时性及可视化的需求,提出了一种基于动态攻击图的实时评佑方法。首先通过采集网络的脆弱性、网络拓扑、资产价值等安全属性信息,同时提取入侵检测系统的报警信息、防火墙策略、安全管理等动态攻防对抗信息,生成动态攻击图,并实时调整防御手段对网络进行及时、有效的保护,实时地对网络系统的安全状态进行评估,并采用可视化的方法展现评估结果,在此基础上给出整体安全策略调整建议。最后通过实验证明了本方法的可行性和有效性。     

基于深度加权特征学习的网络安全态势评估

计算机网络高速发展的同时也带来了许多的安全问题,对网络安全进行有效的网络安全态势评估对于掌握网络整体的状态并帮助管理人员全面掌握整体态势具有重要意义。然而,现有的网络安全态势评估方法存在特征要素提取困难、准确率低、时效性差的问题。针对这些问题,提出一种面向网络威胁检测的基于深度加权特征学习的网络安全态势评估方法。首先,考虑到单个稀疏自动编码器进行特征提取时无法很好的拟合不同攻击的分布,从而影响威胁检测准确率的缺点,构建一个基于并行稀疏自动编码器的特征提取器提取网络流量中的关键信息,并将其与数据原始特征进行融合。其次,为了更多的关注网络流量中的关键信息,采用注意力机制改进双向门控循环单元网络,对网络中的威胁进行检测并统计每种攻击类型的发生次数以及误报消减矩阵。然后,根据误报消减矩阵修正每种攻击类型的发生次数,并结合威胁严重因子计算得到威胁严重度。最后,根据威胁严重度和每种攻击类型的威胁影响度确定网络安全态势值以获取网络安全态势。本文选取NSL-KDD数据集进行实验验证,实验结果显示本文方法在测试集上达到了82.13%的最高准确率,召回率、F1值分别达到了83.36%、82.74%。此外,通过消融实验进一步验证了所提出的并行稀疏自动编码器提取特征和注意力机制加权特征两种改进方法的有效性。与经典态势评估方法SVM、LSTM、BiGRU、AEDNN等的对比实验也证明,该方法能够高效、全面地评估网络安全的整体态势。     

基于多源异构数据融合的网络安全态势评估体系

针对基于单点网络数据很难准确地检测网络恶意活动且无法有效地分析网络状况的问题,本文通过引入多源异构数据融合策略,借鉴层次化网络分析思想,构建出包含流量探测模块、属性提炼模块、决策引擎模块、多源融合模块、态势评估模块等五大模块的网络安全态势评估体系。评估体系以BP神经网络为决策引擎分析各数据源的数据,使用指数加权D-S证据理论融合各决策引擎的输出结果,并基于层次化网络威胁评估方法评估网络威胁状况。实验结果表明:不同探测器探测到的数据对于识别不同类型攻击的优势不同;多源融合技术进一步将识别攻击类型的准确率提升到88.7%;层次化网络威胁评估方法能够有效地评估网络威胁状况。     

基于ARIMA模型的网络安全威胁态势预测方法

针对网络安全威胁态势变化趋势预测的困难性,利用网络安全威胁态势值具有时间序列的特点,提出了一种基于ARIMA的模型的网络安全威胁态势预测方法。该方法首先分析服务、漏洞、弱点等与网络安全相关的信息,合理地计算出网络安全威胁态势值,进而使用ARIMA模型的预测方法对所得序列的变化趋势进行预测。实验结果表明,该方法不仅能够反映真实的网络安全威胁态势的变化趋势,而且其预测的精度也较高。     

基于属性识别理论的网络威胁评估方法

针对网络威胁评估问题,提出一种基于属性识别理论的网络威胁评估方法。通过提取一段时间内网络攻击事件的指标,采用熵值确定权重并建立模型,对攻击事件进行评估、分级,进而量化出该段时间内网络的威胁程度。实例分析结果表明,该方法简单、实用,能够有效进行网络威胁的评估。     

一种细粒度的网络威胁态势评估方法

针对现有网络威胁态势评估方法评估粒度较粗,无法满足不同管理人员评估需求的问题,提出了一种细粒度的网络威胁态势评估方法。按照从局部到整体、从微观到宏观的评估策略,分别对威胁节点、威胁链路、威胁路径、威胁目标和全网威胁态势进行评估,实现了对网络威胁的深入分析和细粒度评估,通过实验分析证明了评估结果的合理性和准确性。     

增量挖掘实时报警关联研究

入侵检测技术通过实时获取网络攻击报警信息,对网络安全实施检测、分析和动态防御,有效弥补了防火墙的不足。通过有效处理网络报警信息提高入侵检测的检测率、精确度是当前入侵检测技术研究的重要课题之一。提出了一种实时的增量挖掘入侵检测报警关联方法。该方法使报警事件的聚合操作和报警关联分析控制在小规模数据范围内进行,有效克服了一些数据挖掘算法应用到入侵检测过程中存在的多遍扫描、误报率高和报警信息关联度低问题。实验结果表明,该方法不但可以处理大容量实时网络报警信息,而且在报警信息关联分析和报警事件约减都体现了良好的性能。     

目标威胁评估的一种改进影响网络方法

目标威胁评估是在进行作战决策时需要解决的关键问题。针对传统影响网络只能描述二元状态事件的局限性,对其进行了扩展,建立了描述多元状态事件的改进影响网络模型,并推导了影响参数应满足的约束条件及条件概率的计算方法。以防空系统目标为例,在分析目标威胁属性的基础上,基于云模型进行属性值的定性与定量转化,并运用改进的影响网络方法进行目标威胁评估。最后给出仿真实验,实验结果验证了改进影响网络方法的有效性和可行性。     

引入交叉确认机制的安全态势评估模型

针对当前网络安全态势评估数据源较单一,评估结果欠准确等问题,提出了基于交叉确认机制的安全态势评估模型。该模型根据网络安全事件间的关联性以及告警信息的不确定性,提出多源告警信息交叉确认机制,利用模糊推理将海量的告警信息进行交叉确认,提取出可靠的评估信息,并结合静态评估数据进行安全态势评估。利用实例网络数据,对该模型进行了验证,实验结果表明该模型评估结果的全面性和准确性有很大程度的提高。