基于时变加权马尔科夫链的网络异常检测模型

随着互联网技术的迅猛发展,网络入侵事件日益频发,入侵检测对于保障网络安全具有重要意义。针对网络入侵检测的迫切需求,提出一种基于时变加权马尔科夫链的网络异常检测模型,使用组合状态转移概率矩阵来描述状态转移。利用DARPA 2000数据集在NT系统上重放时产生的事件log作为实验数据以验证该模型的效果,并与普通时变加权马尔科夫链模型进行比较,仿真实验结果表明该模型能够对网络进行实时入侵检测,具有较高的准确性和较强的鲁棒性,并且能够有效降低误测率和漏测率。     

基于扩展马尔科夫链的攻击图模型

在网络风险评估中,攻击图模型用于表达网络存在的脆弱点以及脆弱点之间的关联关系,传统方法通过主观经验确定攻击图中状态转移的权重,给状态转移概率的确定带来较大不准确性。为提高其准确性,通过将脆弱点的攻击难度作为状态转移概率的确定标准,构建基于马尔科夫链的攻击图模型。搭建实验环境,将该模型应用到实际环境中,得到了准确的状态转移概率。该模型摒弃了传统概率确定方法中的主观性,有效提高了概率确定的准确性。     

基于系统状态集合的攻击模型及其应用

为了评价系统的安全状况,对可能发生的攻击行为进行预警,提出了一种基于系统状态集合的攻击模型,使用系统状态的集合对系统的安全威胁进行抽象,并将攻击过程描述为系统状态集合的改变。同时还描述了一种利用此攻击模型进行攻击检测和预警的方法。基于该模型,实现了一个安全预警的原型系统。实验结果表明该系统能够有效检测攻击过程,并预测出系统可能达到的危险等级。     

基于DTMC的工业串行协议状态检测算法

针对现有工业信息安全研究主要集中在工业以太网方面,缺少对串行链路协议防护的研究等问题,提出一种基于离散时间马尔可夫链(Discrete Time Markov Chain,DTMC)的工业串行协议状态检测算法。该算法利用工业控制系统(Industrial Control System,ICS)行为有限和状态有限的特征,根据串行链路协议历史流量数据,自动构建ICS正常行为模型——DTMC。模型包含状态事件、状态转移、状态转移概率和状态转移时间间隔等行为信息,使用该模型所包含的状态信息作为状态检测规则集。当检测阶段生成的状态信息与状态检测规则集中的信息不同或偏差超过阈值时,产生告警或拒绝等动作。同时,结合综合包检测(Comprehensive Packet Inspection,CPI)技术来扩大协议载荷数据的可检测范围。实验结果表明,所提算法能有效检测语义攻击,保护串行链路安全,且算法误报率为5.3%,漏报率为0.6%。     

基于吸收Markov链的网络入侵路径分析方法

从攻击者角度对网络进行入侵路径分析对于指导网络安全防御具有重要意义。针对现有的基于吸收Markov链的分析方法中存在的对状态转移情形考虑不全面的问题和状态转移概率计算不合理的问题,提出了一种基于吸收Markov链的入侵路径分析方法。该方法在生成攻击图的基础上,根据攻击图中实现状态转移所利用的漏洞的可利用性得分,充分考虑了非吸收节点状态转移失败的情况,提出了一种新的状态转移概率计算方法,将攻击图映射到吸收Markov链模型;利用吸收Markov链的状态转移概率矩阵的性质,计算入侵路径中节点的威胁度排序和入侵路径长度的期望值。实验结果表明,该方法能够有效计算节点威胁度排序和路径长度期望;通过对比分析,该方法的计算结果相比现有方法更符合网络攻防的实际情况。     

基于数据挖掘的入侵检测

针对现有入侵检测方法的缺陷，结合异常检测和误用检测，提出了一种用数据挖掘技术构造入侵检测系统的方法，使用该方法构造了一个基于数据挖掘的入侵检测原型系统。实验表明，该系统对已知攻击模式具有很高的检测率，对未知攻击模式也具有一定的检测能力。同时，该系统也具有一定的智能性和自适应性。     

基于UML的软件Markov链使用模型的构建

构建软件的使用模型是进行软件可靠性测试及软件可靠性评估的基础.近年来,如何由软件的UML模型构造软件的使用模型成为研究热点.对于大型的软件系统来说,应用现有方法构建的软件Markov链使用模型的状态空间过于庞大,模型描述困难,不利于测试用例的自动生成及软件可靠性评估.针对以上问题,提出了一种由UML模型构建Markov链使用模型的方法.该方法将场景的前置条件和后置条件作为Markov链使用模型的状态,将场景的执行及执行概率作为状态之间的转移及转移概率.与现有方法相比,新方法构建的Markov链使用模型的状态空间小且无需人为干预,而且可以很方便地生成测试输入从而进行可靠性测试.针对UML模型的有效性,提出了经过可靠性评估扩展的UML模型生成Markov链使用模型的验证算法.最后通过一个卫星控制系统的实例对新方法的性能进行了验证.     

工业控制网络多模式攻击检测及异常状态评估方法

面向工控网的攻击策略多种多样,其最终目的是导致系统进入临界状态或危险状态,因此,基于设备状态异常的攻击检测方式相较于其他检测方法更为可靠.然而,状态异常检测中存在攻击结束时刻难以准确界定的问题,构建攻击策略及系统异常状态描述模型,基于此,提出基于状态转移概率图的异常检测方案,实验结果表明该方案能够有效检测多种攻击方式.另外,针对语义攻击对系统状态影响的定量评估难题,提出基于异常特征和损害程度指标融合分析的攻击影响定量评估方法,实现系统所处不同阶段时状态的定量评估与分析.该项工作对于识别攻击意图有重要的理论价值和现实意义.     

基于马尔科夫链的主机异常检测方法研究

提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。     

基于模糊滑窗隐马尔可夫模型的入侵检测研究

针对传统基于隐马尔可夫模型（HMM）入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于模糊窗口隐马尔可夫模型（FWHMM）的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度，通过将状态的随机转移转变为模糊随机转移，提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。     

Stability analysis on networked control systems under double attacks with predictive control

In this paper, stability of a networked control system under denial‐of‐service and false data injection attacks is analyzed with a predictive control method. To model denial‐of‐service attacks on the forward channel of networked control system, game theory is introduced for obtaining balanced results by denial‐of‐service frequency and duration. Then, measurement outputs of the networked control system are maliciously modified in the feedback channel. Under this double attack strategy, the stability of networked control system with predictive control is analyzed using a switched system method. By comparing three types of attack models, advantages of the double attacks are discussed to illustrate the necessity of this research. A numerical simulation is given to demonstrate effectiveness of the proposed methods on a networked control system under double attacks.     

拒绝服务攻击下网络化非线性系统的采样数据控制

本文研究了在拒绝服务攻击下网络化非线性系统的采样数据输出反馈控制问题.首先,为了避免使用完整的状态信息,在存在拒绝服务攻击的情况下设计了一种新颖的切换观测器.其次,同时考虑两个采样周期和拒绝服务攻击的影响,建立了一个新的切换增广系统模型,包括系统本身和误差系统.利用该模型和分段Lyapunov-Krasovskii泛函方法推导出保证切换增广系统是指数稳定的充分条件.进一步,利用线性矩阵不等式的解给出了观测器和控制器增益的共同设计方案.最后,通过仿真验证所提出控制方法的有效性.     

计算系统自诊断模型与建模方法的研究

自诊断(Self-Diagnostic)技术旨在使计算系统具备在无需人为干涉的情况下监控自身状态、识别并定位故障的能力,是提高计算系统可靠性和可维护性的重要方法;基于有限状态机模型和故障模型,提出了一种新的系统自诊断模型及其建模方法,利用系统关键点检测单元和故障特征向量的方法分别描述系统状态和故障类型,分析不同故障类型间的关联属性并建立相应的故障模型,使得系统能够准确识别自身正/异常状态,对可能出现的故障进行准确识别和定位,在复杂故障环境下同样具备良好的诊断能力;对于提高系统可靠性、建立具备较高自诊断能力的计算系统具有重要意义。     

基于双重地址跳变的移动目标防御方法

网络系统的确定性和静态性使得防御处在被动之中,移动目标防御作为一种改变攻守态势的防御理念被提出。针对嗅探和扫描攻击,文章提出一种基于双重地址跳变的移动目标防御方法——DAH。通过双重虚拟地址跳变频率分级,有效解决通信服务质量和跳变频率之间的矛盾,利用低频虚拟地址跳变保证网络可用性,利用高频虚拟地址跳变抵御嗅探攻击。通过检测主机异常通信行为构造欺骗数据包,以实现迷惑并阻断扫描攻击的效果。测试实验表明,DAH既可以保证网络的正常通信时延和CPU负载,又可以有效抵御嗅探和扫描攻击。     

新息序列驱动的无人机控制系统数据攻击检测

伴随物联网和自主系统的不断发展,信息物理系统的网络安全备受关注.无人机是一种典型的依靠通信和控制系统实现自主飞行的智能装置,其安全性尤为突出.本文针对无人机的状态估计算法,考虑其传感器和控制指令受到数据攻击,提出基于扩展卡尔曼滤波的新息序列状态估计检测方法.首先建立无人机信息物理模型,引入状态估计算法和数据攻击模型.然后,利用新息序列构造标量检测统计量用于数据攻击检测,并针对飞行器机动造成的状态跳变引入负无穷范数,用以降低数据攻击检测的误检率.最后,通过仿真实验验证所提出的检测方法能有效检测不同威胁模式下和状态下无人控制系统的数据攻击.     

基于融合马尔科夫模型的工控网络流量异常检测方法

虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法。首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图。接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型。为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息。在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率。     

基于人工免疫的比特币快捷交易异常检测模型

电子货币交易最重要的问题是双重花费（双花攻击）,比特币预防双花攻击的策略是等待六个确认块（约1 h）,难以适用于快捷支付领域,默认替代策略是等待交易信息传播到卖主的钱包,这无法有效地预防双花攻击。针对比特币快捷交易中双花攻击的检测问题,提出了一种基于人工免疫的比特币快捷交易异常检测模型。在每个传统比特币节点中加入免疫检测模块进行抗原提取,并利用检测器进行异常检测,在威胁控制中心动态演化检测器并分发免疫疫苗以便有效地进行防御。实验结果证明,此检测模型能够有效地检测并预防比特币快捷支付中的双花攻击。     

Simplification of CAD Models by Automatic Recognition and Suppression of Blend Chains

Programming and Computer Software - This paper presents a CAD model simplification procedure that consists in recognizing and suppressing blend chains of certain types. The proposed method involves...     

哈密顿路径问题的一种基于有穷自动机的DNA算法

提出了一种基于有穷自动机的解决哈密顿路径问题的DNA算法,将有穷自动机的状态用含有DNA限制性内切酶的识别位点的DNA双链分子来编码,通过限制性内切酶的生物化学反应来实现状态的转移。算法的创新之处在于用DNA计算模拟有穷自动机的运行过程中,保留了其经过的各个状态,以便最后筛选出经过各个顶点的路径。算法的优点是实验实现简易,大大减少所使用的DNA分子的数量。     

A statistical unsupervised method against false data injection attacks: A visualization-based approach

To achieve intelligence in the future grid, a highly accurate state estimation is necessary as it is a prerequisite for many key functionalities in the successful operation of the power grid. Recent studies show that a new type of cyber-attack called False Data Injection (FDI) attack can bypass bad data detection mechanisms in the power system state estimation. Existing countermeasures might not be able to manage topology changes and integration of distributed generations because they are designed for a specific system configuration. To address this issue, an unsupervised method to distinguish between attack and normal patterns is proposed in this paper. This method can detect FDI attacks even after topology changes and integration of renewable energy sources. In this method, we assume that injecting false data into the power systems will lead to a deviation in the probability distribution of the state vector from the normal trend. The main phases of the proposed algorithm are: (1) Normalizing the dataset, (2) Adding several statistical measures as the new features to the dataset to quantify the probability distribution of the state vectors, (3) Employing principal component analysis to reduce the dimensionality of the dataset, (4) Visualizing the reduced data for humans and exploiting their creativity to detect attacks, and (5) Locating the attacks using Fuzzy C-means clustering algorithm.The proposed method is tested on both the IEEE 14-bus and IEEE 9-bus systems using real load data from the New York independent system operator with the following attack scenarios: (1) attacks without any topology change, (2) attacks after a contingency, and (3) attacks after integration of distributed generations. Experimental results show that our proposed method is superior to the state-of-the-art classification algorithms in dealing with changes. In addition, the reduced data which is helpful in distinguishing between attack and normal patterns can be fed into an expert system for further improvement of the security of the power grid.