基于扩展时间对象Petri网的粗糙网络攻击模型

为了解决复杂网络中相似攻击手段和相似节点对象在攻击模型中造成冗余的问题,提出一种基于脆弱关联模型的粗糙网络攻击建模方法。在攻击变迁域和节点对象域上定义属性集,将相似的攻击方式和网络节点分类,形成论域Petri网上的类空间。通过定义路径相似度,利用蚁群算法找出所有可达攻击目标的特征路径,并在这些特征路径中找出给目标节点带来最大威胁的攻击路径。实验证明,该方法能够快速地定位实时监控信息中涉及的节点对象和攻击方式,在各种特征攻击路径中准确找到其所在位置。     

基于蚁群算法的无线传感器网络节点可信安全路由

针对无线传感器网络内部恶意节点可能产生的攻击,提出一种基于蚁群算法的节点可信安全路由协议,将节点信任评估模型引入到蚁群路由算法中,提高无线传感器网络的节点可信度,以节点可信度为依据隔离恶意节点,增强网络安全性。仿真结果显示,算法在网络丢包率、端到端时延、吞吐量和全网能耗等评价指标上都得到了显著的改善,对黑洞攻击具有较好的抵抗性能。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

融合本体理论的电网动态威胁数据模型与可视感知

网络安全威胁可视化,深度融合网络状态和攻击形式,将网络中安全态势感知与可视化技术结合,实现全域网络可信状态下受到威胁的可视化表征.电力数据网络威胁可视化技术仍存在传统数据模型的表征能力受限以及状态特征冗余和离散导致表达可用程度低的问题.本文提出了融合本体理论与态势演变的电网动态威胁网格化可视感知,通过设计实体化的三阶段统一攻击威胁行为模型,有效解决了电力数据网络安全特征表征模糊问题.设计基于本体特征的深度内容检测方法,形成电网安全数据的紧密关系特征集,从而降低了状态特征的冗余程度,精细化处理后的网络威胁数据将通过态势阶梯,实现攻击行为的图形表征平滑渐变.通过贵州省遵义市供电局电网威胁可视化实验,验证本文方法提升网络安全威胁监测错误4%.     

电力工控系统网络入侵和攻击典型模型研究

针对电力工控系统的运行特征,深入分析电力工控系统入侵攻击的攻击机理和特点,在对电力工控系统攻击特征进行分类整理的基础上,着力突破工控网络空间安全基础理论和关键技术,构建电力工控系统网络入侵与攻击模型,实现攻击者所能够实施攻击行为的准确刻画,为电力工控系统的攻击行为分析监测预警提供理论模型。     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

网络安全分布式预警体系结构研究

文章提出了一个网络安全分布式预警体系结构，对实现该体系结构所涉及的相关技术和方法进行了研究。将整个受保护网络划分为若干安全域。每个安全域由若干探测器代理、一个预警中心和其它网络节点组成。在每个安全域中，处在不同网段的探测器代理负责收集网络数据，并通过建立适应性异常检测模型和采用异常评估方法，能够对网络中可能发生的异常行为进行实时分析。预警中心接收本安全域各探测器代理的异常分析结果，结合其它安全信息进行数据融合，生成预警信息并根据被预警行为的目的IP地址传送到目的安全域。同时，预警中心也接收其它安全域传来的预警信息(包括入侵信息)，进而在网络上实现分布式预警。通过分布式预警，能够使安全监管系统在攻击发生前预先采取一些防护措施，增强网络的安全。     

一种基于攻击树的4G网络安全风险评估方法

针对4G网络的安全风险评估问题,提出一种基于攻击树模型的评估方法,以分析网络的风险状况,评估系统的风险程度和安全等级。对4G网络的安全威胁进行分类,通过梳理攻击行为和分解攻击流程来构造攻击树模型,利用多属性理论赋予叶节点3个安全属性并通过等级评分进行量化,结合模糊层次分析法和模糊矩阵计算叶节点的风险概率,根据节点间的依赖关系得到根节点的风险概率,最终得到4G网络的安全风险等级。实验结果表明,该方法能够准确评估4G网络的风险因素,预测可能的攻击路径,为安全防护策略选择提供依据。     

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。     

传统网络安全防御面临的新威胁:APT攻击

高级持续威胁(APT)攻击不断被发现,传统网络安全防御体系很难防范此类攻击,由此给国家、社会、企业、组织及个人造成了重大损失和影响。对近几年典型APT攻击事件和攻击代码进行了研究,分析了攻击的产生背景、技术特点和一般流程。彻底防御APT攻击被认为是不可能的,重视组织面临的攻击风险评估,建立新的安全防御体系,重点保护关键数据成为共识。为此,提出了建立一种新的安全防御体系,即安全设备的联动、安全信息的共享、安全技术的协作,并给出了基于社会属性、应用属性、网络属性、终端属性及文件属性的多源态势感知模型,以及安全信息共享和安全协作的途径。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

基于蚁群径向基函数网络的地下水预测模型

提出了一种基于蚁群算法的径向基函数神经网络,用它来进行地下水位预测,既具有神经网络广泛映射能力,又具有蚁群算法全局寻优、分布式计算等特点。实验表明,蚁群算法与径向基函数神经网络相融合能达到良好的预测效果。     

基于Petri网的APT攻击模型生成方法

在严峻的APT(Advanced Persistent Threat)攻击防御背景下,针对现有网络攻击建模方法无法反映APT攻击的攻击特点,建立了基于Petri网的APT攻击模型。借助Petri网,首先针对APT攻击的特点及生命周期,建立APT攻击的基本Petri网模型;然后设计并实现APTPN(Advanced Persistent Threat Petri Nets)模型的生成算法,针对具体的APT攻击生成其完整的攻击路径;最后,实验通过模拟极光攻击验证了算法的有效性及正确性。     

面向APT家族分析的攻击路径预测方法研究

近年来, 针对政府机构、工业设施、大型公司网络的攻击事件层出不穷, 网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体, 已成为最严重的网络空间安全威胁之一, 当前针对 APT 的研究侧重于寻找可靠的攻击特征并提高检测准确率, 由于复杂且庞大的数据很容易将 APT 特征隐藏, 使得获取可靠数据的工作难度大大增加, 如何尽早发现 APT 攻击并对 APT 家族溯源分析是研究者关注的热点问题。基于此, 本文提出一种 APT 攻击路径还原及预测方法。首先, 参考软件基因思想, 设计 APT 恶意软件基因模型和基因相似度检测算法构建恶意行为基因库, 通过恶意行为基因库对样本进行基因检测, 从中提取出可靠的恶意特征解决可靠数据获取问题; 其次, 为解决APT攻击路径还原和预测问题, 采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测, 利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数, 进而还原和预测 APT 攻击路径, 预测准确率可达 90%以上; 最后, 通过 HMM 和基因检测两种方法对恶意软件进行家族识别, 实验结果表明, 基因特征和 HMM 参数特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。     

层次化网络安全威胁态势量化评估方法

安全评估是贯穿信息系统生命周期的重要管理手段,是制定和调整安全策略的基础和前提.只有充分识别系统安全风险,才能有针对性地采取有效的安全防范措施.基于IDS(intrusion detection system)海量报警信息和网络性能指标,结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估模型及其相应的计算方法.该方法在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势.实验表明,该系统减轻了管理员繁重的报警数据分析任务,能够提供服务、主机和网络系统3个层次的直观安全威胁态势,使其对系统的安全威胁状况有宏观的了解.而且,可以从安全态势曲线中发现安全规律,以便调整系统安全策略,更好地提高系统安全性能,为指导安全工程实践、设计相应安全风险评估和管理工具提供了有价值的模型和算法.     

基于安全威胁预测的5G网络切片功能迁移策略

随着虚拟化技术的发展，同驻攻击成为窃取用户敏感信息的重要攻击手段。针对现有虚拟机动态迁移方法对同驻攻击反应的滞后性，在5G网络切片背景下，提出了一种基于安全威胁预测的虚拟网络功能迁移策略。首先，通过隐马尔可夫模型（HMM）对网络切片运行安全进行建模，利用多源异构数据信息对网络安全威胁进行威胁预测；然后，根据安全预测结果，采用相应的虚拟网络功能迁移策略迁移以使迁移开销最小。仿真实验结果表明:利用HMM能对安全威胁进行有效的预测，同时该迁移策略能够有效减少迁移开销与信息泄漏时间，具有较好的同驻攻击防御效果。