基于攻击意图的复合攻击预测方法研究

入侵检测系统仅能检测到攻击,但不能预测攻击者下一步的攻击.分析了基于攻击行为预测方法的不足,提出了一种基于攻击意图的复合攻击预测方法.该方法使用抽象的攻击意图表示复合攻击,采用扩展的有向图表达攻击意图间的逻辑关系,建立了攻击匹配的攻击意图框架,在复合攻击预测算法中引入了攻击检测度和攻击匹配度两个概念.最后,通过实验验证了该方法的有效性.     

基于攻击效用的复合攻击预测方法

复合攻击已经成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击者下一步的攻击。分析了传统攻击预测方法的不足,提出了一种基于攻击效用的复合攻击预测方法,以攻击者追求利益最大化的原则,为每种攻击分配一个攻击效用,在此基础上进行攻击预测,识别攻击者的最终意图和预测其下一步将要进行的攻击。通过实验验证了该方法的有效性。     

基于隐马尔可夫模型的复合攻击预测方法

复合攻击成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击。该文分析了传统的攻击预测方法的不足,提出一种基于隐马尔可夫模型的攻击预测方法,该方法使用隐马尔可夫模型中的Forward算法和Viterbi算法识别攻击者的攻击意图并预测下一步可能的攻击。通过实验验证了该方法的有效性。     

基于入侵意图的复合攻击检测和预测算法

复合攻击是网络入侵的主要形式之一.如何检测复合攻击是当前入侵检测研究的一个重要方向.这项研究对入侵检测的作用主要表现在以下几个方面:(1)减少误报和漏报;(2)实现对未知攻击的检测;(3)攻击预测.尤其是第3点,可能使被动的检测发展为主动的有针对性的防御.经过对复合攻击模式的大量研究,提出了一种基于入侵意图的复合攻击检测和预测算法.该算法采用扩展的有向图来表示攻击类别及其逻辑关系,按照后向匹配和缺项匹配的方式对报警进行关联,根据已关联攻击链的累计权值和攻击逻辑图中各分支的权值计算其可能性.该算法可以实现复合攻击的检测,在一定程度上预测即将发生的攻击,并且对未知攻击有一定的检测能力,还可以大幅度地减少误报和一定的漏报.最后介绍了相应的实验过程和结果分析,证明了算法的有效性.     

针对复合攻击的网络攻击预测算法

网络攻击以复合攻击形式为主,但当前的安全设备只能检测无法预测。针对该问题,提出一种基于攻击效用的复合攻击预测方法,通过该方法识别攻击者的最终意图,并预测攻击者下一步可能进行的攻击行为。该方法利用攻击意图描述复合攻击过程,建立基于攻击意图的复合攻击逻辑关系图,引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益大小,是复合攻击预测的参考。实验结果验证了该方法的有效性。     

基于攻击图的复合入侵关联及预测方法

当前的大多数漏洞扫描器和入侵检测系统只能检测汇报孤立的漏洞和攻击。但网络中真正的威胁来自那些技术精湛的黑客,他们综合利用各种攻击手段绕开安全策略,逐步获得权限。这种复合攻击能渗透进看似防御严密的网络。攻击图是一种重要的网络安全漏洞分析工具,能用来关联警报,假设漏报,预测下一步的警报,对系统管理员理解威胁的本质从而采取适当对策是关键的。本文提出一种基于攻击图来关联并预测复合网络入侵的方法,该方法在实际网络环境中有良好的表现。     

基于攻击图的扩充Petri网攻击模型

鉴于网络攻击过程中存在攻击者被检测到的可能性,将攻击图转化成Petri网并进行扩展生成EPN模型,依据库所的攻击成本值求解网络攻击的最佳攻击路径和攻击成本,基于最大流概念定义系统最大承受攻击能力。从二维角度分析网络攻击,提出攻击可行性概念及基于攻击图的扩充Petri网攻击模型,该模型相关算法的遍历性由EPN推理规则保证。当原攻击图的弧较多时,算法的复杂度低于Dijkstra算法,攻击图的攻击发起点和攻击目标点间的路径越多,算法越有效。实验结果证明,该模型可以对网络攻击过程进行高效的综合分析。     

基于网络漏洞的复合攻击预测方法研究

入侵检测系统可以检测到攻击,但不能预测攻击者下一步的攻击。本文分析了基于攻击为预测方法的不足,提出了一种基于网络弱点的攻击预测方法。该方法使用报警关联方法建立报警关联图,然后利用网络弱点和攻击的关系预测攻击者的下一步攻击。最后,通过实验验证了该方法的有效性。     

基于组合着色Petri网的空间复合事件检测机制

通过建立空间事件模型,扩展定义了空间事件复合算子及其语义;采用组合着色Petri网构造基于空间关系的复合事件检测模型并提出基于该模型的检测算法;通过应用实例验证该检测模型是一个简洁、有效的复合事件检测机制。     

针对入侵检测分析的Petri网建模技术研究

为有效降低检测的误警率和重复报警率,在前期研究的基础上,提出针对入侵检测分析的面向对象确定性变迁Petri网模型。将面向对象和Petri网技术有机结合起来,并进行形式化描述,就对象实例化和销毁机制进行了定义并对其确定性变迁进行了规则描述,提出可变信令和不变信令使之更适合描述入侵行为的状态。利用该技术建立扫描攻击、Mitnick攻击等几个简单攻击和复合攻击分析模型;讨论利用XML技术表示面向对象Petri网模型的方法。最后实验结果表明该模型对各种复杂攻击有良好的表示能力,相对于已有研究,更便于使用而实用化。     

基于Petri网的网络攻击流模型研究

针对网络攻击的智能组织实施问题,提出一种攻击流的概念,选用Petri网作为工具,对网络攻击流进行建模。在此基础上,对 3种基本网络攻击流模型进行分析,并结合IP欺骗攻击实例,分析其在IP欺骗攻击中的具体应用及其实现方式。实验结果表明,该模型既利于攻击者构建网络攻击方案,又能被计算机解析并组织实施网络攻击。     

基于CPN的多步骤攻击警报关联方法

在研究彩色Petri网(CPN)理论的基础上,针对目前入侵检测的“警报疲劳”问题,构建了依据入侵者可获取的权限来划分的CPN攻击模板。通过对低级别的、离散的警报信息进行顺序关联,呈现出多步骤攻击的全过程。该关联方法仅使用有限数量的模板,与以前的方法相比更简便和易于实现。同时安全人员能够从入侵者获取攻击能力的角度来预测并评估网络的安全状况。     

基于SOAP消息的过度加密攻击检测算法

分析Web服务中的过度加密攻击场景、攻击特点以及SOAP消息特征,提出一种基于简单对象访问协议消息(SOAP)消息的过度加密攻击检测算法。通过检测标签ReferenceList的属性个数统计SOAP消息的加密次数,并将统计出的加密次数与预先设定的阈值进行比较,从而判断是否存在过度加密攻击。在.net WSE安全平台下验证了该检测算法的有效性。