基于系统状态集合的攻击模型及其应用

为了评价系统的安全状况,对可能发生的攻击行为进行预警,提出了一种基于系统状态集合的攻击模型,使用系统状态的集合对系统的安全威胁进行抽象,并将攻击过程描述为系统状态集合的改变。同时还描述了一种利用此攻击模型进行攻击检测和预警的方法。基于该模型,实现了一个安全预警的原型系统。实验结果表明该系统能够有效检测攻击过程,并预测出系统可能达到的危险等级。     

基于预警雷达的远程攻击检测系统研究

提出一种新的预警雷达远程攻击检测系统的建立方法。通过计算雷达预警时间和相关数学模型,使得在受到远程攻击时,雷达检测系统缩短预警时间,并且通过建立预警时间模型、攻防双方模型进而建立远程攻击预警雷达模型,通过获取远程攻击相关数据,对远程攻击实现准确、快速检测。实验证明,提出的模型建立的方法可以准确获取远程攻击相关数据,对远程攻击可以及时和准确检测,获取了令人满意的效果。     

入侵防御系统研究

入侵防御系统(IPS)是能够检测到任何攻击行为,包括已知和未知攻击,并能够有效地阻断攻击的硬件或者软件系统.讨论了入侵防御系统的概念和特征,分析了当前IPS的4种实现模型(在线模型、7层交换模型、7层防火墙模型和混合模型)的优缺点.为解决这些模型在同时提高网络性能和入侵检测准确度方面的难题,给出了一个基于WindForce千兆网络数据控制卡的嵌入式入侵防御系统的实现实例.     

基于K-Medoide聚类的黑客画像预警模型

针对复杂的网络攻击行为,以网站安全日志数据作为研究基础,构建一套基于黑客群体画像的预警模型.根据安全日志数据提取黑客的行为特征构建黑客画像;使用K-Medoide算法对黑客画像进行聚类,构建黑客群体画像,同时分析每个簇的主要特征,根据攻击手段给出相应的预防措施;设计一套基于黑客群体画像的预警模型.实验结果表明,簇数为8时聚类效果最佳,聚类模型响应准确率达到98.3％以上,验证了预警模型的可行性.     

基于随机博弈的网络可生存性策略选择模型

为了提高网络的可生存能力,提出了基于随机博弈的网络可生存性策略选择模型。该模型针对攻击和破坏行为对网络造成的影响,将攻防双方的博弈过程分为抵抗、识别和恢复三个阶段。从细节上描述系统状态转移与策略选择之间的关系,提出了基于上述模型的策略选择分析方法。最后以网络实例表明了该模型在预测攻击行为并选取最优可生存性策略方面的可行性和有效性。     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

基于智能代理的对等主动网络预警模型研究

为了符合大规模网络的特点,同时也可以综合当前各类网络安全部件的优势,以达到共享多种不同格式的安全报警信息的目的,提出了一种基于智能代理的对等主动网络预警模型,并进行了系统设计.该模型不仅可以完成对各类报警信息的分簇、融合和关联,而且可以对未来可能的攻击进行预测,以发现和追踪攻击源.另外,其对等结构可以增强系统的生存能力.     

一种新的DDoS攻击预警方法

DDoS攻击的研究是网络安全研究领域的一个研究热点。预测DDoS攻击发生的概率,对于早期防御和响应DDoS攻击具有重要意义。提出了一种基于概率有限状态自动机的DDoS攻击预警模型,给出了一种计算攻击成功概率和攻击期望威胁度的方法。实验表明,方法能有效地计算出DDoS攻击成功概率和期望威胁度,实现早期防御。     

基于熵理论的企业危机预警模型研究

基于熵的最优化原理建立了一种新的企业危机预警模型.首先利用最小判别熵选取企业危机预警特征值;然后提出一种新的聚类算法--极大熵聚类算法,并对预测结果进行分类,判断企业的危机状态.该算法是硬C-均值算法的发展和推广.通过实例分析表明,该模型有效、可行,为企业危机预警提供了一条新的途径.     

网络攻击过程的形式化描述方法研究*

采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述,建立了SYN-Flooding等典型攻击的自动机识别模型.通过这些模型的组合可以表示更为复杂的网络攻击行为,从而为研究网络入侵过程提供了一种更为直观的形式化手段.     

联动式入侵监视系统的体系结构设计

近期互联网出现了许多分布式协同攻击,各单位原有的入侵检测系统不能很好的检查出这些攻击行为,并且误报率较高.为了克服这些不足,本文提出了一种新的保护框架--联动式入侵监视系统.该系统实现不同管理域网络之间告警信息共享、执行集中式告警相关性分析并提供入侵预警服务而提高各个网络的安全性.     

基于攻击树的木马检测方法

木马是以获取主机控制权和窃取信息为主要目的恶意程序,对网络安全和信息安全造成极大危害.研究并总结了木马攻击行为的规律,提出了一种通过静态分析PE文件采发现木马的方法.对现有的攻击树模型进行改进,设计了扩展攻击树模型,以此对木马攻击中常见的危险系统调用序列进行建模,将分析PE文件得到的API调用集合与建模得到的攻击树作匹配,来预测程序中可能存在的攻击行为,并能有效地区分木马文件和正常文件.     

基于聚类分析和状态估计的制粉系统故障预警

状态监测可大大降低发电设备的维护成本.将基于非线性状态估计的状态监测方法用于发电机组制粉系统.采用一种改进的内存矩阵的构造方法,能够很好地覆盖制粉系统的正常运行空间.当估计的模型和实际测量值之间相差很大时表明状态异常.通过提取正常工况下的监测参数的聚类中心,计算估计值与聚类中心的相似性测度值,确定风机工作状态.根据国内某机组某直吹式制粉系统的实时数据验证,仿真结果表明此方法可以有效地实现早期故障预警.     

基于移动代理的网络入侵预警框架

本文采用移动代理实现网络入侵预警框架，通过基本入侵检测模块获得可疑安全事件，动态分派相关移动代理收集进一步的入侵事件，构造基于入侵事件的有限自动机预警模型，预测下一步的入侵事件和可能的入侵攻击，降低误报率。同时，通过移动代理降低了网络通信量和系统负载。     

机电系统状态监测及故障预警的信息化技术分析

机电系统运行状态监测是一项非常重要的工作,以往机电系统运行状态监测主要是通过人工查验的方式来完成的,不能实时性、全面性了解机电系统的实际运行情况,不能发现机电系统运行中存在的故障隐患.状态监测技术与故障预警信息化技术应用,结合先进科学技术的优势,缩减机电系统运行状态检测过程中人力资源投入,提升机电系统运行状态检测的全面性、精准性,保证机电系统可以长期处于健康稳定运行状态中.     

基于博弈论的预警卫星系统抗毁性研究

预警卫星系统在弹道导弹预警方面发挥着重要的作用,一旦受到攻击,将造成重大损失。针对这一实际情况,利用博弈论知识,将预警卫星系统的攻防过程构建为静态博弈模型。提出攻防状态下刻画系统抗毁性的方法,将其分为防御者抗毁性和攻击者抗毁性,在完全信息和不完全信息情况下,分析双方应采取的策略,用仿真得到的容量数据刻画节点受攻击后的失效概率,提出基于仿真数据的攻防策略。并根据仿真数据分析提出不完全信息下模型的优化方向。     

煤矿瓦斯异动预警系统的设计

针对煤矿安全监控系统因无瓦斯变化趋势分析功能,当瓦斯浓度处于较低水平时,即使瓦斯有异常变化也无法及时提醒的问题,设计了一种煤矿瓦斯异动预警系统。该系统采用文件方式和OPC方式接入安全监控系统及综合自动化系统的监测数据;结合矿井实际通风状况,采用固定门限模型、均方差预警模型和分时均方差模型等三种预警模型计算得出测点的预警参考值及预警状态;通过消息客户端、短信等多种方式发布预警信息。实际应用表明,该系统实现了对瓦斯灾害的有效预防,为保证井下作业人员的安全提供了参考依据。     

网络欺骗中安全漏洞仿真技术的研究与实现

本文在分析现有网络欺骗安全防护技术的基础上,提出了一个全新的安全漏洞仿真模型VSFD.它通过模拟真实的网络服务程序、欺骗网络扫描与攻击、重定向攻击行为,可实现对安全漏洞攻击行为的全过程欺骗.实验表明,攻击仿真漏洞的过程及结果与攻击真实漏洞的效果完全一致,网络入侵者难以分辨.     

电力工控系统网络入侵和攻击典型模型研究

针对电力工控系统的运行特征,深入分析电力工控系统入侵攻击的攻击机理和特点,在对电力工控系统攻击特征进行分类整理的基础上,着力突破工控网络空间安全基础理论和关键技术,构建电力工控系统网络入侵与攻击模型,实现攻击者所能够实施攻击行为的准确刻画,为电力工控系统的攻击行为分析监测预警提供理论模型。     

基于对象的软件行为模型

以传统有限自动机(finite state automata,简称FSA)为基础,从系统调用参数中解析出系统对象,提出了一种基于系统对象的软件行为模型(model of software behavior based on system objects,简称SBO).该模型的行为状态由软件所关联的所有系统对象表示,从而赋予状态的语义信息,解决了不同行为迹中PC(program counter)值的语义不相关问题;同时,该模型可以对抗系统调用参数的直接和间接修改,从而可以检测基于数据语义的攻击.最后,实现了基于SBO的软件异常检测原型工具(intrusion detection prototype system based on SBO,简称SBOIDS),其实验和分析结果表明,该模型可以有效地检测基于控制流的攻击、模仿攻击以及针对数据语义的攻击,并给出了该工具的性能开销.