基于信息融合的网络流量监控研究

鉴于现有的网络流量监控系统向用户展现过多的网络信息往往无助于安全事件和网络故障的发现和解决,提出一种基于信息融合的网络流量监控框架。基于该框架可有效评估由网络负载状态、安全状态和故障状况构成的网络综合态势,给出了一种信息融合的网络流量监控系统设计,重点讨论了该系统中的数据预处理、关联分析和态势评估三个关键问题。该系统把海量数据融合成信息和知识,直观反映了网络的宏观态势、威胁,能精确定位网络故障。     

网络安全威胁态势评估方法研究

目的为了评估网络的安全威胁态势,提出了一种基于隐马尔可夫模型的评估方法.方法建立了一个简单的用于描述主机安全状态的隐马尔可夫模型,利用该模型计算主机处于被攻击状态的概率.在此基础上,结合主机重要度计算主机的威胁指数,进而评估网络的整体威胁态势.结果实验结果表明,通过对威胁指数的分析和处理,能够获得主机和网络两个层次的威胁态势曲线,安全管理人员可以从中发现目标主机和网络的安全规律.结论利用该方法获得的评估结果能够指导安全管理人员调整安全策略,以便提高主机和网络的安全性.     

远程监控Agent的体系结构及其环境安全态势 评估模型

为满足对抗性环境中建立远程监控系统的需求,提出一种面向任务的可重构Agent体系结构AGORA。AGORA具有反射型和思考型Agent体系结构的特点,由感知单元、控制单元和执行单元组成,并可根据Agent的具体任务,动态替换其执行单元中的任务执行模块。在深入分析Agent体系结构的工作原理、生命期规划、工作状态转移、环境感知和行为决策等的基础上,提出了Agent的环境安全态势评估模型,并在Windows环境下选择主机防病毒、主机防火墙、网络监视和系统进程管理等软件作为Agent的环境安全威胁因素,进而根据相应的软件进程状态确定各自的威胁级别,以验证Agent环境安全态势评估模型。所建立的Agent体系结构及其环境安全态势评估模型,对于开发对抗性环境中基于Agent的远程控制系统具有重要指导价值。     

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

构建网络安全态势评估指标体系

鉴于在网络安全态势感知系统的评估指标体系上存在不健全和较为混乱的情况,通过调查分析,从多种数据源中提炼出多个指标,依照既定的原则,构建网络安全态势评估指标体系.分别从网络自身的弱势、外界对网络的威胁以及网络对外界威胁的承受能力等方面对被评网络的安全状态进行评估.     

基于不确定性信息的空战威胁评估方法

针对专家先验知识和空战态势信息的不确定性,以证据网络为基本框架,建立了基于敌我双方几何位置关系和运动状态的敌方战机威胁评估模型,首先给出了动态态势信息的信度等级转换及信度值的分配方法,然后针对专家不一致且带有不确定性的属性偏好提出了证据间权重优化方法,最后输入数据,通过网络推理实现敌机威胁等级评估。实例仿真表明,威胁评估模型在不确定性态势信息下能够合理估计敌方单机对已方单机的威胁,证实了模型和方法的有效性。     

网络设备应急与备份系统在供电系统中的建设与应用

随着计算机产业的迅猛发展,信息化逐渐在各行业得到普及,电力行业作为国民经济发展的支撑行业,信息网络的稳定性非常重要,而信息设备体系是信息网络稳定性的关键。如何更加合理、有效地对当前的网络进行管理和维护以及怎样让网管人员能够更加轻松地对网络进行管理和维护,成为一个亟待研究的问题。文章从宣城供电公司当前网络运维管理着手,探讨宣城供电公司现有网络管理系统存在的问题,通过部署网络设备应急与备份系统来加强宣城供电公司的网络管理体系,保障宣城供电公司的基础网络架构,以便构建一个安全可靠的电力信息网络。     

基于粗糙集的预警卫星系统综合评估

针对指标体系中存在的冗余信息以及指标权重确定过程中存在的主观因素,根据粗糙集中的知识约简和知识依赖度概念,采用启发式的知识约简算法简化指标体系,计算各指标属性重要度,并转化为指标权重系数。以某一特定预警卫星系统为例,评估其对指定区域威胁程度并排序。评估结果表明覆盖能力是最重要的指标。可见基于粗糙集的威胁评估方法具有客观性和简约性,可得出最核心的威胁因素,从而迅速有效地实现评估。     

Web访问日志安全分析技术研究

传统Web漏扫及防护技术不足以实时评估Web服务器本身所面临的威胁态势,为此,针对大型复杂环境下Web服务器的安全威胁态势,提出了一种基于Web日志的安全威胁分析方法和系统.该系统从海量日志中提取和分析安全威胁事件,基于威胁行为特征模型,分析出Web网站曾受到的各类威胁,并生成站点综合风险指数,有利于网站针对性加固和加强综合防御能力.     

依赖RSA公钥加密算法的信息安全态势感知系统应用

信息安全态势感知是一种监控网络安全的新技术,是信息安全领域的研究热点之一.首先分析了全世界关于情境意识的研究,在此基础上依托RSA公钥加密算法,提出了用于感知网络安全态势的模型,同时针对不同服务的威胁程度,使用简单加法权重进行评估.测试结果表明,RSA公钥加密算法是可行和合理的.     

相依网络下加权电力通信网节点重要度评估

随着信息通信技术在电力系统中的大量应用,使得电力系统更加依赖于通信系统的稳定运行.当通信节点遭到攻击失效时,通信节点故障在电力—通信网间传播会最终导致电力信息物理系统的大规模连锁故障.因此,建立符合实际的相依网络模型,评估通信网节点的重要性并对关键节点进行保护是保障相依网络可靠运行的关键.首先,对相依网络中的两单侧网络建立考虑电力线路电抗和信息链路已用率的加权网络模型;然后,根据加权网络节点重要度评估方法,对两单侧网络节点的重要度进行评估;最后,考虑相依电力网节点重要度的影响,依据网间耦合关联矩阵建立的网间依赖度,评估相依网络下通信节点的重要性.以IEEE 14节点系统为例构建相依网络并对通信网节点重要度进行评估,结果表明所提评估方法具有可行性,在实际工程中有一定的应用价值.     

基于层次分析法的电力终端安全评估方案

随着能源互联网中大量电力智能终端的部署,有效评估电力终端的安全性显得尤为重要。针对现有方案存在选取指标因素不全面、未对权重结果进行验证和评价结果主观性太强等问题,根据电力终端风险评估需求,提出了基于层次分析法的电力终端安全评估方案,模拟实验数据获取指标权重,引入模糊综合评价法来降低评估结果的片面性。实验结果表明,和已有方案相比,该方案更适用于电力终端安全评估,能有效发现存在的安全风险,且评估结果更接近实际情况。     

基于HMM的网络安全态势评估方法

为了准确高效地评估网络系统安全状态,提出了一种基于隐Markov模型(HMM)的态势量化方法。首先结合网络威胁类型及服务漏洞信息对其安全态势进行量化,然后按照层次化策略扩展到整个网络。基于KDD CUP99数据集的仿真实验分析表明,该方法能够完成对网络安全态势的感知与评估。     

基于免疫的网络安全态势感知关键技术研究

为了改变目前网络安全防御主要依靠防火墙、漏洞扫描、入侵检测等传统网络安全工具进行被动防御的局面,将人工免疫技术应用于网络安全态势感知技术,提出并实现了一种基于免疫的网络安全态势感知技术.该技术采用基于免疫的入侵检测模型实现对网络中已知和未知入侵行为的检测;依据生物免疫系统抗体浓度的变化与病原体入侵强度的对应关系,建立网络风险实时定量评估模型.在对网络安全状况的趋势预测中,采用基于时间序列的ARMA模型对网络当前安全状况及未来变化趋势进行实时、定量的分析、预测,从而有效地缓解网络攻击造成的危害,提高网络信息系统的应急保障能力.实验结果表明该系统能及时有效调整网络安全策略,提供更全面的安全保障,是网络安全保障的一个较好解决方案.     

集对分析的可信网络安全态势评估与预测

为了解决可信网络中网络管理和安全监控审计的问题,通过对可信网络连接框架(TNC)和网络态势感知体系(CSA)的研究,针对可信网络安全中多数据源确定性与不确定性的特点,提出了基于集对分析的网络安全态势评估与预测方法 SPSAF.SPSAF首先采用基于特征库的方法审计网络连接信息、系统管理信息、系统监控信息和应用服务信息,然后综合改进的熵权法和层次分析法提取安全态势指标权重,再利用集对分析方法对安全态势指标进行评估得到网络安全态势值,进而绘制网络安全态势图,最后采用Box-Jenkin模型基于安全态势值预测网络安全趋势.仿真实验结果表明SPSAF能够准确有效地反映当前及未来的网络安全态势,有助于管理员有效地制定网络安全策略,并能及时发现风险,迅速准确地调整策略和实施应对措施,提供更全面可靠的网络安全保障.     

考虑攻击方身份的电力监控系统网络安全风险分析

信息与物理系统的深度耦合使得网络攻击成为影响电力系统运行可靠性的重要因素。首先,从攻击方视角进行网路安全威胁风险分析,根据攻击者身份推断其可动用的资源,分析想要达成的攻击目的及可能采取的渗透入侵路径和破坏模式,为研制针对性的防护方法提供指导;其次,分析电力行业正在推进的可信计算、等级保护、安全态势感知等防御机制的缺陷,指出软、硬件系统的供应链安全威胁;然后考虑到攻击不同电力监控系统造成的风险水平和危害后果有所差异,从成功攻击可能性和危害后果2个维度构建电力系统网络攻击风险矩阵,并指出多目标协同攻击相比于单点攻击将使风险出现跃迁现象;最后,从国家支持型网络攻击可动用的资源和想要达成的攻击目的出法,提出2种高危潜在网络攻击破坏模式,并对其攻击实现过程和危害机制进行概要分析。     

网络安全态势感知新方法

针对网络安全态势感知问题,为了提高态势感知和预测过程的速度和精准度,提出一种基于神经网络的网络安全态势感知方法. 首先利用网络安全态势评估的指标体系来表征整个网络的安全状态,然后提出一种基于逆向传播(BP)神经网络的网络安全态势评估方法. 为解决态势要素与评估结果之间的不确定性及模糊性问题,提出一种基于RBF神经网络的网络安全态势预测方法,利用RBF神经网络找出网络态势值的非线性映射关系,采用自适应遗传算法对网络参数进行优化并感知网络安全态势,在真实网络环境下对提出的方法进行验证,实验结果证明该方法对网络安全态势感知是可行和有效的.     

云计算系统认知生存模型及量化分析

从云计算演变而来的云安全已成为网络安全领域新的研究热点,而云安全中的可生存性研究尤为重要。首先分析了云计算系统可生存性的研究现状;然后基于认知计算技术提出云计算系统的认知生存性定义,讨论了云计算系统的认知生存能力;最后使用半马尔科夫性能进程代数（SM-PEPA）对认知生存模型建模,并对其进行了量化评估。仿真试验以认知生存指数作为评估指标,对生存性威胁的构成、抵抗攻击的能力、策略库的知识丰富度以及生存性威胁检测率等参数的取值结合实例模拟对云计算系统认知生存性的影响,通过求解模型的首次通过时间概率密度函数,验证模型对认知生存能力评估的合理性和有效性。     

一种新的电力信息系统安全模型及其评价方法

分析了电力信息系统的安全形势和面临的安全威胁,借鉴现有信息系统的安全模型和体系框架,建立了一种新的电力信息系统安全模型,确定了影响电力信息系统安全的众多因素及其子因素。采用模糊数学理论,给出了多级模糊综合评判模型及其评价方法,根据电力信息系统的特点确定了模糊评判矩阵和各因素权重系数,以模糊度量方式评价了电力信息系统的安全性能。通过实例计算,证明该方法能够确定电力信息系统的安全级别,从而验证了文中所述模型的实用性和评估方法的有效性。     

基于动态博弈模型的网络拓扑攻击态势感知方法

在网络拓扑攻击态势分析过程中,如果仅着眼于防守方,网络态势感知结果误差较大,为此提出基于动态博弈模型的网络拓扑攻击态势感知方法。设置一个固定长度的时间窗口,按照数据流进入联级网络的顺序,建立层次化网络拓扑安全检测方案。根据检测数据,定义一个五元组攻击事件并确定每个元组的权重,同时将所定义的元组与开源威胁情报库中CAPEC攻击类型库的各元组进行匹配,找出当前网络中存在的攻击事件。由于攻防双方策略相互依存,所以建立网络攻防动态博弈模型,描述网络拓扑对抗情况;利用马尔可夫决策算法,结合攻防双方的效用、收益和成本,计算出攻击态势感知的量化值,实现网络拓扑攻击态势感知。测试结果表明,所提方法感知到的攻击态势值贴合实际态势值,均方误差仅为0.070,有效降低了网络拓扑攻击态势感知误差。