基于攻击图模型的网络安全态势评估方法

针对网络攻击出现的大规模、协同、多阶段的特点,提出一种基于攻击图模型的网络安全态势评估方法.首先,结合攻击事件的时空特征融合多源告警数据构建网络攻击行为特征;其次,基于告警信息映射攻击节点,关联多步攻击的路径;再次,在构建攻击图的基础上,结合转移序列构建攻击节点转移概率表,将转移概率引入攻击图中,推断攻击者的攻击意图;...     

基于关联知识图的电力通信网络攻击行为辨识

为了有效抵御电力通信网络攻击,在对通信数据定量与定性分析的基础上,提出基于关联知识图的电力通信网络攻击行为辨识方法。根据电力通信数据日志抽取节点,分析通信数据参量的直接与间接传输关系,实现电力通信网络的关联知识图搭建。以关联知识图为基础,从通信性能量化处理的角度入手,分别计算隐蔽攻击强度与持续辨识能力的具体数值,实现电力通信网络攻击行为辨识。实例分析结果显示,在关联知识图的作用下,电力通信网络能够抵御高强度的数据攻击,与原有攻击树模型算法相比,更符合实际应用需求,综合性能更优越。     

基于博弈论和网络弱点分析的网络主动防御技术研究

针对各种网络攻击,传统的安全技术大部分属于静态的、片面的被动安全防御,各种技术孤立使用,不能很好地配合,防御滞后于攻击,缺乏主动性和对攻击的预测能力。面对这两个问题,综合使用多种防御措施,基于博弈论最优决策方法,实现了在攻击发生前,对攻击步骤做到最优预测,并做好相应的防御准备,从而获得攻防的主动权。研究中,首先分析网络弱点信息,建立弱点信息关联图和基于弱点的系统状态转化图。同时捕获当前攻击行为模式串,预测并获取攻击者准弱点利用集。然后进一步建立系统状态转换博弈树,并对树节点进行权重标识,建立博弈论可求解的矩阵博弈模型。最后,利用线性规划知识求解该博弈模型,得到可能攻击行为概率分布和相应的防御措施最优概率分布,从而达到网络主动防御的目的。     

基于告警事件特征的网络攻击行为实时预警研究

针对当前网络告警数据误报率过高以及新型网络攻击行为难以预测的问题,本文提出基于告警事件特征的网络攻击行为预测方法：首先通过FP_tree树挖掘告警事件属性间的强关联规则,如果挖掘得到的频繁项与正常网络的访问事件属性频繁项相关,则剔除虚假告警事件;接着,采用序列模式算法挖掘正确告警事件的序列关系,如果该序列与某种网络攻击行为序列相关,则形成网络攻击的事件组合规则,实现网络攻击行为的有效预警。通过相关的实验过程和结果分析,表明本文提出的方法能够有效、实时预警网络的攻击行为,具有一定的应用性和扩展性。     

基于节点置信度的攻击图分析

网络攻击图是用数学方法对网络状态进行抽象得到的图结构。对网络攻击图的分析在入侵检测及网络攻击预警方面有着广泛的应用前景。在引入网络攻击图的概念和贝叶斯网的分析方法后,可对传统的攻击图生成和分析方法进行改进并得到基于节点置信度的攻击图生成和分析方法。该方法在进行网络入侵告警的同时,能够对未来的网络入侵概率和网络入侵方向进行预测,指导安全人员对网络入侵防御进行反应。     

基于攻击路径图的网络攻击意图识别技术研究

针对目前网络攻击分析和威胁评估都是建立在静态的网络环境和攻击行为之上的问题,设计了网络攻击意图动态识别系统。研究了基于最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,搭建了网络攻击意图动态识别系统的框架并完成了该系统的设计。最后搭建了临时实验网络平台进行实验,实验结果表明,网络攻击意图动态识别系统在测试环境下是正确有效的。     

基于扩展网络攻击图的网络攻击策略生成算法

该文针对网络攻防领域攻击策略生成问题的特性,从攻击者角度研究网络攻击图。根据漏洞信息对攻击模板进行实例化,维护原子攻击以及攻击的前提条件和攻击效果等因果关系,形成扩展网络攻击图,并进一步提出基于扩展网络攻击图的网络攻击策略生成算法,该算法能够动态的预测下一步网络攻击效果,求出达到该攻击效果的攻击链及其成功概率,为网络攻击过程的顺利实施提供决策支持。通过网络攻防实验,验证了网络攻击图的扩张和网络攻击策略生成算法的正确性。     

基于告警关联的“互联网”多步攻击意图识别方法

针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题，提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列，围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图，从而实现还原攻击场景、刻画攻击行为的目的。实验表明，与传统算法进行对比分析，在DARPA2000上验证了该算法对特定网络攻击场景的识别能力，且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知，文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题，提升了网络多步攻击意图识别的准确性。     

基于网络规划识别的入侵检测结构

网络攻击已经成为严重威胁网络安全的重要手段,识别和防范网络攻击已经成为网络安全研究的重要趋势。例如TCP SYN拒绝服务攻击、ICMP洪水攻击和UDP洪水攻击等多种攻击方式,因此针对网络攻击识别与防范已经成为网络研究人员的一个重要的研究领域。本文就是以Snort入侵检测系统作为基础,利用网络规划识别技术进行网络攻击行为监测系统结构研究。     

基于攻击效用的复合攻击预测算法

网络攻击以复合攻击形式为主,但当前的安全设备只能检测无法预测,针对这个问题,提出了一种基于攻击效用的复合攻击预测方法,通过该方法识别攻击者的最终意图,预测攻击者下一步可能进行的攻击行为.该方法利用攻击意图描述复合攻击过程,建立了基于攻击意图的复合攻击逻辑关系图,并引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益的大小,是复合攻击预测的重要参考.最后,通过实验验证了该方法的有效性.     

Network intrusion intention analysis model based on Bayesian attack graph

Aiming at the problem of ignoring the impact of attack cost and intrusion intention on network security in the current network risk assessment model,in order to accurately assess the target network risk,a method of network intrusion intention analysis based on Bayesian attack graph was proposed.Based on the atomic attack probability calculated by vulnerability value,attack cost and attack benefit,the static risk assessment model was established in combination with the quantitative attack graph of Bayesian belief network,and the dynamic update model of intrusion intention was used to realize the dynamic assessment of network risk,which provided the basis for the dynamic defense measures of attack surface.Experiments show that the model is not only effective in evaluating the overall security of the network,but also feasible in predicting attack paths.     

Evaluation method for information security capability of mobile phone user based on behavior ontology under unconscious condition

A security capacity assessment method based on security behavior ontology,was proposed to collect users' be-havior data from their smartphones under unconscious condition to solve the problem of detecting mobile phone users' real existing insecure behaviors.A security behavior ontology was set up for formalizing the phone,message,network and App behavior data of mobile phone users and relevant rules were also set down for determining and associating inse-cure actions.Referring to the notion of attack graph,an insecure behavior detection algorithm was proposed based on behavior association graph for analyzing the paths of insecure behaviors dynamically.Furthermore,a competency model of information security capability assessment was presented for realizing the quantitative evaluation of information secu-rity capability of users.The experiment results prove the effectiveness of present competency model for insecure behavior path detection and security ability assessment.     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

Quantitative method for network security situation based on attack prediction

To predict the attack behaviors accurately and comprehensively as well as to quantify the threat of attack,a quantitative method for network security situation based on attack prediction was proposed.By fusing the situation factors of attacker,defender and network environment,the capability of attacker and the exploitability rate of vulnerability were evaluated utilizing the real-time detected attack events,and the expected time-cost for attack-defense were further calculated.Then an attack prediction algorithm based on the dynamic Bayesian attack graph was designed to infer the follow-up attack actions.At last,the attack threat was quantified as the security risk situation from two levels of the hosts and the overall network.Experimental analysis indicates that the proposed method is suitable for the real adversarial network environment,and is able to predict the occurrence time of attack accurately and quantify the attack threat reasonably.     

数据链路层拓扑发现算法的研究

随着大规模交换网络的发展,网络拓扑发现的研究由网络层拓展到数据链路层.链路层的拓扑发现能够发现网络层拓扑发现无法发现的局域网内部的详细的物理连接情况.通过对数据链路层现状和存在的不足的研究,提出了一种基于STP树的数据链路层拓扑发现算法,该算法不要求各个网桥FDB表的信息是完备的,就能快速准确地计算出网络第二层的拓扑结构.     

攻击图的网络威胁自动建模方法研究

为了增强网络的安全性,对网络整体进行威胁分析和评估应用,结合攻击图的特点,研究并提出了一种攻击图的网络威胁自动化建模方法。在攻击图生成之前,抽象出网络威胁数学模型,包括主机信息、拓扑信息、漏洞信息和攻击者信息四个组成部分。并针对所建的网络威胁模型提出自动建模方法和具体的自动化流程。基于此,结合攻击事件的Büchi模型和CTL描述,使用符号模型检验算法自动生成攻击图,为攻击图的应用奠定基础。     

DDoS攻击恶意行为知识库构建

针对分布式拒绝服务（distributed denial of service,DDoS）网络攻击知识库研究不足的问题,提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建,包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类;网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模,并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling,DOTS）协议搭建分布式知识库,实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明,DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量,并具备分布式知识库间的知识更新和推理功能,表现出良好的可扩展性。