基于危险理论的网络风险评估模型

为有效评估网络信息系统的网络风险,提出了一种新的基于危险理论的风险评估模型(DTREM)。在给出网络活动中自体、非自体、免疫细胞的定义,建立由记忆检测器、成熟检测器、未成熟检测器集合构成的入侵检测子模型后,进一步给出了基于危险理论的网络风险定量计算子模型。利用该模型,可以实时定量地计算出主机和网络当前所面临攻击的各类攻击和总体网络风险强度,理论分析和实验结果均表明,该模型为实时网络安全风险评估提供了一种有效的新途径。     

危险信号在实时网络安全风险评估中的应用

该文提出了一种基于危险信号的新型实时网络安全风险评估方法.抗原坏死和凋亡产生增益信号和抑制信号并作用于抗体进化过程,通过计算抗体浓度定量计算抗原危险信号,检测网络遭受的攻击,通过计算网络风险度进行风险评估.仿真实验表明该方法能定量描述网络面临的风险,比传统基于免疫计算的风险检测方法具有较好的实时性,误警率更低,是一种实时网络安全风险检测的有效解决方案.     

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

一种基于危险信号的拒绝服务入侵检测方法

针对拒绝服务(Denial of Service,DoS)攻击的特点,提出了一种基于免疫危险理论的新型入侵检测方法,设计、实现了检测算法和抗体变异、进化算法。引入血亲类方法分类抗原/抗体,定义了抗原凋亡和坏死的过程,定量计算抗原危险信号和网络危险度,并以此检测DoS攻击。仿真实验表明该方法不仅具有基于传统人工免疫理论的入侵检测自学习、自适应的优点,而且误警率降低87.5%,检测效率更高。     

应用危险理论的网络安全风险感知模型

网络风险评估为积极主动的安全防御提供了可靠依据。借鉴免疫危险理论,利用抗体浓度,提出了一种网络风险实时、定量的感知（检测和评估）模型。建立了基于动态自体的自体耐受、各类抗体的数学模型及动力学演化方程、抗体浓度的定量表示方法;提出了采用随机生成和抗体基因库相结合的未成熟抗体生成机制,并采用疫苗接种和分发机制提高了网络主动检测能力;最后对模型进行了仿真和对比实验。结果表明,该模型可以高效检测出网络攻击,并能正确评估主机及网络面临每一类攻击时的风险以及整体综合风险。同时,该模型经过适当变换,还可以应用于病毒检测及垃圾邮件识别等相关领域。     

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

应用危险理论的网络安全风险感知模型

为了对网络安全风险进行有效感知,进而采取有效的防御措施,借鉴免疫危险理论,利用抗体浓度,提出了一种网络风险实时、定量的感知模型.首先,建立了基于动态自体的自体耐受、各类检侧器的数学模型及动力学演化方程、抗体浓度的定量表示方法;然后,设计了随机生成和检测器基因库相结合的候选检测器生成机制,并采用疫苗接种和分发机制提高了网络主动检测能力;最后,对模型进行仿真和对比.实验结果表明,该模型可高效检测出网络攻击,并能正确评估主机及网络面临每类攻击时的风险以及网络整体综合风险;同时,该模型经过适当变换,还可应用于病毒检测及垃圾邮件识别等相关领域.     

基于人工免疫的网络入侵动态取证

为有效提取证据,保证证据的原始性和有效性,建立了基于动态克隆选择原理的入侵监控细胞以及动态取证细胞的模型,给出了自体、非自体、抗原、检测细胞以及证据的定义。监控细胞实现对网络入侵的实时监控,并及时启动取证细胞,完成对网络入侵证据的实时提取。实验表明,该模型能有效地对多种攻击进行实时证据的提取,具有自适应性、分布性、实时性等优点,是动态计算机取证的一个较好解决方案。     

危险区域及其在入侵检测系统中的应用研究

基于免疫危险理论,针对网络入侵检测应用,提出了一种危险区域的产生机制,给出了危险区域半径的计算方法,设计了抗原直接坏死危险信号signal_0和抗原检测危险信号signal_1的计算公式,并根据危险信号signal_0和signal_1提出了危险区域内抗原检测算法.实验表明,选取适当的危险区域半径,有助于提高入侵检测系统的检测效率,使漏检率和误检率都保持较低水平.     

基于危险理论的自适应免疫算法

针对克隆选择算法自适应能力和多值搜索能力较弱的不足,提出了一种基于危险理论的自适应免疫算法.算法中引人种群环境和抗体危险信号引导自适应免疫应答过程,增强了种群多样性,避免了算法过早收敛.利用Markov链证明了算法的收敛性,分析了算法的复杂度.针对经典benchmark函数的仿真实验结果表明,相比克隆选择算法,本算法具有良好的全局收敛能力和多值搜索能力,且具备较快的收敛速度和求解精度.     

基于Agent的流感病毒免疫模型

本文选用一种新的思路,利用Agent计算机模型以及计算机仿真手段来研究免疫系统的宏观性能和某些重要细节,为进一步建立准确完善的免疫系统模型提供有力的依据. 与生物组织和试管中的实验相比,计算机免疫模型更容易设计和分析,且可直接获得实时细胞数目,不需人工统计,成本更低. 本文采用计算机仿真的方法模拟流感病毒入侵免疫系统后细胞的交互作用,并从中发现免疫系统的一些基本规律,同时也得到了在免疫应答过程中起重要作用的一些关键参数,如被感细胞释放病毒数目、病毒匹配度等.     

基于可信计算技术构建电力监测控制系统网络安全免疫系统

电力系统是国家重要基础设施,电网调度控制系统是现代大电网安全稳定运行的重要手段,也是国家级网络对抗中的重点攻击目标。中国电网已经全面建成了以网络隔离及边界防护为主的网络安全纵深防护体系,但面对以快速演进的恶意代码为主要技术手段的APT攻击,存在防护技术滞后于攻击手段、安全功能制约于业务功能、防护措施影响控制业务实时性等问题。可信计算是一种运算与保护并行结构的计算模式,通过保持计算环境及计算逻辑的完整性,为计算平台提供了对恶意代码、非法操作的自主免疫能力。基于可信计算技术,建立电力监测控制系统网络安全免疫系统,由控制主站系统电力可信计算平台、可信网络通信及可信现场测控终端构成,覆盖电力控制业务从现场监测、通信、计算分析、控制指令下达与执行全部环节,为电力控制系统提供了一种行之有效的主动防御机制。主站系统电力可信计算平台包括作为信任根的可信密码模块硬件和嵌入到操作系统内核的可信软件基两个核心组件,实现计算机的可信引导,对操作系统及应用程序的完整性度量、强制访问控制和强制执行控。电力可信计算平台在标准的信任链构建方法基础上,在操作系统引导器中植入度量代码,通过CPU实模式驱动下的可信密码硬件对系统引导程序代码完整性进行回溯度量。与当前通用的可信计算技术实现方式相比,电力可信计算平台将度量的起点从操作系统前推到操作系统引导器,从而使得系统安全性大幅度提升。结合电网调度控制系统中的安全标签机制,电力可信计算平台对应用进程实现了融合操作系统层和应用层的双重强制访问控制。结合调度数字证书系统,实现了应用程序预期值安全管理,确保预期值的真实性与权威性。电力可信计算平台使用了计算组件中的原生安全功能,无需对业务程序、逻辑和系统资源进行改动,避免了对在运业务系统进行大规模改造,在工程上切实可行。全面的测试及广泛的工程实践表明,电力可信计算平台消耗系统资源少,运行效率完全满足控制业务实时性要求,对业务功能没有任何干扰。基于可信计算技术构建的网络安全免疫系统,为电力监测控制系统提供了一套高效率、高强度防护机制,对恶意代码、非法操作具有主动防御能力,同时也适用于其他业务逻辑固定、系统更新不频繁、安全等级要求高的工业控制系统。     

APT攻击检测与反制技术体系的研究

高级持续威胁（APT）是近年兴起的新型网络攻击,一直受到网络安全界的重视。该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢。同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘。实验得出,同一组织使用的工具集间存在相似性规律。综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用。