面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

基于攻击图的工业控制系统脆弱性分析

为了评估工业控制系统网络安全风险和进行有效防御,提出控制系统网络安全要素的概念,将网络攻击转化为网络状态的迁移问题,搭建控制系统网络攻击图模型.建立基于专家知识经验、现有脆弱性库的脆弱性利用规则库.采用单调性假设、广度优先迭代算法、控制系统网络脆弱性规约、攻击约束函数,进行控制系统攻击图的构建与优化.根据参数初步等级量化与判断矩阵法,可计算得到攻击收益.以震网病毒为背景,设计一个仿真控制网络,通过仿真得到原始攻击图、脆弱性规约下的攻击图、约束函数下的攻击图.仿真结果表明：该方法能够根据不同安全要求级别构建攻击图,较全面地得到了可能的攻击目标、最佳的攻击目标及对应的攻击收益和攻击路径.     

APT攻击行为的阶段演变和多态检测方法探讨

APT(高级持续性威胁)攻击的出现,从本质上改变了网络安全的态势。APT攻击具有极强的组织性、目的性和持续性,对传统的被动式防御系统造成极大的威胁。通过分析APT攻击的特征和阶段演变,构建了一种多态检测体系。仿真实验证明,多态检测方法能提高APT常见攻击方法的预警效率。     

APT攻击检测与反制技术体系的研究

高级持续威胁（APT）是近年兴起的新型网络攻击,一直受到网络安全界的重视。该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢。同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘。实验得出,同一组织使用的工具集间存在相似性规律。综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用。     

APT攻击场景重构方法综述

APT攻击已经成为网络安全的重要威胁之一,从大量告警日志数据中识别APT攻击并还原攻击场景已成为当前急需研究的问题。首先介绍了攻击场景重构基本概念和技术流程框架。其次,依据采用的关联分析方法,对攻击场景重构方法进行了分类,并分别综述了基于经验知识、基于因果关系、基于语义相似性和基于机器学习4类方法的基本步骤和具体案例。最后,讨论了不同方法的优势和不足,结合最新技术应用指出了未来发展趋势。     

基于卷积神经网络的5G网络HTTP/2协议低速DoS识别方法

当前,为满足多种应用场景的各项指标需求,5G网络引入HTTP/2协议以提高网络功能数据传输速率和并发能力,然而针对HTTP/2协议的低速DoS攻击具有流量峰值低、攻击过程隐蔽等特点,严重威胁网络安全。通过分析现有低速DoS攻击原理和识别算法的不足,提出一种基于卷积神经网络的HTTP/2协议低速DoS识别方法。首先,提取HTTP/2控制帧字节级别数据构建流量特征灰度图;其次,设计具有卷积计算、池化降维和全连接dropout的卷积神经网络,并将特征灰度图输入到神经网络中训练调优;最后,将训练好的模型用于低速DoS流量识别。仿真结果表明,所提方法在分类准确性、泛化性等方面优于现有识别分类算法,为5G网络安全提供更好的防护。     

基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

基于门控特征融合与中心损失的目标识别

针对目标活动、光线及摄像头距离等问题，提出一种基于门控特征融合与中心损失的目标识别方法.门控特征融合是为了弥补单一特征信息丢失时，身份识别准确率下降的缺陷.门控结构指导网络对输入的人脸、行人特征进行贡献量评估,再根据贡献量去分配权值，组合产生识别性更强的身份特征.通过添加中心损失函数，在引导网络下减少了特征的类内距离，使得特征更具判别性.实验结果表明，在自建数据集上所提方法的最终识别准确率最高可以达到76.35%，优于单特征识别方法以及多种融合方法，使用所提的融合损失函数后，平均识别准确率可提高2.63%.     

基于子结构的隐蔽损伤识别方法研究

针对隐蔽结构损伤识别存在精度和效率较低的问题,探索性地应用子结构法对结构的隐蔽损伤进行研究,建立了基于子结构的隐蔽损伤识别方法.该方法在采集可测部位结构的振动信号的基础上,利用扩展卡尔曼滤波技术对隐蔽结构的时变参数进行识别,进而判定隐蔽结构的损伤位置和损伤程度.该识别方法首先建立识别计算模型,划分子结构;其次应用扩展卡尔曼滤波构建隐蔽结构损伤识别的识别方程;最后应用识别方程对隐蔽结构的损伤进行识别.该方法为难以直接测量的特种部位损伤识别提供了理论基础,并为隐蔽结构的损伤识别提供了新的途径.     

基于改进R-FCN框架的遥感影像飞机目标识别方法

遥感影像飞机目标识别是实现地面特定目标的精准打击、掌握机场军事价值的重要途径.针对飞机识别数据集未充分参照不同条件下飞机几何形态的问题,构建了飞机类型识别数据集,同时为进一步提高识别精度,基于区域全卷积网络(R-FCN)识别框架,提出飞机目标全卷积神经网络(AFFCN)识别方法.通过人工增强方法,扩增包含四种类型飞机影像的数量,构建了每种类型飞机识别数据集;基于深度残差网络能有效区分不同类型目标的性质,提出了飞机目标深度残差网络,并将此网络应用于R-FCN识别框架中,建立了AFFCN识别方法.仿真结果表明,该方法结合本文数据集可以准确地识别遥感影像中的飞机目标.     

基于计算智能技术融合的故障识别方法

为了提高复杂系统故障识别的精度和降低误报率,利用粗糙集理论、遗传算法、神经网络等计算智能方法的优势,提出一种基于计算智能技术融合的故障识别方法.针对原始样本数据的不确定性和不完备性,利用粗糙集对原始样本数据进行数据归一化、离散化、属性约简等预处理,求得能够覆盖原始数据特征的具有最大完备度的最小规则集.利用具有全局搜索能力的遗传算法直接训练反向传播神经网络的权值,将规则集作为网络输入,形成优化网络模型.采用该模型对预处理的各种状态故障特征向量进行分类决策,实现故障识别.通过电机轴承故障识别实验表明,该方法能够优化网络结构,提高故障识别速度和准确率.     

基于危险理论的APT攻击实时响应模型

针对当前破坏性极大的APT（Advanced Persistent Threat,高级持续性威胁）攻击威胁,提出了一种基于免疫危险理论的APT攻击实时响应模型。定义了网络活动中的自体、非自体、危险抗原、危险信号、抗原提呈细胞（特征提取器）、免疫细胞（特征识别器）,使用了危险信号浓度来实时定量计算抗原危险性,并在此基础上建立了抗原提呈细胞、免疫细胞和抗原基因库动态演化方程。理论分析与实验结果表明,本模型有效克服了抗原危险性难以实时定量计算的问题,且对于APT攻击抗原的检测较传统方法有更好的适应性。     

信息隐藏技术的安全反馈模型

为了防止内容相关型的网络入侵,从网络攻击对象的角度,利用蜜罐技术,提出了信息域自反馈网络入侵防护模型.该模型能够忽略攻击手段和方式而直接判断受到威胁的信息及所属领域,将信息根据其领域、内容等属性划分为信息域,在诱捕环境下将入侵者对信息域攻击的危害程度进行量化,获得域信息敏感度,以此作为评价数据是否需要重点防护的依据.网络场景实验表明,模型实现了对遭受网络攻击或威胁的信息及相关领域的预测,封闭数据集测试模型准确率高达96.56%,开放环境下其平均准确率为84.76%.     

社交网络中社会工程学威胁定量评估

针对社交网络中社会工程学威胁难以定量评估的问题,提出基于属性攻击图和贝叶斯网络的社会工程学威胁评估方法. 基于社交网络社会工程学攻击过程,定义社会工程学的可利用的脆弱性语义和攻击节点语义,提出相应的脆弱性可利用概率计算方法. 通过分析社交网络中社会工程学攻击模式,模拟钓鱼攻击和跨站身份克隆攻击,根据属性攻击图生成算法构建社会工程学攻击图,采用贝叶斯网络模型对每种攻击路径造成的社会工程学威胁进行量化评估,得到社交网络中个人账号的隐私威胁风险. 通过在Facebook数据集上的实验验证所提出方法的有效性.     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

基于改进MobileNetV2网络的涂层表面缺陷识别方法

针对涂层表面缺陷检测工业化应用过程中对识别准确率和速度的需求,本文在MobileNetV2网络的基础上提出一种涂层表面缺陷识别方法。设计了递进式分类器,通过逐层筛选压缩有用特征实现高精度的快速识别操作,并在骨干中加入跨局部连接结构,以丰富网络中的基础特征并增加特征尺度信息。将交叉验证和迁移学习相结合以优化训练方法,在大幅度缩减训练耗时的同时使网络具有更优的初始状态和更快的性能提升率。结果表明：本文方法在采集的涂层表面缺陷数据集上准确率达到了99.48%,速度和精确度分别提升11.74%、8.38%,参数量降低20.89%,训练时间缩短36.77%,与其他分类网络相比,在综合考虑准确率和速度的情况下具有最佳表现。本文方法同时具有较高的识别准确率、较快的识别速度和较短的训练耗时,符合实际工业应用需求。     

基于特征敏感度的弹道群目标聚类识别方法

针对弹道单目标识别中,传感器资源利用率低、识别耗时长的缺点,采用群目标理论,提出了基于特征敏感度的弹道群目标聚类识别方法。该方法首先对目标群进行聚类,然后选取目标特征组合对各个分群进行敏感度计算,确立各分群的威胁度。同时,通过比较某个特定阶段各类特征的优劣性,为特征优化组合提供指导意见,优化了目标特征组合,提高了识别效率。最后,仿真实验验证了方法的可行性。     

基于神经网络和遗传算法的网络安全事件分析方法

传统网络安全事件分析方法较多依赖人工干预,针对该问题提出了一种具备更高自适应能力和自动化程度的网络安全事件分析方法,利用神经网络模型对多种异构事件源产生的数据进行分析,按照不同攻击场景自动分类,基于分类结果提取规则项,利用遗传算法自动生成针对不同攻击场景的关联规则. 实验结果表明,该方法可自动完成事件分类和关联规则生成,是对传统方法的有效增强和改进.