基于博弈论和网络弱点分析的网络主动防御技术研究

针对各种网络攻击,传统的安全技术大部分属于静态的、片面的被动安全防御,各种技术孤立使用．不能很好地配合,防御滞后于攻击,缺乏主动性和对攻击的预测能力。面对这两个问题,综合使用多种防御措施,基于博弈论最优决策方法,实现了在攻击发生前,对攻击步骤做到最优预测,并做好相应的防御准备,从而获得攻防的主动权。研究中,首先分析网络弱点信息,建立弱点信息关联图和基于弱点的系统状态转化图。同时捕获当前攻击行为模式串,预测并获取攻击者准弱点利用集。然后进一步建立系统状态转换博弈树,并对树节点进行权重标识,建立博弈论可求解的矩阵博弈模型。最后,利用线性规划知识求解该博弈模型,得到可能攻击行为概率分布和相应的防御措施最优概率分布,从而达到网络主动防御的目的。     

信任攻击建模方法

针对信任环境系统中存在的客观弱点和主观弱点,使用弱点利用规则和信任关系盗用规则来描述信任关系状态之间的转移过程,构建了信任攻击模型TAM。在该模型中,攻击者将客观弱点用于信任级别的提升,将主观弱点用于信任关系传递,将主、客观弱点的综合利用将导致信任关系的渗透与扩散,从而可导致攻击可达距离更大;提出了复杂度为多项式时间的TAM信任关系传递闭包生成算法,该算法可以给出当前弱点状态下的所有信任攻击路径。通过对真实弱点的建模,证明此模型可以对信任的安全性进行综合分析,生成信任攻击图、信任攻击路径等详细信息,展示攻击者和信任主体之间的交互过程,对攻击特征有更好的描述能力,帮助管理者预测所有可能的信任攻击,进而为相应的安全措施的制定提供依据。     

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

随着网络技术的发展,网络环境变得越来越复杂,对网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,包括无法解决安全后门问题,不能阻止网络内部攻击等问题。在众多的网络安全威胁中,DDoS攻击以其实施容易,破坏力度大,检测困难等特点而成为网络攻击检测与防御的重中之重。近年来,针对网络流量相关性的DDoS攻击检测方法层出不穷,文章在分析DDoS攻击检测方法的基础上,利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。     

基于MD5的迭代散列算法

分析网络中用户名、密码的存储方式及其存在的风险。在此基础上分析MD5散列算法的弱点及其破译手段。针对这些破译方法提出基于MD5的迭代散列算法。该算法可以避免第二类生日攻击,并有效提高第一类生日攻击的复杂度,对于破解效率最高的彩虹表也具有免疫性,能够加强密码的安全性能,从而提高网络中信息传递和存储的安全性。     

自动高效的网络安全评估方法

网络安全评估是提高网络安全性的基本步骤之一。目前的评估方法通常需要手工操作,带来较大的评估开销,很难应用到大规模复杂网络,无法快速响应用户请求。提出了一种高效的自动化评估方法来解决这些问题。为了实现评估的自动化,对多个弱点资源(如NVD、Bugtraq等)的脆弱性信息进行分析,将它们关联起来,形成一个包含40000多个已知弱点的大型综合弱点数据库。为了提高评估效率,利用"原子域"的概念,提出了一种新的攻击图生成方法,相比于传统的方法,大大减少了攻击图生成开销。构建贝叶斯评估模型,基于变量消元,提出了一种新的评估方法,简化了模型中的贝叶斯推理。由于能自动化部署贝叶斯攻击图概率信息,新方法能实现评估的自动化,并且可以应用到大规模网络,快速完成评估任务,还可为网络管理员提供量化判断依据,以快速应对大型复杂网络中不断变化的安全态势。     

基于网络漏洞的复合攻击预测方法研究

入侵检测系统可以检测到攻击,但不能预测攻击者下一步的攻击。本文分析了基于攻击为预测方法的不足,提出了一种基于网络弱点的攻击预测方法。该方法使用报警关联方法建立报警关联图,然后利用网络弱点和攻击的关系预测攻击者的下一步攻击。最后,通过实验验证了该方法的有效性。     

弱点相关图生成算法及在信息系统弱点修补中的应用

本文给出了基于单调性假设、正向深度优先的弱点相关图生成算法（VCGA）,并建立弱点相关矩阵,该方法能够很好的分析多主机、多弱点网络系统的安全性,并解决了攻击图不适合处理大型网络系统的问题。举例说明了如何利用VCGA分析复杂网络系统安全性的方法及其在网络系统弱点修补中的应用。     

战场自组织网络中MAC层的注入攻击

基于对战场自组织网络中IEEE 802.11 MAC协议的安全性分析,提出一种新的注入攻击方法,与传统注入攻击相比不表现出任何自私攻击行为,可以有效地躲避检测。利用NS2仿真平台搭建了具有分簇结构的战场自组织网络场景,在此环境下进行注入攻击仿真;模拟结果表明,新的注入攻击方法可以降低战场自组织网络数据安全传输的可靠性,攻击节点增多将加大攻击效果。     

基于精简状态空间的攻击图生成算法*

针对网络攻击图算法状态空间过大、攻击路径不明确等制约着攻击图在网络安全分析中应用的问题,提出了一种基于精简状态空间的改进算法。该算法以网络状态作为一个整体进行分析,动态生成网络中所有可达的网络状态,并枚举出所有攻击路径。由于明确界定了网络状态空间,使算法生成的状态空间得到控制。改进了攻击图表示方法,使得攻击路径清晰。通过实例分析证明了算法模型适合全面分析网络安全性和攻击者可能采取的行为方式。     

基于SVM的VANET黑洞攻击检测方法

车载自组网（ VANET）在遭受黑洞攻击时会丢失数据分组,影响网络正常通信。提出了针对黑洞攻击的特征向量选择方法,建立了正常情况和黑洞攻击情况下的车队仿真模型,并采用支持向量机（ SVM）的方法对VANET进行黑洞入侵检测。仿真结果表明：对于非源、目的节点以及攻击节点,采用该检测方法时都能够保持较高的检测率和较低的误检率,达到了基于单个节点通信数据判断当前 VANET是否遭受黑洞攻击的较好效果。     

基于智能化状态转移以及权限改进的攻击图构建方法

针对当前攻击图在大范围网络应用中具有时间复杂度以及图形化描述不准确等缺陷,提出了一种基于智能化状态转移以及权限改进的攻击图构建方法:采用智能化状态转移途径构建攻击模型,依据该模型规划相应的攻击图,并在攻击图生成中引入了权限改进体制,该方法以主机间的连接分析为依据,根据网络攻击状态图中不同主机的原始权限,获取攻击权限的改进路径,能够针对网络变换情况调整主机的权限,进而确保相应网络的安全性,针对大规模复杂化网络攻击问题构建有效的攻击图,以确保整体网络的安全性和高效性.通过最终的仿真实验可得,该方法构建网络攻击图的时间较短,具备较低的时间复杂度和较高的扩展性,是一种高效的攻击图构建方法.     

基于OpenFlow的SDN网络攻防方法综述

软件定义网络(Software Defined Network,SDN)的控制与转发分离、统一配置管理的特性使其网络部署的灵活性、网络管理的动态性以及网络传输的高效性均有大幅提升,但是其安全性方面的问题却比较突出。综述了基于OpenFlow的SDN在安全方面的研究现状,首先根据SDN的三层架构分析了其脆弱性,介绍SDN不同平面面临的安全威胁,并根据网络攻击的流程来介绍当前主要的攻击手段,包括目标网络探测、伪造欺骗实现网络接入以及拒绝服务攻击和信息窃取;其次,针对不同攻击环节,分别从探测阻断、系统加固、攻击防护3个方面对当前主要的防御手段进行论述;最后,从SDN潜在的攻击手段和可能的防御方法两方面来探讨未来SDN安全的研究趋势。     

基于广播加密的P2P社交网络方案的设计与实现

针对当前社交网络个人隐私信息泄露的问题,面向P2P社交网络提出一种匿名公钥广播加密方案,包括初始化公钥,分发私钥,加密和解密。并在Android平台下设计实现了基于广播加密的P2P社交网络系统,系统主要包括数据存储模块,移动终端模块,安全加密模块以及PKG管理模块。同时对Android平台下的P2P社交网络在恶意用户截获私聊攻击,恶意下载攻击,篡改攻击和重放攻击的安全性进行了分析,分析结果表明该系统安全可靠。     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

基于证据推理网络的实时网络入侵取证方法

在分析现有网络入侵取证系统所存在问题的基础上,提出了一种基于证据推理网络的实时网络入侵取证方法NetForensic,将弱点关联性的概念引入网络入侵取证领域,根据网络系统的弱点知识和环境信息构建了证据推理网络,利用证据推理网络所提供的多阶段攻击推理能力,NetForensic实现了高效实时攻击流程重构.实验数据表明,NetForensic给出的证据链完整可信,且具备实时推理的能力,为快速有效的调查取证提供了有力保证.     

基于属性的具有多属性授权机构的数字签名方案

基于属性的加密体制是基于身份加密的延伸,目前大部分基于属性的签名方案都是基于单个属性授权机构的签名方案,一旦可信的单个属性授权机构被攻破,整个系统将会崩溃,而且现实生活中需要多属性授权机构,本文设计出一个基于属性的具有多属性授权机构的数字签名方案,并对其安全性进行了分析,该方案的安全性基于CDH数学困难问题的,并且是抵抗合谋攻击的。     

基于P2P系统的DDoS攻击及其防御技术研究综述*

P2P软件系统已成为Internet上最流行和成功的网络应用之一,其协议和实现的可靠性与安全性必须得到充分的研究和论证。本文首先概述了利用P2P系统进行DDoS攻击的原理,并根据攻击方式的不同将现有研究划分为主动攻击和被动攻击两种。综述了当前针对基于P2P的DDoS攻击的防御方法,分别从基于验证的方法、基于成员管理的方法、基于信誉的方法和受害者端的方法四个方面进行说明。最后,本文从推动P2P网络安全和Internet网络安全的角度出发,对基于P2P的DDoS攻击及其防御技术未来的研究方向进行了探讨。     

基于驾驶行为和速度的车内网CAN数据防注入攻击

由于车内网的开放性以及协议缺陷,其总线中数据的安全性及有效性分析是目前亟待解决的问题.利用车内CAN总线网络协议中车辆速度以及刹车油门等驾驶行为信息,提出了针对车内网CAN网络数据的防注入攻击模型.首先,基于攻击模型的分析与注入攻击特点,构建了基于驾驶行为-速度的结构模型.其次,基于该模型,利用朴素贝叶斯网络分类器,提出了面向车内网CAN数据防注入攻击分析模型,从而对接收到的车内网CAN协议中车辆行驶速度进行了有效性分析.最后通过实验仿真与验证,其结果表明,该方法能够有效地提高数据质量分析准确度.     

Ad Hoc网络中的虫洞攻击与检测方法研究

虫洞攻击是一种针对移动自组织网络路由协议的攻击,一般是至少由两个节点进行合谋的协同攻击。攻击节点之间通过虫洞攻击能够大量吸引数据包,从而达到控制网络的目的。基于按需距离矢量路由协议,根据移动自组织网络中的虫洞攻击原理,采用NS2仿真平台,通过对按需距离矢量路由协议的修改,对虫洞攻击进行了仿真,并且分析了虫洞攻击对网络性能参数的影响。根据虫洞攻击特性,设计了三种攻击检测方法:地理位置定位、邻居信任检测以及邻居监听。将这三种方法在NS2中仿真,验证了其可行性。     

改进的PMAC及安全性分析

针对Lee Changhoon等人对PMAC工作模式提出的伪造攻击,找到PMAC被攻击的弱点。改进了PMAC最后一个消息块的处理方式,避免了利用分组密码在同一个密钥下相同输入有相同输出这一特点进行的伪造攻击,并给出了改进方案的安全性分析。