基于战术关联的网络安全风险评估框架

电力系统网络是网络攻击的重要目标之一。为了保障电力系统的安全运行,网络管理员需要评估电力系统网络所面临的网络安全风险。现存的网络安全风险评估框架通常仅针对单一场景进行评估,不能从过多的网络安全告警中发现利用多种手段以达到目标的策略型攻击者。为应对上述挑战,文中设计了一种基于战术关联的网络安全风险评估框架,该体系利用成熟的网络安全知识库并整合重复性指标以尽可能简化使用者的输入,同时将多种网络安全系统产生的告警在战术层面关联起来,从而发现利用多种攻击手段协同的攻击方式。对高级持续性威胁(Advanced Persistent Threat, APT)攻击案例进行评估,对比结果表明,与现有的轻量级信息安全风险评估框架(Lightweight Information Security Risk Assessment, LiSRA)相比,该方法能更有效地发现高威胁风险,其鲁棒性也优于现有方法。     

面向实时业务的网络安全态势评估

网络安全事件的多样性和复杂性使得传统方法难以对网络安全态势作出实时动态的评估。鉴于此,提出一种面向网络实时业务的网络安全态势评估方法。尝试以网络实时业务为切入点来降低评估复杂度,实时动态地评估网络安全态势。基本思路是采用层次化方法建立实时业务风险模型,采用攻击树方法建立攻击威胁模型,将这两个模型作为评估的数据支撑;对D-S证据理论合成公式进行改进;利用改进后的D-S证据理论实现上述两个模型的关联,进而得出实时的评估结果。最后通过一个测试实验对评估方法进行验证与分析。     

基于AEGM的网络攻击渗透测试预案生成系统

为满足网络安全管理需要,从入侵者角度出发,提出一种面向渗透测试的攻击事件图模型AEGM,并设计实现了一个网络攻击渗透测试预案生成系统。该系统以原子攻击知识库的构建及应用为前提,综合分析了从被测试目标网络脆弱点间的关联衍生出的攻击事件间的逻辑关系。利用前向广度优先搜索策略构建AEGM模型,产生渗透测试方案集,并以成功概率进行最优方案度量。实验结果表明,该方法能够有效生成渗透测试方案集,为网络安全的测试和分析提供有益参考。     

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

基于灰色综合关联分析的网络安全评估

随着网络应用的发展,网络安全评估已成为网络安全研究的一个重要课题。为了克服传统网络安全评估模型的不足,文章提出了基于灰色综合关联分析的网络安全综合评估模型。该模型将灰色关联分析法与层次分析法有机结合,首先通过德尔菲法建立评估指标体系,然后采用层次分析法确定各被评因素的权重,最后计算灰色关联度对网络安全进行评估。利用该方法对某高校网络进行仿真实验,结果表明,该方法评估结果准确,是一种高效、准确和实用的网络安全评估方法。     

灰色关联分析和支持向量机相融合的网络安全态势评估

为提高网络安全态势评估的准确性, 提出一种灰色关联分析和支持向量机相融合的网络安全态势评估模型。根据网络安全态势评估原则进行评估指标体系选择, 并根据灰色关联分析确定指标权重, 将训练样本输入到支持向量机进行训练, 采用改进粒子群算法优化支持向量机参数, 建立网络安全态势评估模型, 最后采用数据集KDD Cup99对模型性能进行仿真测试。仿真结果表明, 该模型可以准确、客观地对网络安全态势进行评估, 评估结果可以为网络管理员提供一定价值的参考建议。     

一种基于警报数据关联的入侵检测系统模型

入侵检测是保障网络安全的重要手段。对入侵检测系统产生的警报信息进行关联分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。本文提出了一种分布式入侵检测警报数据关联模型,模型通过警报数据聚类和高层事件关联消除或减少重复警报,降低误警率,发现高层攻击策略。最后给出了警报聚类关联实现算法,该算法通过警报数据相似度的计算来实现警报聚类。     

一种计算机网络脆弱性评估系统的设计

以攻击图建模方法为基础，提出了一种综合利用网络安全评估工具、模型检验工具的计算机网络脆弱性评估系统的设计方案。给出了脆弱性评估系统的总体框架结构，分析了各模块的功能特点和结构组成。该脆弱性评估系统可以分析计算机网络系统的最薄弱环节、最隐蔽被攻击路径、最易被攻击路径和最常被攻击路径，可以有效指导计算机网络系统安全措施制定与改进。     

一种新颖的自动化攻击图生成方法

攻击图在网络安全评估和防御方面,占有重要地位。通过对攻击图的分析,网络管理者可以预知网络脆弱程度,采取加强网络安全性的措施。基于原子域的攻击图生成算法,其在生成时间复杂度和扩展性方面具有实用性的优势;本文通过对网络评估系统的介绍,重点介绍基于原子域的攻击图生成系统在网络安全评估中的应用设计与实现,同时对基于原子域生成系统进行性能测试。     

基于攻击模式识别的网络安全态势评估方法

通过对已有网络安全态势评估方法的分析与比较,发现其无法准确反映网络攻击行为逐渐呈现出的大规模、协同、多阶段等特点,因此提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意图与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移图(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。通过网络实例对所提出的网络安全态势评估模型验证表明,随着攻击阶段的不断深入,其网络安全态势值也随之增大,能够更加准确地反映攻击实情;且在态势预测中无需对历史序列进行训练,具有更高的预测效率。     

绕过防火墙的攻击与防范

防火墙已经成为网络安全领域非常重要的技术之一,然而随着攻击手段的日新月异,许多攻击都能绕过防火墙进行入侵攻击,而防火墙本身对于这种攻击无能为力,这对网络带来巨大的安全隐患。文章介绍了防火墙的基本知识,分析了绕过防火墙的攻击手段,最后结合入侵检测技术研究防范绕过防火墙的攻击。     

An approach for detecting and preventing DDoS attacks in campus

Nowadays, Denial of Service (DoS) attacks have become a major security threat to networks and the Internet. Therefore, even a naive hacker can launch a large-scale DoS attack to the victim from providing Internet services. This article deals with the evaluation of the Snort IDS in terms of packet processing performance and detection. This work describes the aspect involved in building campus network security system and then evaluates the campus network security risks and threats, mainly analyses the attacks DoS and DDoS, and puts forward new approach for Snort campus network security solutions. The objective is to analyze the functional advantages of the solution, deployment and configuration of the open source based on Snort intrusion detection system. The evaluation metrics are defined using Snort namely comparison between basic rules with new ones, available bandwidth, CPU loading and memory usage.     

针对应用层未知攻击的蜜罐系统框架的研究与实现

随着网络攻击事件越来越多,特别是新的漏洞以及其攻击的不断发布,网络安全受到严重的威胁。传统的安全技术如防火墙、入侵检测等都不能很好地对新的漏洞和攻击进行检测,所以未知攻击的检测问题已成为难点。利用蜜罐技术来解决未知攻击的检测问题,简要概述了现有的蜜罐技术,提出并实现了一种针对应用层未知攻击的蜜罐系统框架。最后进行了测试并给出了结论。     

Association Rule Mining Frequent-Pattern-Based Intrusion Detection in Network

In the network security system, intrusion detection plays a significant role. The network security system detects the malicious actions in the network and also conforms the availability, integrity and confidentiality of data information resources. Intrusion identification system can easily detect the false positive alerts. If large number of false positive alerts are created then it makes intrusion detection system as difficult to differentiate the false positive alerts from genuine attacks. Many research works have been done. The issues in the existing algorithms are more memory space and need more time to execute the transactions of records. This paper proposes a novel framework of network security Intrusion Detection System (IDS) using Modified Frequent Pattern (MFP-Tree) via K-means algorithm. The accuracy rate of Modified Frequent Pattern Tree (MFPT)-K means method in finding the various attacks are Normal 94.89%, for DoS based attack 98.34%, for User to Root (U2R) attacks got 96.73%, Remote to Local (R2L) got 95.89% and Probe attack got 92.67% and is optimal when it is compared with other existing algorithms of K-Means and APRIORI.     

基于流谱理论的SSL/TLS协议攻击检测方法

网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为。随着安全套接层/安全传输层（SSL/TLS）加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间,具象为“势变谱”,形成可分离、可观测的特征表示集合,实现对网络流的高效分析。流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下,针对特定威胁网络流找到势变基底矩阵。由于SSL/TLS协议在握手阶段存在着强时序关系与状态转移过程,同时部分SSL/TLS攻击间存在相似性,因此对于SSL/TLS攻击的检测不仅需要考虑时序上下文信息,还需要考虑对SSL/TLS网络流的高分离度的表示。基于流谱理论,采用威胁模板思想提取势变基底矩阵,使用基于长短时记忆单元的势变基底映射,将SSL/TLS攻击网络流映射到流谱域空间。...     

基于模拟攻击的高校网络安全风险评估研究

针对高校网络目前存在的安全风险,提出一种新型的基于模拟攻击的高校网络安全风险评估模型。该模型综合考虑了单机脆弱性和网络攻击威胁,首先结合原有基于单机脆弱性测出的风险值,模拟攻击者利用网络弱点的入侵过程,产生攻击状态图;然后基于生成的攻击状态图和原有风险值,识别攻击者入侵网络所利用的攻击行为、可能路线及导致的安全状态变化,评估潜在威胁的位置;并对新方法的风险值给出了定量分析,从而为针对性地实施风险控制决策提供更准确的依据。实验结果表明,该模型是正确的,并且平均要比目前存在的风险评估模型多发现大约50%的安全风险。由此可以看出,本模型方法的评估结论较传统方法更为准确。     

安全协议的攻击分类及其安全性评估

对安全协议的安全性进行全面评估是十分重要的,但难度非常大．目前大量的研究工作主要集中于分析开放网络环境下安全协议的一些特定安全属性,例如,秘密性和认证性等．为了更全面地评估安全协议的安全防护能力,从攻击者的能力和攻击后果两个角度,提出一种新的安全协议攻击分类,并分析了不同攻击类型的特点与机理．在此基础上,探讨了安全协议的一种安全性评估框架,有助于更客观地评价安全协议的实际安全防护能力和设计新的协议．     

A model-based aspect-oriented framework for building intrusion-aware software systems

Security is a critical issue for software systems, especially for those systems which are connected to networks and the Internet, since most of them suffer from various malicious attacks. Intrusion detection is an approach to protect software against such attacks. However, security vulnerabilities that are exploited by intruders cut across multiple modules in software systems and are difficult to address and monitor. These kinds of concerns, called cross-cutting concerns, can be handled by aspect-oriented software development (AOSD) for better modularization. A number of works have utilized AOSD to address security issues of software systems, but none of them has employed AOSD for intrusion detection. In this paper, we propose a model-based aspect-oriented framework for building intrusion-aware software systems. We model attack scenarios and intrusion detection aspects using an aspect-oriented Unified Modeling Language (UML) profile. Based on the UML model, the intrusion detection aspects are implemented and woven into the target system. The resulting target system has the ability to detect the intrusions automatically. We present an experimental evaluation by applying this framework for some of the most common attacks included in the Web Application Security Consortium (WASC) web security threat classification. The experimental results demonstrate that the framework is effective in specifying and implementing intrusion detection and can be applied for a wide range of attacks.     

Robust and efficient detection of DDoS attacks for large-scale internet

In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme.     

基于改进双重深度Q网络的入侵检测模型

入侵检测技术作为网络安全有效的防御手段,是网络安全体系中的重要组成部分。随着互联网的快速发展,网络数据量快速增加,网络攻击更加趋于复杂化和多元化,目前主流的入侵检测技术无法有效识别各种攻击。针对实际网络环境中正常流量和攻击流量数据不平衡,且对攻击类流量检测率低的问题,基于深度强化学习提出一种基于改进双重深度Q网络的CBL_DDQN网络入侵检测模型。该模型将一维卷积神经网络和双向长短期记忆网络的混合网络模型引入深度强化学习的DDQN框架,并使用深度强化学习中的反馈学习和策略生成机制训练智能体来对不同类别的攻击样本进行分类,在一定程度上减弱了训练模型过程中对数据标签的依赖性。采用Borderline-SMOTE算法降低数据的不平衡度,从而提高稀有攻击的检测率。通过NSL_KDD和UNSW_NB15数据集对模型的性能进行评估,结果表明：该模型在准确率、精确率、召回率这三项指标上均取得了良好的结果,检测效果远优于Adam-BNDNN、KNN、SVM等检测方法,是一种高效的网络入侵检测模型。