基于因果知识网络的攻击场景构建方法

针对现有因告警缺失及冗余造成的攻击场景构建不准确的问题,提出了基于因果知识网络的攻击场景构建方法.首先依据专家知识定义因果关系,利用真实告警数据挖掘出能够定量刻画因果关系的因果知识,并对其进行显著性检验,以保证因果关系与因果知识的一致性和准确度,进而构成因果知识网络;然后借助因果知识网络,将攻击场景的构建分为初建与重构2步：1)通过告警映射与聚类定性得到初步的攻击场景;2)利用最大后验估计原理对其进行定量推理重构,得到完整的攻击场景.实验结果表明：该方法能利用专家知识和数据挖掘相结合的优势能够提高攻击场景构建的准确度.     

一种构造攻击场景的推理方法

本文为了表达攻击发生的前提条件和结果之间的逻辑关系,引入了攻击原子的概念,并使用因果关联算法重新构造出攻击场景。针对多阶段攻击的一些中间步骤无法检测出来的问题,采用了攻击原子假设方法,来完善因果关联算法。     

一种改进的攻击场景构建模型

攻击场景是指入侵者为达到入侵目的所采取的一系列攻击步骤。目前的攻击场景重构方法只基于入侵检测系统的报警消息,漏报和误报严重影响了攻击场景的准确重构。提出了证据支持度的概念,将日志关联融合到攻击场景重构的过程中,提出了一种新的攻击场景重构模型,有效地提高了攻击场景重构的准确度。     

基于系统漏洞的攻击场景构建

在分析基于攻击前提和后果关联方法的基础上,提出了一种基于系统漏洞和报警相关度的攻击场景构建方法。它不仅能够利用系统漏洞信息验证报警的可靠性,排除误报,而且能够通过报警之间的相关度关联多跳攻击过程。实验结果表明,此方法能够有效地减少误报和漏报,从而有助于构建更加真实完整的攻击场景。     

基于行为模式挖掘的骨干网攻击检测算法

针对Internet骨干网面临的主要攻击行为,提出一种基于攻击行为模式的建模方法。基于行为模式挖掘设计一种快速检测算法,提出一种基于双页表结构的攻击信息树的构建算法。实验结果证明该检测方法能够实时地检测骨干网中已知或未知的攻击,定位报告受害源。     

一种基于马尔可夫性质的因果知识挖掘方法

攻击者对网络目标设施的渗透破坏过程往往是渐进的,通过执行多个攻击步骤实现最终目的,如何掌握攻击活动的全貌、重建攻击场景是网络安全态势感知等诸多研究领域面临的主要难题之一.基于因果知识的告警关联分析是复杂事件处理(complex event processing, CEP)技术的主要方法之一,它为识别多步攻击过程、重建攻击场景提供了较好的技术途径.针对告警关联分析中因果知识难以自动获得这一问题,提出了一种基于马尔可夫性质的因果知识挖掘方法.该方法利用马尔可夫链模型对因果知识进行建模,以真实网络中的原始告警流为数据源：首先通过对地址相关的告警事件进行聚类,得到相关性类簇;然后再基于马尔可夫链的无后效性,挖掘各个类簇中不同攻击类型间的一步转移概率矩阵,得到因果知识,并对具有重复步骤的因果知识进行匹配融合,构建因果知识库;最后对所提出的因果知识挖掘方法进行了实验验证和对比分析.结果表明,该方法是可行的.     

基于因果知识和时空关联的云平台攻击场景重构

云计算环境下的攻击行为逐步表现出隐蔽性强、攻击路径复杂多步等特点,即一次完整的攻击需要通过执行多个不同的攻击步骤来实现最终目的。而现有的入侵检测系统往往不具有必要的关联能力,仅能检测单步攻击或攻击片段,难以发现和识别多步攻击模式,无法还原攻击者完整的攻击渗透过程。针对这一问题,提出了基于因果知识和时空关联的攻击场景重构技术。首先,利用贝叶斯网络对因果知识进行建模,从具有IP地址相关性的告警序列中发掘出具有因果关系的攻击模式,为后续关联分析提供模板依据。然后,借助因果知识网络,从因果、时间和空间多维度上对告警进行关联分析,以发现潜在的隐藏关系,重构出高层次的攻击场景,为构建可监管、可追责的云环境提供依据和参考。     

基于攻击场景的信息系统生存性计算

介绍一种基于攻击场景的系统生存性量化评估方法。该方法基于网络系统的生存性,不仅和本身有关,还与系统所处的环境密切相关。通过攻击图确定攻击场景,给出网络系统生存性的量化公式,帮助管理员有效确定影响系统生存性的关键节点,通过试验验证了该方法的有效性。     

一种新的在线攻击意图识别方法研究

现有的利用入侵检测告警来构建攻击场景、识别多步攻击意图的方法存在着需要定义复杂的关联规则、过于依赖专家知识和难以发现完整场景等不足,为此提出了一种基于攻击行为序列模式挖掘方法的攻击意图识别技术.通过分析入侵告警的攻击行为序列,挖掘出多步攻击的行为模式,再进行在线的告警模式匹配和告警关联度计算来发现攻击者的攻击意图,预测攻击者的下一步攻击行为.实验结果表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并能有效的实现在线的攻击意图识别.     

一种基于关联分析的攻击场景构造方法

将IDS报警归类为若干种超报警（Hyperalert）类型,为每种超报警类型定义相应的攻击条件和攻击结果,通过对超报警的关联分析,生成超报警关联图,构造出攻击场景,从而揭示攻击者的攻击策略和攻击意图。     

基于有色Petri网的攻击场景构造

传统的入侵检测系统只提供大量独立的、原始的攻击报警信息,不利于用户和入侵响应系统对攻击及时作出响应,迫切需要根据低层的报警信息,建立高层的攻击场景。本文提出一种利用有色Petri网理论实时、动态构造攻击场景的方法。该方法首先用有色Petri网描述攻击场景,然后用扩展关联矩阵的比值快速匹配、构造攻击对应的攻击场景;并根据已构造的子攻击场景网,验证和检查漏报的攻击,预测下一步可能的攻击;同时,利用子攻击场景合并的方法构造新的攻击场景模式。     

通过关联报警重建攻击场景

论文提出一系列的技术来整合两种互补型的报警关联方法:基于报警属性之间的相似性(聚类关联),和基于攻击的因果关系(因果关联)。尤其是根据入侵报警间的因果关系和它们需要满足的等同约束关系来假设和推理可能被IDSs漏报的攻击,同时使用一定的方法来整理假设的攻击重建更简单更可信的攻击场景。     

一种快速相关攻击算法

提出一种针对序列密码的改进的快速相关攻击算法。将序列密码的攻击问题转化为线性分组码的译码问题,采用最大似然译码方法进行译码。利用Walsh变换进一步优化算法的计算复杂度。对算法中的穷搜索比特数和校验方程重量2个关键参数的选取进行探讨,从理论上推导出校验方程重量与算法攻击成功概率之间的解析关系,为选取参数提供了依据。仿真结果表明,该算法性能优于之前的快速相关攻击算法。     

网络靶场攻防场景设计框架

随着网络威胁的暴露范围越来越广,开发新的工具来改进网络防御是一个重大挑战。网络防御中最重要的问题是人员技能培训,网络靶场就是用于此目的。它提供用于训练和对抗比赛的虚拟环境。本文用VDSL语言定义了一个定制的网络环境,并实现了一个框架,允许将网络靶场场景转换为Prism模型。这样就可以进行训练和赛事结果的定量分析并可以对这个框架进行持续优化。     

基于可信报警事件的在线攻击场景重构算法

传统的入侵检测系统仅提供大量独立的、原始的攻击报警信息,不利于用户和入侵响应系统对攻击及时做出响应,迫切需要根据低层的报警信息,建立高层的攻击场景,提高安全管理员对当前发生的攻击的认知度。本文利用贝叶斯规则首先对多个安全设备产生的报警信息进行过滤,生成了可信的报警事件集,在此基础上完成攻击场景的重构工作,减少了安全设备产生的误报信息对关联算法的影响,提高了关联算法的健壮性和可扩展性。描述的关联方法可以使报警事件的聚合操作和攻击场景重构同时进行,实现了对报警事件的在线分析功能,弥补了现有算法的不足。试验结果表明,该算法在场景重构和报警事件约减两个方面都表现出了良好的性能。     

用Director制作统计查询系统

分析了用Director实现查询系统的优点，给出了相应的脚本程序，并介绍了构建查询页和增加统计功能的方法。     

链路相关性欺骗攻击与检测机制

近年来的研究工作表明,无线通信中的数据包传输在不同的链路上存在接收相关性,这一现象对无线网络环境下不同通信协议的性能都有着很大的影响。现有的链路相关性感知协议的性能提升大都依赖链路相关性度量的准确性。然而,通过分析发现,无线网络自身的移动性、射频通信等特点导致其在通信过程中存在着各种威胁与网络攻击。文中结合链路相关性,提出链路相关性感知协议的欺骗攻击机制,即当网络中的源节点发送数据包时,相应的接收节点通过恶意修改自身维持的数据包接收位图中的数据来欺骗源节点,从而达到篡改同一源节点的不同邻居节点之间的链路相关性度量值的目的,因此,该攻击机制会降低协议的传输性能。针对这一攻击机制,文中提出了对应的恶意节点检测机制,即利用Watchdog机制对网络中节点的行为进行检测,从而得出真实的数据包接收位图。仿真结果表明,提出的链路相关性欺骗攻击机制增加了通信协议的数据包重传次数,降低了协议传输的性能,同时基于Watchdog的恶意节点检测机制对这一攻击具有良好的防御力。     

MD5碰撞攻击的差分路径构建

著名的杂凑算法MD5是MD4的增强版本,由Ronald L.Rivest在1991年设计.MD5广泛应用于口令变换、数据完整性、数字证书等领域.近年最具影响的MD5安全性的分析结果是王小云首次发现的MD5碰撞.之后,MD5碰撞攻击的改进主要集中在提高碰撞对搜索的性能.基于新的不同于王小云的明文差分构成的MD5碰撞,介绍差分路径的构建方法,并给出一条差分路径以及碰撞对数据.