基于阶段特性的APT攻击行为分类与评估方法

APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。     

APT木马网络协议逆向自动化分析

随着网络安全需求的不断提升,对于高级持续性威胁APT(Advanced Persistent Threat)攻击中的远程控制木马的分析的要求也不断提高,也相应地出现各种分析未知网络协议的方法与工具。介绍现有的几种未知网络协议逆向的方法,再吸取现有方法中的优点,提出一种改进的基于报文数据Token化、多序列比对与凝聚型层次聚类的针对APT木马网络协议逆向的方法。     

基于木马的计算机监控和取证系统研究

阐述了常用动态取证工具和取证系统的特点,分析了取证模式及木马技术,设计了一种基于木马的计算机取证系统.通过木马的隐藏和抗查杀等关键技术的应用,取证系统能提供3种不同取证方法实现对监控目标的秘密、实时、动态取证.     

防御APT网络安全矛与盾之间的生死时速

现在网络世界里最厉害的攻击杀器是什么?病毒、木马、蠕虫恶意程序……都不是,听说过"有针对性攻击"么,也可以称之为"APT——高级可持续性攻击"。这是当今互联网世界里最难对付的网络攻击方式。先回顾一下,最早有关APT类攻击的报道就是2010年伊朗核设施遭遇Stuxnet——超级工厂病毒攻击,造成伊朗核电站推迟发电     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

面向APT攻击的关联分析检测模型研究

近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。     

对付高级持续威胁,经验很重要

今天来看,APT(Advanced Persistent Threat,高级持续威胁)已经不是一个新鲜的词儿了。与木马入侵这样的小打小闹不同,APT因为其目标明确、潜伏周期长、有组织而更加难以对付,它让网络攻击的形式变得更为复杂和多元化。近两年,我们正在越来越多地感受到APT的威胁。2011年,在美国本土,光是有据可查的大型安全攻击就有70多起,受攻击的包括银行信用卡中心等。在国内,2012年也有一些公布于众的网络安全犯罪     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

基于自适应模糊聚类的无监督APT攻击检测方法研究

针对现有基于机器学习的APT攻击检测方法大多需要大量标注攻击样本的问题，提出了一种基于自适应模糊聚类的无监督APT攻击检测方法。该方法在模糊C均值聚类基础上引入自适应机制，使其能够有效适应复杂多变的APT检测数据，并可有效减缓噪声对聚类性能的影响。为验证所提出方法有效性，将之应用于KDDCup99数据集，以实现对未知攻击的检测。实验结果表明，该方法具有较高检测准确率，对无监督模式下APT攻击检测研究具有一定指导意义。     

基于使命的Agent组织模型

Agent组织是一种灵活有效的多Agent系统求解方式。针对目前Agent组织模型主要以利己型Agent为基础的现状,提出适合政府及军事等领域使用的基于使命的Agent组织模型。模型以利他型Agent为组织构成基础,使用信任度和Agent组织效益共同评价Agent求解问题的能力,从Agent思维属性及其相互关系的角度出发,研究了Agent组织中使命的特点、组织形成和演化机制,提高了问题求解效率,增强了Agent组织的稳定性,从而拓宽了关于Agent组织的研究。     

基于社会网络的犯罪组织关系挖掘

在对犯罪组织进行图形化构建的基础上,利用社会网络方法对犯罪组织关系进行挖掘。犯罪组织关系挖掘包含根据社会网络的中心性指标提出一种犯罪组织重点人员判定方法和挖掘犯罪组织成员间的关系。实验结果显示,犯罪组织关系挖掘方法具有较好的性能和挖掘效果。     

基于SMO算法的织物组织结构识别

提出了一种用机器识别布料结构的方法.该方法采用图像去噪、增强及二值化技术对织物组织图进行预处理,采用经纬像素差值法提取出织物组织结构的特征向量,用序列最小化(SMO)算法进行识别分类,重构出清晰的、便于生产加工的织物组织结构图.实验结果表明,通过该方法对织物组织结构的识别具有较高的准确率.     

动态安全的虚拟组织体系结构

虚拟组织作为网络经济时代组织创新的新模式,在虚拟组织共享组织信息的框架下保障组织信息的动态安全成为组织者不得不考虑的问题。从计算机及网络科学的角度,探讨了一种动态安全的虚拟组织体系结构。在该体系结构呈现的虚拟组织平台系统上能够动态地构建多个具有保护组织信息访问安全、存储安全和流转安全的虚拟组织系统,从技术层面有效保护虚拟组织电子信息资产的安全。     

企业组织模型结构和建模方法研究

组织建模对于企业实施先进制造战略具有重要意义。文章在研究分析了多种组织结构形式的基础上,应用工作流和过程建模等概念和方法,定义了一种新型的企业组织模型结构,通过引入新型建模元素,可以更为全面地描述企业组织静、动态层次结构,并可以表现业务过程到组织的映射。基于该结构,采用面向对象和构件化方法,提出了一种柔性的、数据表达一致并且可以有力地支持过程模型的动态执行的组织建模方法,并开发了相应的软件工具。     

基于N-gram语言模型的哈萨克文机构名识别

针对哈萨克文文本中机构名构成特点,提出了一种基于N-gram语言模型的哈萨克文机构名可信度计算方法,并以机构名尾词为触发词,构建了一个哈萨克文机构名识别系统。系统分为训练和识别两个模块,识别过程是：首先从训练语料中提取特征进行训练,得到一个特征训练模型,然后利用训练好的特征模型及少量的附加规则,对测试文本中的机构名进行识别,实验结果表明该方法可行。     

基于信任和声誉的Agent组织信誉模型

Agent组织是OOP(Object Oriented Programming)向AOP(Agent Oriented Programming)转变的重要形式,一个Agent组织要良好运行应该具有较高的信誉值,但此前这方面研究较少。针对上述问题,基于信任和声誉提出一种Agent组织信誉模型AOCM(Agent Organizational Credit Model)和计算方法,内部信任和外部声誉集成为Agent组织信誉,内部信任基于Agent之间的交互,外部声誉基于Agent的观察;改进了Dong Huynh等人关于Agent信任等方面的工作。实验结果验证了该模型的计算可行性、合理性。     

功能可重构MES系统的访问控制机制研究

提出了一个功能可重构的MES系统访问控制机制的解决方案。对离散制造企业组织机构进行分析,给出了组织相关概念的基于BNF的形式化定义,建立了组织职责分配模型。对RBAC访问控制模型进行扩展,建立了Group-RBAC模型,给出了基于关系运算的权限配置理论模型。基于Group-RBAC给出了航空发动机装配车间MES功能可重构设计方案。     

CIMS环境下的企业组织改革研究

给出了ＣＩＭＳ环境下的企业组织改革的含义，论述了企业进行组织改革的两种方法：企业组织重构法和全面质量管理法，比较了两种方法的优缺点，并给出了企业组织改革的评价准则及企业组织改革的实例。     

一种基于矩阵组织的动态授权模型

动态授权技术是授权技术领域的一项重要技术。DAFMAT框架是该领域中经典的授权框架,然而应用范围受医疗系统组织结构特征所限制。笔者通过改造DAFMAT模型,安排正式的横向角色,加强矩阵组织的横向机制,提出一种名为DAFMO（矩阵组织的动态授权框架）的模型。DAFMO符合矩阵组织的普遍特征,其应用范围将得到极大的拓展。