面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

基于攻击图的工业控制系统脆弱性分析

为了评估工业控制系统网络安全风险和进行有效防御,提出控制系统网络安全要素的概念,将网络攻击转化为网络状态的迁移问题,搭建控制系统网络攻击图模型.建立基于专家知识经验、现有脆弱性库的脆弱性利用规则库.采用单调性假设、广度优先迭代算法、控制系统网络脆弱性规约、攻击约束函数,进行控制系统攻击图的构建与优化.根据参数初步等级量化与判断矩阵法,可计算得到攻击收益.以震网病毒为背景,设计一个仿真控制网络,通过仿真得到原始攻击图、脆弱性规约下的攻击图、约束函数下的攻击图.仿真结果表明：该方法能够根据不同安全要求级别构建攻击图,较全面地得到了可能的攻击目标、最佳的攻击目标及对应的攻击收益和攻击路径.     

APT攻击行为的阶段演变和多态检测方法探讨

APT(高级持续性威胁)攻击的出现,从本质上改变了网络安全的态势。APT攻击具有极强的组织性、目的性和持续性,对传统的被动式防御系统造成极大的威胁。通过分析APT攻击的特征和阶段演变,构建了一种多态检测体系。仿真实验证明,多态检测方法能提高APT常见攻击方法的预警效率。     

APT攻击场景重构方法综述

APT攻击已经成为网络安全的重要威胁之一,从大量告警日志数据中识别APT攻击并还原攻击场景已成为当前急需研究的问题。首先介绍了攻击场景重构基本概念和技术流程框架。其次,依据采用的关联分析方法,对攻击场景重构方法进行了分类,并分别综述了基于经验知识、基于因果关系、基于语义相似性和基于机器学习4类方法的基本步骤和具体案例。最后,讨论了不同方法的优势和不足,结合最新技术应用指出了未来发展趋势。     

APT攻击检测与反制技术体系的研究

高级持续威胁（APT）是近年兴起的新型网络攻击,一直受到网络安全界的重视。该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢。同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘。实验得出,同一组织使用的工具集间存在相似性规律。综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用。     

基于卷积神经网络的5G网络HTTP/2协议低速DoS识别方法

当前,为满足多种应用场景的各项指标需求,5G网络引入HTTP/2协议以提高网络功能数据传输速率和并发能力,然而针对HTTP/2协议的低速DoS攻击具有流量峰值低、攻击过程隐蔽等特点,严重威胁网络安全。通过分析现有低速DoS攻击原理和识别算法的不足,提出一种基于卷积神经网络的HTTP/2协议低速DoS识别方法。首先,提取HTTP/2控制帧字节级别数据构建流量特征灰度图;其次,设计具有卷积计算、池化降维和全连接dropout的卷积神经网络,并将特征灰度图输入到神经网络中训练调优;最后,将训练好的模型用于低速DoS流量识别。仿真结果表明,所提方法在分类准确性、泛化性等方面优于现有识别分类算法,为5G网络安全提供更好的防护。     

基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

基于门控特征融合与中心损失的目标识别

针对目标活动、光线及摄像头距离等问题，提出一种基于门控特征融合与中心损失的目标识别方法.门控特征融合是为了弥补单一特征信息丢失时，身份识别准确率下降的缺陷.门控结构指导网络对输入的人脸、行人特征进行贡献量评估,再根据贡献量去分配权值，组合产生识别性更强的身份特征.通过添加中心损失函数，在引导网络下减少了特征的类内距离，使得特征更具判别性.实验结果表明，在自建数据集上所提方法的最终识别准确率最高可以达到76.35%，优于单特征识别方法以及多种融合方法，使用所提的融合损失函数后，平均识别准确率可提高2.63%.     

内生安全支撑的新型网络体系结构与关键技术研究构想与成果展望

目前,网络威胁已进入未知威胁时代。然而,传统网络安全基于“马奇诺”式的静态被动防御,缺乏自主性以及自我演化进化的内生安全能力,对未知威胁基本上只能通过“打补丁”的方式事后弥补。这种亡羊补牢的处理方法往往伴随巨大的损失,必须寻求新的思路。网络安全保护系统与人体免疫系统具有惊人的相似性,免疫系统无需病毒先验知识,学习推演能力强,天生具备未知病毒的灭活能力。有鉴于此,本研究以“未知威胁”为核心,以“人工免疫”为创新手段,研究内生安全支撑的新型网络体系结构与关键技术。首先,通过模拟人体免疫系统的基本原理,提出一种面向内生安全的网络空间安全免疫体系结构,以提供如同人体免疫系统一样的网络内生安全能力；然后,基于 mRNA 免疫思想,提出一种基于mRNA免疫的可信任网络寻址与路由控制方法,以有效识别和防范路由劫持；通过基因进化演化等方法,提出一种基于基因进化演化的未知网络威胁自适应发现方法,以形成先验知识不完备条件下未知网络威胁的快速发现能力；通过模拟人体免疫系统“体温风险预警”以及“特异性免疫”机制,提出一种基于人体体温预警机制的网络动态风险实时定量计算方法以及一种基于特异性免疫的快速动态反馈迭代网络风险控制方法,提供先验知识不完备情况下的未知威胁风险评估与应对能力,实现未知攻击的自适应防御；最后,通过构建一个面向内生安全基于免疫的新型网络原型系统,对研究成果进行技术验证,同时根据验证结果对所提出理论及方法进行改进和提高,藉此突破传统网络安全以“打补丁”为主被动防御的技术瓶颈。研究成果对网络空间安全保护的科学研究、技术研发、产业发展等具有十分重要的理论意义和实际应用价值。     

基于改进遗传算法的非侵入式电器负荷识别

针对传统非侵入式负荷识别算法在电器负荷接近或较小时并不能得到较理想识别效果的问题,提出了一种基于谐波特征和遗传算法的非侵入式电器负荷识别算法.通过提取电流数据的非活性电流及其谐波特征,来增大不同用电器间的差异性,从而提高识别精度;并使用遗传算法优化的神经网络的权重、阈值和隐含层神经元个数来提高分类识别精度,达到细粒度用电分析的目的;使用包含5种家用电器的用电场景测试所提出算法的识别精度,并将其与反向传播神经网络算法相比较.仿真测试结果表明,提出的特征和算法具有更高的负荷识别准确率及更快的识别速度.     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

基于扩散分析的网络安全威胁态势评估

针对多数态势评估方法欠缺对授权与依赖关系的考虑、无法反映间接威胁、评估结果对动态防御的指导作用不大的问题,提出了一种以威胁扩散分析为基础、以攻击意图揣测为延伸的评估方法。首先评估了攻击施加的直接威胁,及其沿着依赖关系扩散引发的间接威胁。然后探讨了多攻击并发时的非线性叠加效应。最后使用覆盖法和聚类法揣测攻击意图。实验表明,该方法能更透彻、更精准地揭示安全状况,较好地指导动态防御。     

采用改进YOLOv5网络的遥感图像目标识别方法

针对无人机目标识别中因遥感图像模糊、成像距离远、目标图像占比小等使得目标识别准确度不高问题,提出了一种基于改进YOLOv5网络的方法.该方法通过改进损失函数、改进特征金字塔网络(FPN)结构和增加平衡系数来提高目标识别效果.实验结果表明,在相同训练条件下,相比原始YOLOv5网络,改进YOLOv5网络对目标占比小于5％...     

蜜罐技术在网络安全中的应用

对蜜罐和蜜网的概念与应用进行论述,通过采用蜜罐技术对网络威胁进行主动防范,包括检测攻击、防止攻击造成破坏和帮助安全管理人员对攻击作出及时响应等,给出了对SYN-flood和网络蠕虫等网络攻击采用蜜罐技术进行追踪的方法,从而提高一个组织机构系统所处环境的安全性并降低其风险。     

基于注意力残差网络的Wi-Fi设备的射频指纹识别

由于无线介质的开放性,传统的基于安全协议的无线网络安全存在隐患,基于物理层的射频指纹(RFF)识别,具有特征难以伪造的优点,能有效提高无线网络的安全性.针对多场景、多设备识别任务,构建了基于注意力残差卷积神经网络的射频指纹识别方法.实验采集构建了完备的数据集,数据集包含32个Wi-Fi模块,覆盖802.11b标准的2.4 GHz模块.对比结果表明：该方法在32个Wi-Fi模块的识别中达到90%的识别精度,高于传统算法86%的识别率和卷积神经网络方法的89%的识别率;不同采样率的数据集在2 dB时均可以达到90%以上的识别精度,最终在信噪比(SNR)大于20 dB时,识别精度可以达到96%.     

基于OpenFlow的流量监控架构实践方案

为了解决基于OpenFlow的软件定义网络( software defined network, SDN)架构存在的潜在安全性问题,缓解特定的网络攻击对OpenFlow网络基础设施的威胁,保障OpenFlow网络在存在异常流量状态下的网络性能,在分析OpenFlow协议的安全缺陷的基础上,提出了一种流量监控方案.该方案使用 sFlow 流量采样技术,结合FloodLight开源控制器,通过上层应用更改控制器操作模式并对交换机执行端口限速.实验结果证明：提出的方案在网络受到特定攻击时可以降低控制器负载,过滤攻击产生的Packet In包达99.88%,有效地减小了异常流量对网络中主机及网络本身的影响;能及时监测网络攻击造成的网络异常,并缓解网络攻击对网络整体性能的影响.