基于卷积神经网络多源融合的网络安全态势感知模型

为了准确获取整个网络的安全态势，设计了一种包含流量探测、属性提炼、决策引擎、多源融合和态势评估五大核心环节的网络安全态势感知模型。流量探测指，以网络流量探测器和入侵检测探测器为工具对流量进行监测，分别抓取流量基础特征和恶意活动特征；属性提炼指，以准确地提炼核心属性为目的，重点关注能够刻画恶意活动特征的报警信息、报警类别和连接属性；决策引擎指，以属性提炼生成的各探测器的核心属性数据为输入，以卷积神经网络为引擎识别各种攻击；多源融合指，采用指数加权的D-S融合方法有效地融合各决策引擎的输出结果，提升攻击识别率；态势评估指，借助权系数理论有效地量化威胁等级，利用层次化分析方法准确地获取整个网络的安全态势。实验结果表明，不同探测器探测到的数据对各类攻击识别的差异较大，多源融合算法可将攻击识别的准确率提升到92.76%,在准确率指标上优于多数研究成果，准确率的提升有助于层次化网络分析方法更加准确地计算整个网络的安全态势。     

多源异构数据融合的网络安全态势评估体系研究

为保障网络安全运行,降低网络遭受攻击的几率,本文对多源异构数据融合的网络安全态势评估体系进行深入研究,提出了一个包括流量解析模块、属性提炼模块、决策引擎模块、多源融合模块、网络安全态势评估模块的网络安全态势评估体系,实现了网络流量的全面解析、网络攻击特征及其核心属性的读取、核心属性至攻击类型的映射、多决策引擎输出结果的融合,有效提升了网络安全态势评估效果。     

基于信息融合的层次化网络安全态势评估模型

网络安全态势评估对于提高网络安全的应急响应能力发挥着重要的作用。本文针对网络安全中多源信息的特点,建立了基于信息融合的层次化网络安全态势评估模型。分别对该模型中的要素提取、态势评估和态势预测模块进行了分析,给出了态势评估的步骤,提出了相应的算法,设计了层次化网络安全态势评估指标体系。     

基于集对分析的网络安全态势评估

为方便管理员更为直观地观察网络安全状况以便迅速作出应变措施,提出了基于集对分析的网络安全态势评估模型。首先对各个传感器的数据进行预处理,得到服务器和攻击的规范化数据,然后利用集对分析理论融合来自多个传感器的数据得到主机的安全态势,最后采用自下而上的层次化安全态势量化评估模型,以评估网络的整体态势。通过对DARPA 2000数据集的分析,证明集对分析比传统方法更能够对网络态势所处的级别进行明确划分,更好地得出整个网络简单的安全态势。     

基于改进C-SVC的工控网络安全态势感知

工控网络攻击类型多样、强度不一,在这种情况下,传统检测技术无法对多种类型的攻击进行有效识别,也无法给出全面准确的工控网络安全态势.为此,提出工控网络安全态势感知模型:首先采取改进的C-SVC算法对多源数据进行规则提取;然后利用决策融合算法进行决策层融合,获取最终态势感知结果.实验结果表明:所提出的模型和算法能够有效地识别多类型攻击,准确判断出系统遭受到的攻击,并形成态势感知结果.     

一种基于关联分析和HMM的网络安全态势评估方法

当前大部分基于隐马尔科夫（HMM）的网络安全态势的评估方法都集中于对HMM参数的研究,而忽视了观测值的选取对评估准确度的影响。本文在告警信息聚合的基础上,以攻击模式作为关联依据,结合网络资产的脆弱性信息,识别主机所处受攻击阶段并转化为主机的威胁等级,以威胁等级作为HMM的观测值,最后利用HMM实现对主机和网络的安全态势评估。基于DARPA2000测试数据集的相关实验表明,相比一般的HMM方法,本文方法能体现攻击的多步骤特点,且能更加准确地反映网络态势的变化。     

基于灰色理论的层次化网络安全态势评估方法

网络安全态势是指某时刻整个系统所处的安全运行状态,网络安全态势评估是安全领域的研究热点之一。文中以能够准确把握一个网络系统的安全态势为目标,设计了一种基于灰色理论的层次化网络安全态势评估方法。该方法利用灰色关联分析法对网络中的攻击要素进行关联,进而在服务、主机、网络等3个层次上综合运用统计技术和专家系统给出的权重来完成相应的态势信息的融合。基于Honeynet数据集的仿真实验结果表明,使用文中设计的方法能够有效而准确地得出网络的总体安全态势。     

基于链路性能分析的网络安全态势评估研究

针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题,提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论,提出了基于链路性能分析的网络安全态势评估模型。在态势值计算过程中,首先计算不同时段各链路的安全态势值,并把结果以矩阵形式表现出来;然后,将各链路安全态势值进行加权融合,得到不同时段的网络安全态势值,并以向量形式表示。实验结果证明,所提方法能够反映网络局部和整体的安全状况变化,并且对未知攻击具有良好的感知能力,给网络安全管理带来了方便。     

考虑时间参数的网络安全态势评估模型研究

针对已有网络安全态势评估由于缺乏考虑数据源时变性而造成的证据源证据不可靠、评估出现误差的问题,引入时变函数来刻画多源证据的时变性,提出时变D-S证据理论,用以提高证据的可靠性。使用改进的时变D-S证据理论方法对多传感器的证据进行融合,得到威胁的发生概率,并在此基础上提出带有时间参数的网络安全态势评估层次化模型;最后利用网络实例数据,对所提出的网络安全态势评估模型进行了验证。实验对比结果表明,该模型对实际网络运行情况的评估更符合实际情况。     

基于网络安全知识库的入侵检测模型

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。     

基于一维卷积神经网络与改进D-S证据理论的警务云安全数据融合技术

针对系统内评估信息来源单一、准确度偏差过大与异构数据提取融合不充分的问题,提出了一种可扩展攻击行为的多源异构网络安全数据融合框架。首先,建立以攻击模式为核心的安全事件分析模型,进一步精简安全数据;其次,针对决策层数据特征提取不足的问题,建立了基于攻击行为的1D-CNN （1D convolutional neural network,1D-CNN）模型,对警务安全数据进行特征学习和重构;为了进一步提高警务云安全数据的分类能力,模型改进了D-S证据理论并结合多源安全数据的可信度进行数据融合。实验分析表明,基于1D-CNN的改进D-S证据理论模型进一步提高了警务云中安全事件的报警识别率,与其他相关技术相比,该模型具有较好的分析能力,对警务云的安全入侵检测和漏洞分析具有重要意义。     

网络安全态势认知融合感控模型

为了分析网络威胁的演化趋势,并探讨安全态势的自主感知和调控问题,将跨层结构和认知环融入模型的设计,提出一种基于融合的网络安全态势认知感控模型,增强网络安全系统的层间交互和认知能力.在分析模型组件及其功能的基础上,利用多源融合算法得到各异质传感器对网络安全事件的准确决策,结合对安全事件威胁等级和威胁因子关系的推演,克服威胁因子获取过程中需处理网络组件间复杂隶属关系的不足,从而提出包含服务级、主机级和网络级的层次化态势感知方法,提高对网络威胁的表达能力.而且通过对态势感知曲线的分析,搭建离散计算和连续控制之间的桥梁,形成闭环反馈控制结构,解决安全态势自感知和自调控的问题.仿真实验结果表明：基于融合的网络安全态势认知感控模型及方法能够融合异质安全数据,动态感知威胁的演化趋势,并具有一定的自主调控能力,达到了认知感控的研究目的,为监控和管理网络提供了新的方法和手段.     

基于安全威胁预测的5G网络切片功能迁移策略

随着虚拟化技术的发展，同驻攻击成为窃取用户敏感信息的重要攻击手段。针对现有虚拟机动态迁移方法对同驻攻击反应的滞后性，在5G网络切片背景下，提出了一种基于安全威胁预测的虚拟网络功能迁移策略。首先，通过隐马尔可夫模型（HMM）对网络切片运行安全进行建模，利用多源异构数据信息对网络安全威胁进行威胁预测；然后，根据安全预测结果，采用相应的虚拟网络功能迁移策略迁移以使迁移开销最小。仿真实验结果表明:利用HMM能对安全威胁进行有效的预测，同时该迁移策略能够有效减少迁移开销与信息泄漏时间，具有较好的同驻攻击防御效果。     

一种融合多源数据的网络安全态势评估模型

网络安全态势评估是目前网络安全领域的研究热点之一。对国内外已有的网络安全态势评估方法进行了分析和比较,提出一种融合多源数据的网络安全态势定量评估模型。同时考虑主机和链路对网络安全态势的影响,将网络安全态势指标归纳为主机安全指标和链路安全指标。采用改进D-S证据理论融合日志记录、告警信息和其他探针数据,得到精简的主机安全事件集合和链路安全事件集合。依据相应的服务信息分别计算主机安全态势和链路安全态势,实现网络安全态势定量评估。通过网络仿真软件构建网络实例,对所提出的网络安全态势评估模型进行了验证,实验结果表明该模型可以准确地对网络安全态势进行定量评估,评估结果能够客观地反映网络安全态势的变化趋势。     

一种松耦合网络安全态势感知模型

提出一个基于Kaplan-Meier生存性分析的松耦合网络安全态势评估模型,用于对网络的历史安全状态进行评估以及对未来安全趋势进行预测。采用生存性分析理论实现多源数据融合与态势评估方法的松耦合,利用KDD99评估数据集建立包含多种节点的网络安全态势评估实例进行仿真分析,以阐明该模型在适应网络结构以及多源数据动态变化方面的优势,在此基础上绘制安全态势曲线图,并与历史安全趋势进行比较,结果证明该评估模型具有较高的准确性与较强的适用性。     

基于多源知识融合的网络安全态势评估方法

网络安全态势评估是当前网络安全领域的研究热点之一。本文对国内外已有的安全态势评估方法进行分析和比较,从主机节点和链路方面对网络安全态势进行评估,提出了一种基于多源知识融合的网络安全态势评估模型。通过将多数据源信息融合获得节点安全态势,利用网络时效熵得到链路安全态势,最后将两者融合计算实现网络安全态势定量评估。通过网络仿真软件进行仿真实验,对所提出的的网络安全态势评估模型进行了验证,实验结果能够客观反映网络安全态势的变化,准确的对网络安全态势进行评估。     

聚类分析和孤立点技术在网络安全态势中的应用

本文介绍了网络安全态势感知、聚类分析算法和孤立点算法,基于网络安全事件中大部分为异常事件的原理,把聚类分析和孤立点技术引入网络安全态势评估,提出了一种利用聚类数据集合和孤立点数据集合计算服务层威胁值的方法,为网络安全态势提供一个可以参考和决策的重要参数。     

多阶段大规模网络攻击下的网络安全态势评估方法研究

针对传统的网络安全态势评估方法一直存在评估偏差较大的问题,为了准确分析网络安全状况,提出一种新的多阶段大规模网络攻击下的网络安全态势评估方法。首先根据多阶段大规模网络攻击下的网络安全多数据源的特点,建立基于信息融合的多阶段大规模网络攻击下的网络安全态势评估模型;然后对大规模网络攻击阶段进行识别,计算网络攻击成功的概率和网络攻击阶段的实现概率;最后利用CVSS中的3个评价指标对网络安全态势进行评估。实例分析证明,所提方法更加符合实际应用,评估结果准确且有效。