基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

基于改进的TCM-KNN DoS检测算法

由于实现方式简单、攻击形式多样、威胁范围广、不易防御和区分,拒绝服务(DoS)攻击已经成为网络的最主要安全威胁之一。该文提出了一种ITCM-KNN算法,在此基础上建立了DoS检测框架。使用标准数据集KDD Cup 1999进行算法验证和分析实验。采用基于信息增益算法选择了5个特征,在保证高检测效果的同时减少了特征的维数。该算法不需要对攻击进行学习和建模,使用少量的正常样本作为训练集,提高了检测性能。实验结果表明,改进的TCM-KNN算法检测率高于SVM等算法,达到99.99%。     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

Network Security Analysis Based on Host-Security-Group

针对目前网络安全分析方法中攻击图规模庞大、生成算法效率低等问题,提出了主机攻击图的生成模型和算法.基于该生成算法,进一步提出了主机安全组的概念及其划分算法.通过对网络中的主机划分安全组,实现对网络安全性的分析.实验结果证明,该分析方法能描述网络整体的安全状况,方便安全管理员找出网络中的关键主机,具有直观、高效和准确等特点.     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

基于主机安全组划分的网络安全性分析

针对目前网络安全分析方法中攻击图规模庞大、生成算法效率低等问题,提出了主机攻击图的生成模型和算法.基于该生成算法,进一步提出了主机安全组的概念及其划分算法.通过对网络中的主机划分安全组,实现对网络安全性的分析.实验结果证明,该分析方法能描述网络整体的安全状况,方便安全管理员找出网络中的关键主机,具有直观、高效和准确等特点.     

一种计算网络告警因果关联置信度的新方法

为提高告警因果关联准确性,提出了将实施单次攻击所需的时间消耗作为随机变量,给出其概率分布模型,在此基础上计算任意2条因果相关告警的时间关联置信度。设计并实现了算法验证程序,利用DARPA 2000入侵检测数据集进行了验证。结果表明,新方法合理地量化了告警时间关联置信度,且计算复杂度低,能为正确关联攻击场景提供支持。     

社交网络中社会工程学威胁定量评估

针对社交网络中社会工程学威胁难以定量评估的问题,提出基于属性攻击图和贝叶斯网络的社会工程学威胁评估方法. 基于社交网络社会工程学攻击过程,定义社会工程学的可利用的脆弱性语义和攻击节点语义,提出相应的脆弱性可利用概率计算方法. 通过分析社交网络中社会工程学攻击模式,模拟钓鱼攻击和跨站身份克隆攻击,根据属性攻击图生成算法构建社会工程学攻击图,采用贝叶斯网络模型对每种攻击路径造成的社会工程学威胁进行量化评估,得到社交网络中个人账号的隐私威胁风险. 通过在Facebook数据集上的实验验证所提出方法的有效性.     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

基于移动Ad Hoc网络的分布式拒绝服务攻击检测算法

提出了一种适用于移动Ad Hoc网络的分布式拒绝服务攻击(DDoS)检测算法,对基于序列分析的Kolmogorov复杂度估值算法做了改进.新算法对网络中的流进行相关分析,并计算序列特征集的复杂度,通过对复杂度分析来检测分布式拒绝服务攻击.仿真实验结果表明,本算法的误检率、检测时间等性能要好于传统的复杂度估计算法.     

基于CPN的UML2.0形式化建模

UML作为一种半形式化建模语言,很难对系统进行动态的仿真与性能评价。基于着色Petri网（CPN）拥有严格的数学理论基础,能够对系统进行图形化的模拟与分析,提出了一种UML的形式化建模方法。对UML2.0顺序图中opt等操作符给出了对应CPN图形的转化规则,实现了用CPN模型描述UML2.0的用例图与顺序图的目的。以一个简单的UML2.0顺序图进行验证,结果表明所提方法是有效的。     

UML图转有色Petri网图文法

为解决由于UML（Unified Modeling Language）缺少精准的语义表达,使其在系统建模过程中不能给出形式化的验证和分析的问题,提出了UML模型转Petri网模型的图文法,利用Petri网的分析验证技术,实现了对UML模型的正确性验证。在设计阶段即发现系统的缺陷,从而减少软件开发后期发现设计的错误而带来的损失,提高系统的正确性和安全性。实验表明了该转换算法的有效性。     

智能运输系统中的中间件技术

分析了智能运输系统存在的问题和重要作用,讨论了ITS电子收费系统的网络拓扑结构。分析了消息队列技术的特点和实用价值,论述了消息队列技术所提供的通信模式及消息队列中间件在ITS中的重要作用。提出了一个适用于ITS的消息中间件的体系结构,用CPN对系统结构和通信协议的正确性和完整性进行了讨论和分析。     

制造系统的Petri网建模

应用Petri网对作为离散事件动态系统的一个简单制造系统进行了建模分析,阐述了Petri网建模的主要特征及方法,介绍了Petri网在制造系统描述中的应用,并以某机器制造车间为研究对象进行了实际建模,给出了相应的Petri网模型.     

一种Petri网结合遗传算法的优化方法及应用

根据实际优化问题,在时间Petri网和着色Petri网的基础上,提出了一种新的扩展Petri网(EPN)模型,并在EPN中定义了条件矩阵Q,给出了Petri网与遗传算法相结合的优化方法和具体算法.使用本优化方法,对一个车间作业(Job-shop)调度问题进行了求解,建立了该Job-shop调度的EPN模型,并采用单个体遗传算法对Petri网模型进行优化,结果证明了该建模和优化方法的有效性和正确性.     

基于网络层的轻负载密钥交换协议的研究

针对如何在无连接的网络层中建立有效的密钥管理机制，提出了一个人工作在网络层的轻负载密钥交换协议，并给出了其Petri网模型。该协议已在一个基于Linux带安全传输通道的防火墙中得以实现。     

基于时间Petri网的铁通调度指挥系统建模与分析

在分析了铁通调度指挥系统(TDS)建模存在的问题后,本文提出了基于时间Petri网的铁通调度指挥系统工作流模型.在此模型中,用时间Petri网表示工作流模型,并分析了基本结构的时序关系.利用在线性时间复杂度内解决时间推理问题的线性推理规则,本文用时间Petri网建立了TDS停机停线的工作流模型.最后,对TDS停机停线的时间性能进行了分析.     

基于Petri Net的BPEL流程建模与分析验证

设计了一个基于Petri Net的Web服务组合流程建模引擎.把BPEL流程的语法元素按其语义转换为Petri Net模板,通过模板组合来得到整个流程的Petri Net模型,并以Petri Net标记语言(Petri Net Mark-up Language,PNML)文件格式来描述Petri Net模型,从而能够利用现有的支持PNML文件的Petri Net分析工具对流程进行分析,通过对Petri Net的性质验证来达到对服务流程的验证目的,以在流程定义阶段发现其存在的问题.实际结果表明,采用该工具可以确保服务组合流程设计的正确性,增加服务组合的可靠性.     

着色网到基本网的等价变换

本文证明了任意一个着色网都可以转换成与其等价的基本网，并给出了这种等价转换的算法。为利用基本网的分析技术分析着色网的性能提供了一种方法。     

可拓推理的Petri网表示

将可拓理论的知识表达与Petri网相结合得到可拓展Petri网EPN(Extension Petri Nets)．EPN不但可以进行传统的逻辑推理以及模糊推理表示,还可以进行可拓推理表示,增强了Petri网对系统可扩展性的描述能力,同时也为可拓推理提供了有效的图形化表示方式,并行推理和数学验证分析方法．