基于NetFlow的网络测量

本文提出了基于NetFlow的网络流量采集,检测整个网络DoS／DDoS攻击的方法,特别是流量变化比较大的大型网站的DoS／DDoS攻击的异常检测和防御。设计的入侵检测系统利用Cisco路由器的NetFlow技术,采集单位时间每个路由器端口的流量大小作为观测序列,采用HSMM（隐半马尔可夫模型）,检测可能存在的攻击,能达到较好的检测效果。     

基于隐马尔可夫模型的复合攻击预测方法

复合攻击成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击。该文分析了传统的攻击预测方法的不足,提出一种基于隐马尔可夫模型的攻击预测方法,该方法使用隐马尔可夫模型中的Forward算法和Viterbi算法识别攻击者的攻击意图并预测下一步可能的攻击。通过实验验证了该方法的有效性。     

面向云环境内部DDoS攻击检测的博弈论优化

结合传统基于虚拟机内省(virtual machine introspection-based, VMI)和基于网络(network-based)入侵检测系统(intrusion detection system, IDS)的特点,提出一种部署在云服务器集群内部的协同入侵检测系统(virtual machine introspection & network-based IDS, VMI-N-IDS)来抵御云环境内部分布式拒绝服务攻击(distributed denial of service, DDoS)攻击威胁,比如“云滴冻结”攻击.将入侵检测系统和攻击者看作是博弈的双方,提出一种针对云服务器集群内部DDoS攻击与检测的博弈论模型;分别给出博弈双方的效用函数,并证明了该模型子博弈精炼纳什均衡;给出了权衡误报率和恶意软件规模控制的最佳防御策略,解决了动态调整云环境内部入侵检测策略的问题.实验表明,VMI-N-IDS能够有效抵御云环境内部DDoS攻击威胁.     

基于数据融合的入侵防御模型

首先分析了目前比较热门的入侵防御系统的体系结构,并指出了传统单个入侵防御系统会导致单点故障、拒绝正常服务等一系列问题,同时还存在不能检测分布式协作攻击和未知攻击及性能等问题。为了解决传统IPS上述的缺点,在原有的两类入侵事件的基础上重新划分,把入侵事件分为三类,并结合多传感器数据融合技术和入侵容忍技术提出一种深度入侵防御模型。最后通过仿真实验验证了该模型检测和防御入侵的可行性。     

基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

Web入侵检测系统高效多模式匹配算法*

针对Web入侵检测系统中存在的攻击模式误匹配与效率问题,提出了一种高效的多模式匹配算法MPMA。MPMA通过构建比较树,并在比较树的每个节点中记录下次比较的字符位置以提高比较效率,并利用（模式,偏移）信息对来搜索可能符合的匹配模式。详细的实验以及与现有算法的比较表明,提出的MPMA不仅适合于Web入侵检测系统,同时在时间、空间和匹配率性能上具有更高的效率。     

一个新的SYN Flood攻击防御模型的研究

针对现有的SYN Flood攻击防御方法的不足,本文提出了一个基于TCP连接三次握手的新的防御模型。当系统检测到SYN Flood攻击后,立即把那些占用系统资源的带有典型攻击特征的第一次握手请求永久抛弃,以保证新的正常请求能够被接受;而把其他带有疑似攻击特征的第一次握手请求暂时抛弃,尔后启动自适应学习模块来修正现有的入侵模式,最后再启动SYN Flood攻击检测模块来进一步精确判定。在此基础上设计实现了一套新的SYN Flood攻击防御系统。实验测试结果表明,本入侵防御系统能有效地帮助整个系统提高对抗SYN Flood攻击的能力。     

一种深度入侵防御系统的研究和设计

分析了传统的入侵防御系统,在指出其优势和不足的基础上,把检测事件分为3类,结合多传感器数据融合技术和入侵容忍技术,提出一种基于深度防御原则的“检测防御一分析响应”双层防御模型。为解决传统入侵防御系统易于导致新的拒绝服务攻击等问题提出了一种方案,并且在一定程度上提高了系统性能。通过仿真实验验证了该模型检测和防御入侵的可行性。     

基于隐马尔可夫模型的态势评估方法

针对目前日益复杂的网络安全环境,提出一种基于隐马尔可夫模型（HMM ）的态势评估方法。以入侵检测系统的输出（报警事件）为处理对象,采用隐马尔可夫随机过程作为分析手段,建立描述网络系统受到攻击后安全状态转移的隐马尔可夫模型;在此基础上,通过Baum‐Welch （BW）算法对模型参数进行优化,使用量化分析方法得到整个网络态势的定量评价。通过实验验证了该方法能比较准确地反映网络的安全态势,具有良好的应用前景。     

网络入侵事件防御决策技术研究

针对传统入侵检测系统对付复杂攻击防御时暴露出的不足,提出利用数据挖掘技术进行网络入侵事件协同分析,建立关联规则与序列规则模型,并结合两者进行全局信息推理获取复杂攻击模式.重点研究了复杂入侵事件的防御决策技术和基于有限自动机的危机分析方法,详细分析了防御决策向量的制定过程以及防御知识的表示问题.实验结果表明,所提出的模型和方法能通过提前确定防御点增强系统防御的实时性与有效性.     

基于演化博弈的最优防御策略选取研究

无线传感器网络极易遭受各种安全威胁,基于博弈论的入侵检测方法能有效平衡网络的检测率和能耗,但是基于完全理性假设的传统博弈模型存在不足。因此,针对不同的攻击方式,引入演化博弈理论,从攻防双方的有限理性出发,构建入侵检测攻防演化博弈模型,然后利用复制动态方程分析了攻防双方策略的演化趋势,提出了最优防御策略选取算法。仿真实验表明了所提模型的合理性和算法的有效性,与其他策略相比,所提防御策略更贴合实际应用场景,在保证检测率的前提下,减少了资源消耗,延长了网络生存时间。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

基于演化博弈的拟态防御策略优化

网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,本文在目前已有的防御系统基础上提出更为合理的防御选取方法。将有限理性的演化博弈引入到拟态防御中,构建了由攻击者、防御者和合法用户组成的三方演化博弈模型,并提出了最优防御策略求解方法。该博弈模型利用复制动态方程得到了演化稳定策略。仿真实验结果表明,系统通过执行推理的演化稳定策略可以降低损失,遏制攻击方的攻击行为,对拟态防御系统中防御策略选取和安全性增强具有一定的借鉴意义。     

基于蠕虫传播和FDI的电力信息物理协同攻击策略EI北大核心CSCD

随着信息技术与现代电力系统的结合日趋紧密,通信系统异常和网络攻击均可能影响到电力系统的安全稳定运行.为了研究工控蠕虫病毒对电网带来的安全隐患,本文首次建立了基于马尔科夫决策过程(Markov decision process,MDP)的电力信息物理系统跨空间协同攻击模型,该模型同时考虑通信设备漏洞被利用的难易程度为代价以及对电力网络的破坏程度为收益两方面因素,能够更有效地识别系统潜在风险.其次,采用Q学习算法求解在该模型下的最优攻击策略,并依据电力系统状态估计的误差值来评定该攻击行为对电力系统造成的破坏程度.最后,本文在通信8节点-电力14节点的耦合系统上进行联合仿真,对比结果表明相较单一攻击方式,协同攻击对电网的破坏程度更大.与传统的不考虑通信网络的电力层攻击研究相比,本模型辨识出的薄弱节点也考虑了信息层的关键节点的影响,对防御资源的分配有指导作用.     

基于Stackelberg-Markov非对等三方博弈模型的移动目标防御技术

易攻难守是当前网络安全面临的核心问题之一.移动目标防御技术对被保护系统的攻击面实施动态持续性变换,从而降低攻击者成功的概率.随着移动目标防御领域的研究进展,如何优化动态防御策略,实现成本和收益均衡的智能防御已经成为关键的研究点.移动目标防御的现有优化模型往往存在对目的性较强的实际攻守场景描述不当、无法预测参与者后续策略、缺乏对系统用户的考虑等问题.针对这些问题,本文创新性的将用户作为移动目标防御博弈中的第三方参与者,结合Stackelberg博弈和Markov模型来构建非对等三方博弈,以确定移动目标防御的最优策略.数学分析和仿真实验表明,本文提出的模型能够兼顾防御者和用户的成本和收益,避免过度的防御和不适宜的防御,有效的实现防御策略智能决策.     

基于微分博弈的移动目标防御最优策略

目前,针对移动目标防御最优策略研究大多采用经典单/多阶段博弈和Markov博弈模型,无法在连续实时网络攻防对抗中进行灵活决策.为实现实时选取最优移动目标防御策略,在研究节点级传染病模型与微分博弈理论的基础上,提出了一种移动目标防御微分博弈模型,对网络空间重要节点构造安全状态演化方程与攻防收益目标函数,并设计开环纳什均衡求解算法以得出最优防御策略.仿真结果表明,该方法可有效对网络攻击进行实时防御,并且可针对网络关键节点制定相应移动目标防御策略.     

基于单点多步博弈的网络防御策略选取方法

当前复杂环境下网络安全问题频发,而现有攻防博弈网络防御模型未考虑网络攻击单点多步的特性,无法有效进行网络防御.针对网络攻防实际需求,通过模拟攻防环境和过程,提出一种基于单点多步网络攻防博弈模型的防御策略选取方法.建立单点多步攻防博弈模型,将全局博弈缩小为漏洞上的局部博弈以适应各种防御体系的攻防分析,采用漏洞评分系统量化...     

基于DS证据理论的无线传感器网络MAC层安全研究*

研究了无线传感器网络MAC层安全问题,分析了现有无线传感器网络MAC层协议安全体系的不足之处,针对无线传感器网络遭到非法入侵的情况,提出了一个基于D-S证据理论的MAC层入侵检测机制。该机制利用碰撞率、数据包平均等待时间、RTS包到达率以及邻居节点的报警作为证据,对网络的状态进行实时的分析检测,根据网络的状态作出响应。该算法能够应用于现有的MAC协议如S-MAC、IEEE 802.15.4中,仿真结果表明,该算法能够较好地抵御针对MAC层的攻击,保证网络的安全运行。     

基于攻防博弈和随机Petri网的DDoS攻防对抗评估

为了对DDoS攻防行为进行有效评估以防御DDoS攻击,本文首先对DDoS攻防评估研究现状进行了分析,然后基于随机Petri网建立了DDoS攻防行为对抗网,提出了以攻防稳态概率作为攻防行为评估的依据,紧接着基于攻防博弈提出了攻防博弈策略求解方法,最后对本文所建立的DDoS攻防行为对抗网进行稳态分析并综合考虑攻防行为收益和攻防行为强度两方面因素进行了仿真评估,评估结果表明本文方法更具合理性和针对性.