基于零信任网络的APT攻击防御模型探究

随着互联网应用技术的飞速发展,网络攻击逐渐表现为多层级、高渗透和智能化等特点。其中,APT攻击在近年愈演愈烈,严重威胁着国家安全和社会稳定。文章着眼于震网事件,通过剖析攻击特点、攻击过程,采用逆向分析,提出了一种基于零信任网络的APT攻击防御模型,并给出了针对APT高级攻击的一般防范思路和防御措施。     

APT攻击下的无线通信网络最优主动防御决策模型

最优主动防御决策可以保障无线通信网络的安全稳定性,为了提高无线通信网络的防御效果,提出了APT攻击下的无线通信网络最优主动防御决策模型。关联无线通信网络日志,构建APT攻击对象集合,通过反馈相容系数计算APT攻击事件的绝对相容度,并预测APT攻击行为。基于APT攻击源对无线通信网络攻击的信道带宽,获取无线通信网络受到APT攻击的位置,利用无线通信网络节点的权值系数,提取无线通信网络的APT攻击特征。利用攻防图,计算得到APT攻击对无线通信网络的损害程度,通过定义无线通信网络的安全状态,构建了无线通信网络最优主动防御决策模型。实验结果表明,所提模型在防御无线通信网络的APT攻击时,可以将攻击数据包拒包率和吞吐量分别提高到90%以上和16 000 bit/s以上,并且时延较低,具有更好的防御效果。     

战场网络攻击效能评估技术

战场网络攻击效能评估是网络攻击研究的重要内容。从网络安全着重点出发，在综合分析网络主要性能指标基础上，提出了基于网络“性能损失率”的攻击效能评估方法。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

基于频繁模式挖掘的网络安全防护

针对现有网络攻击手段复杂多样,传统的网络安全防护设备无法应对变化多样的网络攻击手段的问题,提出一种基于频繁模式挖掘的网络安全防护方法。该方法在融合多源报警数据源的基础上,采用频繁模式挖掘多步攻击模式,获得高层次的攻击语义和攻击证据;最后,采用DS证据理论融合多条证据,结合网络各主机的威胁态势及重要程度衡量整个网络态势风险值,实现网络安全态势评估。     

电子政务系统的可生存性策略研究

网络系统可生存性是对传统网络安全观念的突破和创新,是综合网络系统安全性、可靠性、容错性等领域研究成果的新方向。在网络攻击不可避免、安全防御机制失效的情况下,如何能保证电子政务系统的可生存性是当前研究的重点。通过对电子政务系统网络特点与安全威胁的分析,并在对可生存性网络信息系统的一般模型分析的基础上,提出了电子政务系统安全可生存性模型。该模型主要针对电子政务的外网、专网、内网3个层次进行了安全对策的研究分析。     

一种基于网络熵的计算机网络攻击效果定量评估方法

提出了一种基于网络信息熵的计算机网络攻击效果定量评估模型。从计算机网络受攻击前后安全特性变化的角度,提出了网络熵的概念。由选取和简化合适的网络安全性能指标体系入手,借助于层次分析法(AHP),着重分析了网络熵差的计算方法,并给出了基于网络熵的攻击效果评估系统的实现思路和相应的模型校验方法。经过初步测试和计算,结果表明该模型能够比较合理地反映实际的网络攻击效果。     

基于隐马尔可夫模型的风险评估方法

针对网络攻击场景下一段时间内信息系统面临的安全风险,文中提出一种基于隐马尔可夫模型的风险评估方法,将网络主机的漏洞建模为隐马尔可夫模型中的状态,将可能受到的攻击建模为隐马尔可夫模型中的观察值,求解一段时间内的成功攻击概率;根据攻击成功后产生的代价和成功攻击的概率,得到时间段内总风险度量值。该方法可从整体角度对网络攻击场景下一段时间内的信息安全风险进行量化评估。     

网络熵在计算机防攻击中的安全化实践应用

分析了网络熵在计算机防护攻击中的应用。在网络安全指标选取基础要求的前提下,分析基于网络熵效果评估,量化指标,得到安全性度量,构建定量评估模型,系统设置子模块包括基本参数、攻击目的以及服务类型。采用灰色关联度表示评价指标,利用Libpcap库函数进行数据采集,设计系统实现框架图。搭建安全评估系统,发动模拟攻击,验证效果评估模型有效性,计算机防护攻击评估模型能够反应网络攻击效果。计算机防护攻击模型能够定量评估网络攻击效果,可操作性强。     

基于贝叶斯网络的攻击事件智能发掘模型

针对目前传统入侵检测系统难以得出网络攻击行为之间存在的关联关系问题,以攻击图表示模型为指引,提出一种基于贝叶斯网络的攻击事件智能发掘模型。本文以先验知识建立贝叶斯攻击行为关联图。基于属性相似度聚合网络攻击行为,针对网络攻击场景设计高效的ExApriori算法发掘攻击行为间的关联规则,并建立攻击行为组集。利用贝叶斯攻击行为关联图的参数对攻击行为组集进行计算,实现对攻击事件的发掘。实验表明,本模型能有效提取网络攻击事件及发现攻击路径,为网络攻击事件的发现与应对措施提供理论支持和技术支撑。     

网络APT攻击及防范策略

APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。目前,国内外对APT攻击的研究主要由安全厂商进行,其侧重点在于通过安全事件、威胁的分析导出企业的安全理念,忽视了对APT攻击机理、产生背景等进行整体而细致的剖析。这里从APT的规范定义及特征入手,对攻击发起的背景、步骤等进行了较详尽的描述,给出了检测、响应和预防APT的可行方法。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

支持高速多媒体网络生存性的QoS体系

高速多媒体网络中,如何提供服务质量（ＱｏＳ）保障是最核心的研究问题。同时,网络的生存能力正日益受到关注。这意味着网络系统不仅要在正常情况下,而且要在故障发生时,保障关键应用的服务质量。为此,我们针对生存性要求扩展了网络系统的ＱｏＳ机制,将ＱｏＳ机制与快速故障恢复机制集成在一起,首次提出了支持生存性的ＱｏＳ体系。最后,给出了在ＡＴＭ网络中的示例原型。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

进阶持续性渗透攻击的特征分析研究

进阶持续性渗透攻击是一类针对特定组织或者目标的一系列攻击行为的总称。这种攻击具有渗透行动上的复杂性和攻击手段上的多元性。通过对于进阶持续性渗透攻击的流程分析发现:进阶持续性渗透攻击在发展过程中具有长期性和阶段性,其中攻击行为在静态和变化态中交替转换;另一方面,进阶持续性渗透的一系列攻击在使用攻击方法上同时使用现有的多种手段,具有非单一性和间接性,使得受害方难以发现并且单一防范工作难以奏效。     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

通信网络拓扑抗毁性评估算法研究

首先论述了当前主要网络拓扑抗毁性评估技术,然后根据实际工程应用需求,提出了一种新的通信网络拓扑抗毁性评估模型与算法,同时用计算机对模型和算法进行了仿真验证。该算法能求出通信网络拓扑图中各节点抗毁性度量值以及这些度量值的均方差,且把节点抗毁性度量值均方差作为整个网络拓扑的抗毁性量度。计算机仿真结果表明,利用该模型算法可以发现拓扑图中关键节点,同时度量值均方差可以准确评估给定连通网络拓扑图的抗毁性能。