基于蚁群算法的电力数据网络APT攻击预警模型

高级持续性威胁(Advanced Persistent Threat, APT)是通过预先对攻击对象的业务流程和目标系统进行多维度、多阶段、多对象的持续信息采集，隐匿地实现网络空间的数据窃取。电力网络具有天然的稳定性需求，其覆盖广、涉及面大、灾后损失大。当前APT攻击预警技术存在网络节点碎片化的有限安全域以及全域特征动态检测问题。本文提出基于蚁群算法的电力数据网络APT攻击预警模型。通过设计电力网络的全域可信系统模型，采用流形进行安全边界扩散，将碎片化节点进行柔性关联，确保全域安全控制。构建APT攻击的时效模型，实现攻击对可信系统的损害分析。将APT攻击特征等效为蚁群信息素，实现对APT攻击的自动跟踪和适应。通过实际测试表明，蚁群APT监测预警算法的预警精度有效提升12.6%。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

基于攻击树和Agent技术的攻击模型

在传统的黑客攻击的基础上，讨论了攻击树的模型，提出了攻击树的一般算法和基于攻击树和Agent技术的攻击模型，并阐述了攻击Agent自身的安全及稳定性问题。这种模型使得攻击非常难以预测和防范，并大大提高了攻击成功的可能性。     

基于阶段特性的APT攻击行为分类与评估方法

APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。     

攻击模型BBFPAN分层的新方法

针对以模糊Petri网为理论基础的网络攻击模型BBFPAN自学习能力差的缺点,提出了一种新的适用于对攻击模型BBFPAN进行层次式划分的分层算法,为将神经网络理论引入攻击模型的研究奠定了基础。     

基于LSTM模型的APT攻击信道检测方法

高级持续性威胁(APT)对网络安全构成了严重威胁.与种类多、变化快的攻击代码相比,APT攻击中的控制命令服务器(C&C服务器)间通信往往具有特定模式,黑客使用域名生成算法(DGA)生成C&C域名用来逃避域名黑名单检测.通过对APT攻击中使用的域名进行分析,利用大量C&C域名和高信誉域名作为黑白样本,训练LSTM算法模型...     

攻击模型的分析与研究

保护网络安全必须对网络攻击技术进行深入研究,攻击模型能对攻击过程进行结构化描述和有效分析,有助于安全知识的共享以及提高攻击检测和安全预警的效率。对目前常用的几种攻击模型进行了分析与对比,并对攻击模型研究的发展作了展望。     

图像分层表示的最优分割和线性二元树

本文提出了用于图像处理和压缩的一种有效的图像分层表示方法,讨论了图像的最优或最大块分割和一种线性二元树之间的关系.这种方法比线性四元树和指针四元树法在存储空间和一类图像处理算法方面更加有效.     

一种用于威胁检测的反目标攻击树模型

近年来,由于系统漏洞增多、网络入侵手段不断演化、黑客技术不断更新,导致网络攻击变得复杂多样化。然而,传统攻击树模型的质量高度依赖于分析师的知识和技能水平,主观性强,在表达攻击意图及攻击操作的关系上存在不足,很难实现攻击模型的自动构建。为了能够高质量地检测系统资产潜在的安全威胁,并支持自动化检测的实现,文中提出一种基于攻击者意图的反目标攻击树模型及其构建方法。该模型从攻击者的意图出发,通过对反目标元素的迭代分解来描述攻击者的攻击过程和攻击目标,并以攻击树的形式进行表达,从而高效地发现系统的安全问题。基于Datalog语言给出反目标攻击树模型分解策略的形式化描述并定义了推理规则,为反目标攻击树模型的自动构建以及攻击威胁的自动检测提供了支持。将所提方法应用到真实的攻击案例场景中进行分析,成功地检测出了被攻击系统的实际攻击场景和潜在安全风险,证明了所提方法的有效性。     

非对称信息条件下APT攻防博弈模型

针对目前缺少对高级持续威胁（APT）攻击理论建模分析的问题,提出了一种基于FlipIt模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。     

APT样本逻辑表达式生成算法

深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减少冗余及无用APT样本特征处理时间消耗,提高情报分析共享速率,积极应对复杂多变的APT攻击态势。实验采用自助法对APT1样本进行抽样,将样本分成实验集及训练集,再分别利用该算法与IOC_Aware插件对训练集生成逻辑表达式,对比表达式本身及检测效果上的差异。实验结果表明,该算法是有效的,并能提高检测效果。     

一种基于层次分析法的攻击树模型改进

针对传统攻击树模型在计算攻击事件发生概率时未考虑各安全属性权值的不足,设计了一种基于层次分析法的攻击树模型。在计算攻击事件发生概率时,首先给每个叶节点赋予不同安全属性;然后根据攻击者意图和系统特征比较各安全属性对攻击事件发生概率的影响程度,构造判断矩阵;最后对所得矩阵进行一致性检验,若符合要求,则将其特征向量进行归一化处理,即得各安全属性权值。实际应用表明,利用该方法计算所得出的攻击事件发生概率更贴近系统实际。     

基于潜在Dirichlet分布的图像分层表示模型

现有的图像分层表示方法严格局限于前馈型方式,不能较好地解决局部模糊性等问题。基于此,文中提出一种学习和推断层次结构所有分层的概率模型,它考虑递归的概率分解过程,通过推导得到金字塔式多层结构的潜在Dirichlet分布的衍生模型。该模型存在两个重要特性:增加表示层可提高平面模型的性能;采用全Bayesian概率方法优于其前馈型实现形式。在标准识别数据集上的实验结果表明,与现有的分层表示方法相比,该模型表现出较好性能。     

基于领域相关语言的拒绝服务攻击描述语言设计

鉴于抗攻击测试对攻击操作可信、可控、有效的基本要求,面向拒绝服务(DoS)攻击实现,基于领域相关语言(DSL)的思想,设计简单快速实现测试用例的DoS攻击描述语言(DASL)。通过定义攻击元,并基于对样本的分析设计构造语言的领域相关语法元素;利用LIBNET实现语言的语义功能函数;以ANTLR为支撑,设计实现语言的解释环境。实验验证表明,利用该语言构建DoS攻击,在保证功能有效、过程可控的前提下,能够大幅降低DoS攻击开发过程的复杂程度,减少代码编写量,提高开发效率。该语言的建立,确保了抗攻击测试过程中DoS攻击操作的基本要求,为实施DoS攻击渗透测试的提供了有力保障。     

差分能量攻击样本选取方法

为了解决差分能量攻击(DPA)中的样本选取问题,提出了一套样本选取方法。方法从所使用的实验平台出发,通过理论分析提出样本选取方式和数量,然后进行实验验证。以AES算法为例,分别进行了仿真实验和实测实验,验证了所提出的选取方法的准确性。结果表明,仿真攻击的明文样本应该按顺序取,数量为一个全排列,而实测攻击应该直接采用大量随机数,两者对明文样本的要求存在较大差别。     

基于通信特征的APT攻击检测方法

高级持续性威胁（APT）已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。     

用于XML模式和DTD设计的层次分解

对于XML模式和DTD规范化设计,现在开展的研究不多,而且才刚起步。W.Provost提出将关系数据库理论应用于XML模式规范化设计的思想,这一思想还没有付诸实施。该文给出表示XML模式和DTD的层次模式和用于XML模式和DTD规范化设计的层次分解过程,并对产生的层次模式进行分析。在算法产生的层次模式中,完全MVD和嵌入MVD的集合由给出的MVD集合导出。