基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

基于关联规则自动建模的入侵检测模型

介绍了入侵检测的作用、类型和原理,针对入侵检测系统中由于模式库更新不及时造成的高误报率和漏报率,提出了协同数据挖掘的入侵检测模型.该技术依据关联规则,自动发现事物间联系的特性,利用关联规则自动生成模式库,并针对传统Apriori算法的缺陷引入加权关联规则.实验结果表明,该模型对已有的典型攻击检测率为90%以上.     

协同空战中的通信策略

针对协同空战的特点，对协同空战的指挥控制关系和通信方法进行了分析，运用言语行为理论对协同空战的通信行为进行了描述。根据协同空战的特点，设计了基于联合作战目标的战役级通信策略和基于联合作战意图的战术级通信策略，并以2对2空战为例，进行了仿真。仿真结果表明，基于言语行为的通信行为和策略在空战中能有效地引导飞机进入有效的攻击位置，协调各机的攻击行为，使编队的整体作战效能得以提高。     

考虑电压控制的信息物理协同攻击模型

随着电力信息物理系统的高度融合，信息物理协同攻击对电网的运行构成巨大的威胁。基于完全信息下的攻防策略，构建了考虑电压控制的两阶段协同攻击模式。首先分析了针对电压控制的虚假数据注入攻击；然后建立了信息物理协同攻击双层优化模型，上层模型优化物理和信息攻击点；为考虑物理攻击后果对信息攻击实施的影响，下层为模拟物理和信息攻击下的二阶段攻防模型；最后，以改进的IEEE14、IEEE57节点系统为例，对所提模型进行仿真验证。仿真结果表明，协同攻击较单一打击更加有效、隐蔽，物理攻击点的选择和系统负荷的大小都能影响协同攻击的效果；并揭示了随机物理打击下最优信息打击点的特征，为防御此类协同攻击提供参考。     

基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

Honeynet中的告警日志分析

提出一种带有告警日志分析的蜜网（honeynet）架构设计和告警日志分析模型. 将网络入侵检测和主机入侵检测的告警信息相结合,利用网络信息和告警相似度函数进行告警过滤和融合,采用改进的Apriori算法挖掘告警的关联规则,并通过匹配规则形成最终的攻击报告. 实验表明,该方法能有效减少honeynet中冗余的告警,分析出honeynet系统遭受攻击的关联关系,并展现攻击场景.     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

利用分治策略实现DDoS攻击路径标识题

针对分布式拒绝服务(DDo S)攻击防御中的数据包标记溯源技术,基于分治策略提出用简单的递归关系分别表示攻击树构、攻击路径频率检测、数据包和路径关联这3个基本防御实现,使用单数据包带内路径标识符用于唯一的数据包和路径关联,而把攻击树构建及攻击路径频率作为独立的带外操作来处理.通过在真实网络拓扑环境下对网络流量和存储开销的测试,证明本方法可以高流量负荷下以很小的开销同时对大量受害主机的提供单一数据包回溯保证.     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

电力假数据注入攻击的残差检测方法效率分析

传统的恶意数据检测从数学理论出发，通常以残差方程为基础，根据目标函数的偏离进行检测。虚假数据注入攻击（FDIA）通过构造与雅克比矩阵列向量线性相关的攻击矢量，针对电力系统状态估计发起蓄意攻击。理论上FDIA躲过了电力系统的恶意数据检测机制，使原方法对于FDIA失效。结合CPS分析了恶意数据检测的原理，以及假数据注入攻击的原理和方式。在IEEE 30和IEEE 118节点系统上，通过仿真实验的方法，对FDIA使用标准残差检测法和目标函数极值法进行检测。实验结果证明了传统的不良检测对假FDIA的局限性。     

基于多层加权聚类的网络攻击检测方法研究

提出了一种基于多层加权聚类的网络攻击检测方法,通过计算多层聚类加权的均值,设定每个攻击事件的加权平均值,对异构多层攻击进行有效整合,解决了多层攻击事件检测结果不一致带来的检测不准的问题。实验证明,这种方法能够有效整合多层攻击事件,保证了网络的安全,取得了满意的结果。     

APT攻击检测与反制技术体系的研究

高级持续威胁（APT）是近年兴起的新型网络攻击,一直受到网络安全界的重视。该文通过研究近十年150余项典型APT案例,形成针对APT攻击的分析模型,提出了当前APT攻击检测与反制亟需解决的4项问题,即:渗透防护脆弱、检测精度低、攻击范围取证困难、未知新型攻击响应慢。同时,该文对近年来典型性APT攻击事件进行取样分析,以攻击组织使用的工具集为基础,对攻击工具集进行关联挖掘。实验得出,同一组织使用的工具集间存在相似性规律。综上所述,该文研究的APT整体防御方案包括了4类防御方案的最新成果分析及归纳,对于构建统一的攻击检测与溯源反制平台起到支撑作用。     

小样本纠错的多层入侵检测分类研究

入侵检测对于网络安全至关重要,不平衡或易混淆的训练样本往往导致传统入侵检测算法效率不佳。为此,提出一种小样本纠错的多层检测分类模型。首先,通过正交投影降维分类算法,使用入侵检测数据集的训练集构建第一层的初筛分类器,将待测样本粗分为三类;然后基于支持向量机及随机森林算法构造第二层和第三层的级联分类器组,每层逐步纠错前面层,并细分至五类;最后,用开源入侵检测评测数据集NSL-KDD进行实验。实验结果表明,本文的方法显著提高了对于拒绝服务攻击（Denial of Service,DoS）、探测攻击（Probe）、未经授权的远程访问（Remote to Local,R2L）类攻击样本的准确率,整体召回率及准确率优于同类研究。     

面向P2P网络的DDoS攻击抑制方法

提出了一种分布式的基于对P2P网络中各节点进行分级的DDoS攻击抑制方法,采集了多个能分别反映当前节点本身或周围节点网络状况的评级因子,并通过不确定性推理确定当前节点分级值.分级值决定转发率.使用线性分类作为丢包策略对需发送数据包进行分组、丢弃,以降低误报率.仿真实验表明该方法能够有效抑制P2P网络上的DDoS攻击,提...     

基于主机的Smurf攻击防御系统设计

Smurf攻击为DoS攻击中较为常见的一种.它利用TCP/IP协议自身的缺陷,结合使用IP欺骗和ICMP回复方法,导致网络严重的拥塞或资源消耗,引起目标系统拒绝提供合法服务,从而对网络安全构成重大威胁.该文在分析Smurf的原理和特征的基础上,提出了这种攻击的监测方法和防范技术,建立了一套较完善的Smurf攻击防范系统,并给出了系统的整体实现以及测试数据.     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。