基于信息融合的入侵检测模型与方法

研究了入侵检测系统(IDS)研究现状，针对当前IDS系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引入信息融合和多传感器集成的观点，提出了一个多层次的IDS推理框架和原型系统．该原型系统采用贝叶斯网络作为多传感器融合的工具，用目标树的方法来分析协同攻击的攻击企图，并最终量化系统的受威胁程度．相比现有的IDS，该原型的结构更加完整，能够更容易发现协同攻击并有效的降低误报．     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

P2P网络中基于矢量空间的分布式信任模型

传统安全方案已无法解决P2P网络中诸如服务欺骗和节点滥用资源的问题．基于信誉的信任系统可以抑制该类恶意行为，但容易受到节点有策略的改变服务质量和提供不诚实回馈信息的攻击．借助社会网络信任关系模型，利用“时间敏感因子”来提高信任模型检测节点行为的敏感性，通过基于矢量空间模型的推荐可信度来防止节点的串谋和诋毁攻击，从而构建了一个基于矢量空间的分布式信任模型，并基于R-Chain给出了该模型的分布式实现方案．模拟实验和分析表明，该模型简单有效，且具有较好的工程可行性．     

基于贪心策略的多目标攻击图生成方法

为解决网络脆弱性分析中攻击图生成方法存在的状态组合爆炸问题,使生成的攻击图能用于网络中多个目标主机的脆弱性分析,本文提出了一种基于贪心策略的多目标攻击图生成方法。该方法引入节点关联关系,采用贪心策略精简漏洞集,从所有攻击路径中选取使攻击者以最大概率获取网络节点权限的攻击路径,生成由这些攻击路径所构成的攻击图。算法分析和实验结果表明,该方法的时间和空间复杂度都是网络节点数和节点关联关系数的多项式级别,较好地解决了状态组合爆炸的问题,生成的攻击图覆盖了攻击可达的所有节点,能够用于网络中多个目标主机的脆弱性分析。     

基于精简状态空间的攻击图生成算法*

针对网络攻击图算法状态空间过大、攻击路径不明确等制约着攻击图在网络安全分析中应用的问题,提出了一种基于精简状态空间的改进算法。该算法以网络状态作为一个整体进行分析,动态生成网络中所有可达的网络状态,并枚举出所有攻击路径。由于明确界定了网络状态空间,使算法生成的状态空间得到控制。改进了攻击图表示方法,使得攻击路径清晰。通过实例分析证明了算法模型适合全面分析网络安全性和攻击者可能采取的行为方式。     

基于移动agent的DDoS攻击协同防范技术研究

分布式拒绝服务攻击（distributed denial—of—service，DDoS）已经对Internet的稳定运行造成了很大的威胁。近两年来，DDoS的攻击方法和工具变得越来越复杂，越来越有效，追踪真正的攻击者电越来越困难。从攻击防范的角度来说现有的技术仍然不足以抵御大规模的攻击。文中通过分析DDoS攻击原理以及DDoS攻击行为，提出了一个基于移动agent的分布式协同入侵检测模型。该模型通过构建本地人侵检测模块和反DDoS实体模块来协同对分布式拒绝访问攻击形成大面积网络预警机制，以达到在陷于大规模分布式拒绝访问攻击时，能够最小化检测和反应时间，并进行自动响应。     

DDoS攻击分类与效能评估方法研究

DDoS攻击是一类常见而又难以防范的网络攻击模式，对Internet网络系统的正常运行构成了巨大威胁。DDoS攻击的分类方法和攻击效能评估是计算机网络攻防对抗研究的一项重要而紧迫的任务。本文介绍了DDoS攻击的原理、方法、一般概念和主要目标，研究了基于攻击代理的传播模式、通讯方式、作用机制等特征的DDoS攻击分类方法体系，分析了DDoS攻击的攻击效能评价指标体系。在分析了DDoS攻击效能评估的特点的基础上提出了DDoS攻击效能评估的模糊评价评估模型。     

一种基于协同机制的攻击源追踪方法

为了在分布式网络追踪系统中协调监控代理,及时共享多点采集的追踪数据合作定位网络攻击源，提出一种基于协同机制的攻击源追踪方法。该方法设计了自适应协同聚生追踪协议，通过在各监控代理间交互查询消息来实现监控代理间的协同追踪和攻击路径重构。实验分析表明,该方法提高了追踪信息的有效聚生和攻击源定位的准确性。     

网络加密流量侧信道攻击研究综述

网络加密流量侧信道攻击通过分析、提取网络应用通信过程中泄露的数据包长度、时间等侧信道信息,能够识别用户的身份和行为,甚至还原用户输入的原始数据。基于信息论建立了网络加密流量侧信道攻击模型,使用统一的模型框架分析了代表性的指纹攻击、击键攻击和语音攻击的方法和效果,讨论了基于隐藏数据包长度和时间信息的防御方法,结合技术发展前沿对未来可能的研究方向进行了展望。     

基于数据挖掘的异常入侵检测系统研究

网络上不断出现新的攻击方法，要求入侵检测系统具有能检测新的未知攻击的异常检测能力。本文提出了一个基于数据挖掘的异常入侵检测系统ADESDM。ADESDM系统提出了同时从网络数据的协议特征，端口号和应用层数据中挖掘可疑行为的方法。在挖掘过程中，不但采用了基于强规则的关联规则挖掘方法，还针对强规则挖掘方法的缺点，提出了基于弱规则的关联规则挖掘方法，来检测那些异常操作少，分布时间长等不易检测的的网络攻击。同时利用网络通信的时间、方向、端口号、主机地址等属性之间的影响，建立以各属性为节点的贝叶斯网络作为异常判别器，进一步判别关联规则挖掘中发现的可疑行为，提高了系统检测的准确率。     

基于时序逻辑的3种网络攻击建模

与其他检测方法相比,基于时序逻辑的入侵检测方法可以有效地检测许多复杂的网络攻击。然而,由于缺少网络攻击的时序逻辑公式, 该方法不能检测 出常见的back,ProcessTable以及Saint 3种攻击。因此,使用命题区间时序逻辑(ITL)和实时攻击签名逻辑(RASL)分别对这3种攻击建立时序逻辑公式。首先,分析这3种攻击的攻击原理;然后,将攻击的关键步骤分解为原子动作,并定义了原子命题;最后,根据原子命题之间的逻辑关系分别建立针对这3种攻击的时序逻辑公式。根据模型检测原理,所建立的时序逻辑公式可以作为模型检测器(即入侵检测器)的一个输入,用自动机为日志库建模,并将其作为模型检测器的另一个输入,模型检测的结果即为入侵检测的结果,从而给出了针对这3种攻击的入侵检测方法。     

The detection of Udpstorm attacks based on model checking linear temporal logic

The intrusion detection based on model checking temporal logic is effective in detecting the complicated and variable network attacks. However, certain types of attacks remain undetected due to the lack of formal models. To solve this problem, a linear temporal logic is employed to model the variable patterns of Udpstorm attacks. First, an analysis of the principles of Udpstorm attacks is given and the details of these attacks are transformed into atomic actions. The atomic actions are then transformed into action sequence. Finally, this type of attacks is expressed in Linear Temporal Logic (LTL) formulas. With the formula thus obstained used as one input of the model checker and the automaton, which expresses the log, used as the other input of the model checker, the results of intrusion detection can be obtained by conducting the LTL model checking algorithm. The effectiveness and the comparative advantages of the new algorithm are verified by the simulation experiments.     

Optimal mixed block withholding attacks based on reinforcement learning

The vulnerabilities in cryptographic currencies facilitate the adversarial attacks. Therefore, the attackers have incentives to increase their rewards by strategic behaviors. Block withholding attacks (BWH) are such behaviors that attackers withhold blocks in the target pools to subvert the blockchain ecosystem. Furthermore, BWH attacks may dwarf the countermeasures by combining with selfish mining attacks or other strategic behaviors, for example, fork after withholding (FAW) attacks and power adaptive withholding (PAW) attacks. That is, the attackers may be intelligent enough such that they can dynamically gear their behaviors to optimal attacking strategies. In this paper, we propose mixed-BWH attacks with respect to intelligent attackers, who leverage reinforcement learning to pin down optimal strategic behaviors to maximize their rewards. More specifically, the intelligent attackers strategically toggle among BWH, FAW, and PAW attacks. Their main target is to fine-tune the optimal behaviors, which incur maximal rewards. The attackers pinpoint the optimal attacking actions with reinforcement learning, which is formalized into a Markov decision process. The simulation results show that the rewards of the mixed strategy are much higher than that of honest strategy for the attackers. Therefore, the attackers have enough incentives to adopt the mixed strategy.     

并发系统中谓词行为图的行为时序逻辑表达

行为时序逻辑(TLA)组合时序逻辑与行为逻辑, 可以对并发系统进行描述与验证, 它引入动作和行为的概念, 使得系统和属性可用它的规约公式表示, 但存在用TLA描述复杂系统时TLA公式复杂且难以理解的不足。类似于状态转移图, 对于并发转移可以用谓词行为图进行图形化表示, 谓词行为图与行为时序逻辑规约具有相同的表达能力。介绍行为时序逻辑的语法、语义及简单推理规则, 用一个简单的实例说明使用谓词行为图去描述并发转移系统的有效性, 并用系统规约的TLA公式对谓词行为图表达能力进行证明, 表明两者具有等价性, 为描述和分析并发转换系统提供了一种可行的方法。     

一种基于并发命题投影时序逻辑模型检测的入侵检测方法

基于投影时序逻辑模型检测的入侵检测方法具有描述网络入侵者分段攻击的能力,然而对并发攻击仍无能为力,因为该逻辑无法直接描述并发。针对此问题,在该逻辑的基础上定义了一种新的并发算子,并给出基于并发投影时序逻辑模型检测的入侵检测方法。对复杂攻击实例的检测表明,新方法可有效提高对并发攻击的检测能力。     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

Cooperative behavior acquisition for mobile robots in dynamically changing real worlds via vision-based reinforcement learning and development

In this paper, we first discuss the meaning of physical embodiment and the complexity of the environment in the context of multi-agent learning. We then propose a vision-based reinforcement learning method that acquires cooperative behaviors in a dynamic environment. We use the robot soccer game initiated by RoboCup (Kitano et al., 1997) to illustrate the effectiveness of our method. Each agent works with other team members to achieve a common goal against opponents. Our method estimates the relationships between a learner's behaviors and those of other agents in the environment through interactions (observations and actions) using a technique from system identification. In order to identify the model of each agent, Akaike's Information Criterion is applied to the results of Canonical Variate Analysis to clarify the relationship between the observed data in terms of actions and future observations. Next, reinforcement learning based on the estimated state vectors is performed to obtain the optimal behavior policy. The proposed method is applied to a soccer playing situation. The method successfully models a rolling ball and other moving agents and acquires the learner's behaviors. Computer simulations and real experiments are shown and a discussion is given.     

基于数字垂钓的盲目入侵检测算法

针对对等网络系统中的协同攻击行为,提出了基于数字垂钓的盲目入侵检测算法。该算法采用数字垂钓技术探索并发现数据访问中的盲目行为;采用多路访问切断的方式预防和处理盲目入侵行为。理论分析和仿真实验证明该算法具有较好的准确性和较低的算法开销。     

一种设计模式的混合规范描述模型研究

设计模式（DPs）形式规范描述的研究对于设计模式的广泛重用具有重要的意义,以设计模式的3模型规范（Three-model Specification）描述方法为基础,提出了一种设计模式的混合规范描述模型,该模型采用图示化的手段描述DPs的静态结构,采用图示化和时态逻辑方法相结合的手段描述DPs动态行为中各参与者（participants)行为操作的语义,克服了一般图示化方法对DPs进行守整描述需借助自然语言的补充从而引起的二义性问题,比较精确、完整地描述了DPs的静态结构和动态行为。