共查询到20条相似文献,搜索用时 421 毫秒
1.
针对0day漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的0day攻击路径预测方法.通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取"攻击"相关的概念及实体,构建网络防御知识图谱,将威胁、脆弱性、资产等离散的安全数据提炼为互相关联的安全知识.在此基础上,依托知识图谱整合的知识,假设并约束0day... 相似文献
2.
3.
随着互联网应用和服务越来越广泛,层出不穷的网络攻击活动导致信息系统的安全面临极大的风险挑战。攻击图作为基于模型的网络安全风险分析技术,有助于发现网络节点间的脆弱性和评估被攻击的危害程度,已被证实是发现和预防网络安全问题的有效方法。攻击图主要分为状态攻击图和属性攻击图,由于状态攻击图存在状态爆炸的问题,研究者大多偏向于基于属性攻击图的网络风险评估研究。针对现有的属性攻击图研究过度依赖网络节点本身脆弱性和原子攻击本质属性进行量化分析,忽略了理性攻击者通常以攻击利益最大化来选择具体的攻击路径,提出了基于期望收益率攻击图的网络风险评估框架和攻击收益率量化模型。所提网络风险评估框架以公开的漏洞资源库、漏洞挖掘系统发现的新漏洞以及与网络攻防相关的大数据为基础数据源,以开源大数据平台为分析工具,挖掘计算攻击成本和攻击收益相关要素;借用经济学中的有关成本、收益以及收益率等概念构建原子攻击期望收益率计算模型;通过构建目标网络的属性攻击图,计算攻击路径上的原子攻击期望收益率,生成所有可能攻击路径的期望收益率列表;以期望目标为出发点,依据特定的优化策略(回溯法、贪心算法、动态规划)展开搜索,得到最大收益率的完整攻击路径,为网络风险评估提供依据。仿真实验结果表明了所提期望收益率攻击图网络风险评估方法的有效性及合理性,能够为发现和预防网络安全问题提供支撑。 相似文献
4.
计算机网络正在飞速发展,但随之而来的系统破坏、信息泄露等网络安全问题也日益突出。攻击者在正式攻击前通常进行大量的网络侦查,以发现目标网络和系统上的可利用漏洞,而传统网络系统中的静态配置为攻击者发现网络目标和发起攻击提供了极大的优势。为了减轻攻击者持续性网络侦查攻击的有效性,基于软件定义网络开发了移动目标防御(moving target defense,MTD)增强的网络欺骗防御系统。该系统采用网络欺骗技术,混淆攻击者收集到的目标网络和系统信息,延长攻击者扫描到网络内真实脆弱性主机的时间,提高其时间成本;并在此基础上融合移动目标防御技术,动态随机地变换网络内节点的IP地址,增强网络欺骗系统的防御效能。实现了系统原型并对其进行评估,在虚拟网络拓扑规模为3个网段且地址变换周期为30?s的配置下,该系统将攻击者发现脆弱性主机的时间平均延迟7倍,将攻击者成功攻击脆弱性主机的概率降低83%,同时系统额外开销平均在8%以内。 相似文献
5.
6.
《计算机应用与软件》2014,(7)
目前,对布尔型关联规则的挖掘研究已较成熟,而对量化关联规则的挖掘研究相对较少,并且采用的挖掘方法多是将量化属性进行离散化处理,进而转化为布尔型关联规则进行挖掘。但传统的对量化属性离散化处理的方法存在区间划分过硬的问题,因此提出一种基于数据场的量化关联规则挖掘方法。该方法避免了区间划分过硬问题,同时也充分考虑了数据集中数据的非完备性以及每个数据对数据挖掘任务所发挥的不同作用。实验证实了该方法的有效性。 相似文献
7.
基于攻击图的工控系统脆弱性量化方法 总被引:2,自引:0,他引:2
提出了一种基于攻击图的工控系统脆弱性量化研究方法. 从工控系统中存在的漏洞利用难度和漏洞危害性两个维度出发, 同时结合具体的工业系统中有关防御强度、攻击强度、物理损失、信息损失等方面, 提出了一系列的脆弱性量化指标, 制定了比较全面的等级划分标准. 之后将量化指标与攻击图相结合, 利用攻击过程中每一步的原子攻击期望来对可能存在的所有攻击路径进行脆弱性分析. 最后以典型的锅炉控制系统作为实验背景进行了案例分析. 实验结果表明, 该方法能够较全面地分析工控系统中潜在的隐患威胁, 科学合理地评估各条攻击路径的脆弱性, 由此得到总攻击期望最大的攻击路径. 相似文献
8.
9.
10.
网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。 相似文献
11.
缓冲区溢出漏洞研究与进展 总被引:1,自引:0,他引:1
软件中的缓冲区溢出漏洞是个严重的安全隐患,利用它的攻击给社会造成了巨大的危害和经济损失,缓冲区溢出漏洞检测防护技术已成为一个研究热点.首先分类剖析了缓冲区溢出攻击原理,进而对缓冲区溢出漏洞检测防护技术十几年来的研究进展进行了讨论,最后给出该领域的研究热点问题与展望. 相似文献
12.
Cloud computing has become the real trend of enterprise IT service model that offers cost-effective and scalable processing. Meanwhile, Software-Defined Networking (SDN) is gaining popularity in enterprise networks for flexibility in network management service and reduced operational cost. There seems a trend for the two technologies to go hand-in-hand in providing an enterprise’s IT services. However, the new challenges brought by the marriage of cloud computing and SDN, particularly the implications on enterprise network security, have not been well understood. This paper sets to address this important problem.We start by examining the security impact, in particular, the impact on DDoS attack defense mechanisms, in an enterprise network where both technologies are adopted. We find that SDN technology can actually help enterprises to defend against DDoS attacks if the defense architecture is designed properly. To that end, we propose a DDoS attack mitigation architecture that integrates a highly programmable network monitoring to enable attack detection and a flexible control structure to allow fast and specific attack reaction. To cope with the new architecture, we propose a graphic model based attack detection system that can deal with the dataset shift problem. The simulation results show that our architecture can effectively and efficiently address the security challenges brought by the new network paradigm and our attack detection system can effectively report various attacks using real-world network traffic. 相似文献
13.
针对Internet日益增多的攻击现状,防火墙、入侵检侧系统等网络安全技术发展日益成熟。但是现实中总有一些攻击能够成功,我们就有必要研究在遭受攻击情况下分析网络的脆弱性技术及及时的恢复技术,最小化对于网络不利影响。本文提出了计算机网络脆弱性的概念。分析脆弱性存在的深层原因,对网络脆弱性提供了初步的了解。 相似文献
14.
15.
考虑DoS攻击对电力信息物理系统的影响,提出一种电力网络控制系统脆弱节点的检测方法和防御策略,采用分布式控制架构设计传感器和RTU的传输路径.通过求解最稀疏矩阵优化问题,提出一种识别并保护电力通信网脆弱节点和边的方法,保证系统实现安全稳定运行.进一步提出一种可以抵御DoS攻击的电力网络控制系统拓扑设计方法,研究系统遭受DoS攻击时能恢复稳定的电力网络控制系统拓扑连接方式. IEEE 9节点系统用于仿真验证,充分验证了算法的可行性和可靠性,并针对该9节点电力网络控制系统,给出了具体的网络攻击防御策略. 相似文献
16.
低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。 相似文献
17.
深度学习在行人再识别任务上的应用已经取得了较大进步。然而,由于深度神经网络的鲁棒性容易受到对抗样本的攻击,深度学习在行人再识别模型应用中暴露出来一些安全问题。针对该问题,提出一种无感噪声攻击的防御方法DSN。首先,利用RGB图像的灰度补丁图像,使其在训练过程中增强数据,从而提升行人再识别模型的识别能力。其次,采用模型内外结合的防御结构,并采用一种新的降噪网络,对输入的噪声图像进行降噪处理,从而使得行人再识别模型有更高的识别精度和防御无感噪声攻击的能力。在market1501数据集上模拟无感噪声攻击与防御,实验结果显示,该方法将mAP识别精度从2.6%提高到82.6%,rank-1精度从0.8%提高到83.5%。另外,通过消融实验表明了该方法中每个模块防御无感噪声攻击的有效性。 相似文献
18.
针对克隆代码与非克隆代码产生"漏洞"倾向性的问题进行了研究,基于"漏洞"对不同类型克隆和非克隆代码进行了比较分析。首先提取软件系统中具有漏洞的代码,并使用克隆检测工具检测出软件的克隆代码;其次分别提取能够产生"漏洞"的克隆和非克隆代码,并分别计算不同克隆类型和非克隆的BOC漏洞密度和LOC漏洞密度;最后对type-1、pure type-2、pure-type3的克隆和非克隆漏洞密度进行了对比分析,并对代码中产生的"漏洞"类型进行分类分析,使用曼—惠特尼检验(WMM)验证了结果的有效性。实验结果表明type-1类型的克隆更容易产生"漏洞",pure type-3类型的克隆引入漏洞的几率相对较小。研究还得出在克隆和非克隆代码中分别存在出现频率较高的"漏洞"集合,增加了对克隆特性的理解,帮助软件设计和开发人员减少代码克隆对软件造成的负面影响。 相似文献
19.
针对软件定义网络(SDN)网络控制器流规则篡改攻击等单点脆弱性威胁,传统安全解决方案如备份、容错机制等存在被动防御缺陷,无法从根本上解决控制层安全问题。结合目前移动目标防御、网络空间拟态防御等主动防御技术研究现状,提出一种基于异构冗余结构的动态安全调度机制。建立控制器执行体与调度体调度模型,根据系统攻击异常、异构度等指标,以安全性为原则设计动态调度策略;同时考虑系统负载因素,通过设计调度算法LA-SSA将调度问题转化为动态双目标优化问题,以实现优化的调度方案。仿真结果表明,对比静态结构,动态调度机制在累积异常值、输出安全率等指标上有明显优势,说明安全调度机制中的动态性与多样性能够显著提高系统抵御攻击能力,LA-SSA机制负载方差较安全优先调度更平稳,在实现安全调度的同时避免了负载失衡问题,验证了安全调度机制的有效性。 相似文献