基于攻防行为树的网络安全态势分析

现代网络面临遭受组合攻击的风险,通过构建基于攻防行为的安全态势分析模型来对每一个独立及组合攻击行为进行威胁分析十分必要。本文针对传统的攻击树模型没有考虑防御因素影响,防御树模型缺乏较好的可扩展性,故障树模型难以对外部攻击进行分析等问题,在攻击树模型中引入博弈论,以描述具体网络攻防事件场景。首先,分析网络中不同层次攻击行为的逻辑关系,整合不同层次攻击事件对应的攻防树,获得完整网络攻防行为树,进而构建网络攻防行为树模型。其次,从网络攻防行为、网络检测设备以及网络防御措施3方面对基本攻防行为树进行扩展,提出攻击目标成功率算法,计算其攻击概率。在此基础上,对攻击威胁进行评估,分析网络安全态势。最后,为验证网络攻防行为树模型的可行性和有效性,在BGP（border gateway protocol）攻击树的基础上构建攻防行为树模型,通过概率计算可知：攻击路径PATH1概率最大;且在没有防御措施的情况下,5条攻击路径的攻击成功率均得到增大,PATH2至PATH5概率增大倍数显著高于PATH1,与实际相符。本文所提的网络攻防行为树模型能很好地计算各种防御措施的效果,且能够在任意节点添加和删除攻防行为,具有较强的可扩展性,可为网络管理者与运营者提供科学的决策依据。     

一种基于同源行为分析的APT异常发现策略

APT(advanced persistent threat)攻击的日益频繁对APT攻击行为的检测提出了更高的要求,对同源行为进行分析是尽早发现APT攻击行为的一种有效方法.针对数据量过大造成数据对比认证效率低下的难题,提出了借助数据标签技术,建立历史同源行为数据库,并将数据库存储到云端;依托Hadoop平台和MapReduce聚合计算能力,基于伪随机置换技术完成网络全流量并行检测,通过与数据库中的数据标签进行对比验证,来判断是否有APT攻击行为.测试结果表明,该方法可尽早从网络中发现APT异常行为,提高全数据流检测的效率.     

基于改进正则表达式规则分组的内网行为审计方案

针对网络安全审计中对应用层协议审计能力不足的问题,提出一种基于改进正则表达式（RE）规则分组的内网行为审计方案。首先,通过正则表达式对需审计的协议进行描述,并设置相关参数,使内网中出现频率高和审计中相对重要的协议状态在正则表达式描述集中取得高优先级;然后,在正则表达式交互值小的前提下,尽可能地将高优先级协议状态表达式构建到相同自动机分组中以生成审计引擎;最后,根据审计需求,改变相关参数,实现对内网行为的安全审计。实验结果显示,所提出的自动机构建算法在转化时的状态数缩减为经典非确定有限状态自动机（NFA）转化算法Thompson的10%~20%,检测时的吞吐量约为传统自动机分组引擎的8到12倍;所提审计方案能够满足对应用层协议进行安全审计的需求,具有较高的准确性和效率。     

一种基于DRDI的精确密文检索方案磁

针对云存储环境下的密文检索问题,面向精确密文检索需求设计了一种新型的精确密文全文索引方案D RD I （Different Rationality for Dual‐Indexing）。该方案在密文检索技术和传统全文检索技术的研究基础上,对传统的倒排索引结构进行了改造,建立多属性双索引,可高效检索出包含对应关键字的文件目录信息。实验结果表明该方案具有可行性和高效性的特点。     

基于多层模糊综合评估的隐私保护效果评估方法

针对由单一数据层面进行隐私保护效果评估无法刻画网络环境整体隐私保护效果的问题，借助模糊综合评估方法，从数据全生命周期凝练隐私保护效果影响因子，通过分区块、多层次地模糊综合评估，并依据数据隐私差异确定各因子与各区块权重，综合计算得到网络环境整体隐私保护效果评估结果。实例分析表明，该方法可行有效。