基于动态贝叶斯网络的入侵意图识别方法

在构建高层次攻击场景和处理复杂攻击时,入侵检测技术难以有效察觉入侵者的意图、识别攻击间的语义以及预测下一步攻击。为此,针对网络复杂攻击过程中的不确定性,提出一种基于动态贝叶斯网络的入侵意图识别方法,采用动态贝叶斯有向无环图实时表述攻击行为、意图与攻击目标之间的关联,应用概率推理方法预测入侵者的下一步攻击。实验结果反映入侵者的意图在入侵过程中的变化规律,验证该方法的有效性。     

网络入侵意图识别方法综述

复合攻击的检测是近年来IDS着力解决的一个重要问题。研究表明,解决这个问题的根本途径在于建立有效的模型积累、识别多报文间的上下文关系,从而进一步对入侵的意图进行精确判断。本文跟踪了近年来意图识别领域的技术发展,详细介绍了几种有代表性方法的核心思想,分析它们适用的范围和存在的问题,比较了各自的优劣所在,最后总结了这个领域的难点问题和发展趋势。     

基于概率推理的入侵意图识别研究

攻击者的入侵行为背后往往蕴含着攻击者的目标和意图,据此提出了入侵意图识别的层次化模型。为了处理网络环境中的不确定性信息,提出了基于概率推理的入侵意图识别算法,并在此基础上预测攻击者的后续攻击规划和目标,从而起到提前预警的作用。根据网络安全事件、目标和意图之间的因果关系建立的贝叶斯网络能够描述和处理并发意图识别问题。试验证明了该方法的可行性和有效性。     

基于入侵意图的复合攻击检测和预测算法

复合攻击是网络入侵的主要形式之一.如何检测复合攻击是当前入侵检测研究的一个重要方向.这项研究对入侵检测的作用主要表现在以下几个方面:(1)减少误报和漏报;(2)实现对未知攻击的检测;(3)攻击预测.尤其是第3点,可能使被动的检测发展为主动的有针对性的防御.经过对复合攻击模式的大量研究,提出了一种基于入侵意图的复合攻击检测和预测算法.该算法采用扩展的有向图来表示攻击类别及其逻辑关系,按照后向匹配和缺项匹配的方式对报警进行关联,根据已关联攻击链的累计权值和攻击逻辑图中各分支的权值计算其可能性.该算法可以实现复合攻击的检测,在一定程度上预测即将发生的攻击,并且对未知攻击有一定的检测能力,还可以大幅度地减少误报和一定的漏报.最后介绍了相应的实验过程和结果分析,证明了算法的有效性.     

基于贝叶斯攻击图的网络入侵意图识别方法

现有入侵意图识别方法对报警证据的有效性缺乏考虑,影响了入侵意图识别的准确性。为此提出基于贝叶斯攻击图的入侵意图识别方法。首先建立贝叶斯攻击图模型,然后通过定义报警的置信度及报警间的关联强度,去除低置信水平的孤立报警;根据提取到的有效报警证据进行贝叶斯后验推理,动态更新攻击图中各状态节点遭受攻击的概率,识别网络中已发生和潜在的攻击行为。实验结果表明,该方法能有效提取报警证据,提高网络入侵预测的准确性。     

基于扩展RED图的概率时间自动机可达性分析

RED图可以表示一个完整的时间自动机上的状态集,包括其连续时间部分和离散部分.在它基础上实现的模型检测工具RED,在时间自动机模型检测中表现出了优良的性能.另一方面,现有的概率时间自动机模型检测工具仍然使用不同的方法来分别表示概率时间自动机状态的连续时间和离散部分.我们在复用原始RED图的数据结构的基础上,对其做出了扩展,以令其支持概率状态的表达,同时保持其性能方面的优势.我们又为此实现了一个概率时间自动机可达性分析工具原型,并将其与两个概率模型检测工具（PRISM和Modest）就概率时间自动机可达性分析作实验对比,来评估该工具原型的性能.实验结果显示,我们的集成表示概率状态空间的方式,确实提高了概率时间自动机模型检测的时间效率和延展性.     

基于攻击意图分析的模糊入侵关联方法

本文提出了一种基于攻击意图分析与因果关联的模糊入侵关联方法。该方法利用基于规则的模糊认知图RBFCM把入侵警报与安全策略相联系,结合系统脆弱性与配置信息,不仅能识别复合攻击的各个阶段、构建出完整的攻击视图,还能对每一阶段的攻击后果进行评判,同时利用OWA算子改进了RBFCM的推理性能。     

基于攻击意图的复合攻击预测方法研究

入侵检测系统仅能检测到攻击,但不能预测攻击者下一步的攻击.分析了基于攻击行为预测方法的不足,提出了一种基于攻击意图的复合攻击预测方法.该方法使用抽象的攻击意图表示复合攻击,采用扩展的有向图表达攻击意图间的逻辑关系,建立了攻击匹配的攻击意图框架,在复合攻击预测算法中引入了攻击检测度和攻击匹配度两个概念.最后,通过实验验证了该方法的有效性.     

基于有限自动机的网络入侵容忍系统研究

网络环境下的入侵容忍系统，在面对攻击的情况下．入侵容忍系统仍然能连续地为预期的用户提供相应的服务．该文描绘了入侵容忍系统的有限自动机，该自动机模拟了入侵容忍系统的各个状态之间的相互转换的条件和工作过程．为入侵容忍系统的行为描述和结构设计提供了理论依据，最后在此基础上讨论了一个入侵容忍实例．     

一种基于时间自动机的实时系统测试方法

基于时间自动机(timed automata,简称TA)的一种变体--时间安全输入/输出自动机(timed safety input/output automata,简称TSIOA),提出了一种实时系统测试方法.该方法首先将时间安全输入/输出自动机描述的系统模型转换为不含抽象时间延迟迁移的稳定符号状态迁移图(untimed stable transition graph of symbolic state,简称USTGSS);然后采用基于标号迁移系统(labeled transition system,简称LTS)的测试方法来静态生成满足各种结构覆盖标准的包含时间延迟变量迁移动作序列;最后,给出了一个根据迁移动作序列构造和执行测试用例的过程,该过程引入了时间延迟变量目标函数,并采用线性约束求解方法动态求解迁移动作序列中的时间延迟变量.     

运用时间分类树的确定单时钟时间自动机学习

时间自动机的模型学习算法旨在通过提供输入和观察输出构建软硬件系统的形式化模型.确定性单时钟时间自动机的学习是其中的一个重要研究方向, 但是该算法具有一定的局限性, 在状态较多时学习速度较慢, 很难应用到复杂的系统中.由此, 我们提出了一种改进的学习算法, 使用逻辑时间分类树代替逻辑时间观察表作为学习算法的内部数据结构, 有效地减少了成员查询次数, 降低了算法的空间复杂度, 并能够高效率地构建假设自动机.最后我们进行了相关实验, 实验结果表明, 本文提出的改进算法减少了60%左右的成员查询和5%左右的等价查询.同时在该实验中, 改进算法的学习速度最高可提高45倍以上.     

一种基于离散时间自动机的LTL性质检测工具

模型检测是一种自动完成性质验证的算法过程,在模型检测过程中会遇到状态空间爆炸的问题,即随系统规模的增长状态空间的大小呈指数增长,如何缓解此问题一直是研究者研究的重点.目前利用模型检测方法对线性时序逻辑(LTL)性质进行检测的工具还比较少,且效率都较低.介绍了一种基于离散时间自动机的LTL性质检测工具,采用了在状态空间中存储延迟序列(DS)的技术,对状态进行压缩存储,减小了时间空间的消耗,加快了检测速度.实验表明,该工具的检测效果是不错的,要好于同类工具,如DTSpin.     

基于时间自动机的道岔自动控制研究

实时系统由于受时间约束,设计和验证具有很高的挑战性。用多个时间自动机来规范模拟道岔自动控制系统,给出了一种自动化的道岔控制模型(TTCQ),并采用UPPAAL作为模型验证工具,证明了该模型具有安全性、有效性和可控性。所采用的方法避免了积的等价类状态空间的爆炸,减少了验证的搜索空间,为铁路交通提供了一种可行的、安全的、智能的控制机制。     

模型检测基于概率时间自动机的反例产生研究

模型检测基于概率系统的反例产生问题,在最近引起人们的关注.已有的工作主要围绕模型检测Markov链的反例产生而开展.基于概率时间自动机(PTA)是Markov链的不确定性和系统时钟的扩展.关注的是模型检测PTA的反例产生问题.首先通过在PTA上寻找概率之和恰好大于λ的κ条最大概率的路径,并根据这些路径和原PTA构造原PTA的一个子图,从而快速找到违背性质的具有较少证据的反例.然后精化此结果——通过逐条加入上述各条最大概率的路径来精确地计算已加入路径所构成的PTA子图的最大概率.由于考虑到符号状态交集对概率系统的影响,可以得到证据更少的反例.     

ICPN的时间自动机构造方法

为克服Petri网行为演变分析技术的局限性,利用时间自动机技术分析区间速率连续Petri网(ICPN)特性。根据区间速率连续Petri网模型语义提出基于冲突消解的区间速率连续Petri网状态演变图构造算法,给出状态演变图的时间自动机构造方法。对某化工生产过程的分析表明了该方法的必要性和有效性。     

基于时间自动机的信息物理融合系统建模与验证

信息物理融合系统的建模和验证是当前研究的一个热点。本文通过分析信息物理融合系统的体系结构,利用时间自动机为建模工具,将该结构中的各个组件分别进行建模,以表现它们的分布性和实时性。这些时间自动机组成一个网络模型,用于刻划整个系统之间的并发通信和协作过程。最后,提出一组该系统要满足的性质(包括时间约束),运用模型检测工具UPPAAL自动验证本系统的正确性。