工业控制网络多模式攻击检测及异常状态评估方法

面向工控网的攻击策略多种多样,其最终目的是导致系统进入临界状态或危险状态,因此,基于设备状态异常的攻击检测方式相较于其他检测方法更为可靠.然而,状态异常检测中存在攻击结束时刻难以准确界定的问题,构建攻击策略及系统异常状态描述模型,基于此,提出基于状态转移概率图的异常检测方案,实验结果表明该方案能够有效检测多种攻击方式.另外,针对语义攻击对系统状态影响的定量评估难题,提出基于异常特征和损害程度指标融合分析的攻击影响定量评估方法,实现系统所处不同阶段时状态的定量评估与分析.该项工作对于识别攻击意图有重要的理论价值和现实意义.     

基于图卷积网络的多源本体相似度计算方法

在信息时代,数据量呈指数式增长,而不同数据源存在难以统一表示的异构问题,给数据共享、重用造成不便。语义网络的迅速发展,使本体映射成为解决该问题的有效手段,其核心是本体相似度计算,提出了一种基于图卷积网络的计算方法。将本体建模为异构图网络,再使用图卷积网络学习文本嵌入规则,得到全局统一表示,完成多源数据的融合。实验结果表明,所提方法计算准确性高于其他传统方法,有效地提高了多源数据融合的准确度。     

银行账户交易网络中特定组织发现研究

近年来,非法传销、非法集资和洗钱等涉众型非法金融活动屡禁不止,从资金交易网络中进行异常检测的研究,逐渐引起研究者的重视。非法组织中银行账户间的资金流转方式隐含了其成员的关系架构。以关键角色账户为核心种子节点,结合交易关系进行特定异常组织的发现研究。首先,基于银行账户的交易特点,建立了一个有向加权资金交易网络模型。进而,结合账户的局部拓扑结构,定义了组织中的两种核心节点,即黑洞节点和星光节点。利用两种节点的关联关系,提出一种“黑洞＆amp;星光”组织发现算法。在含有传销组织的真实银行交易数据上进行实验,结果表明上述算法对发现传销组织的有效性。     

基于侧信道特征的IPSec VPN闭合性检测方法

IPSec VPN按照应用场景的不同可以分为闭合型网络和开放型网络,闭合型网络常用于定制虚拟专用网,而开放型网络代理是规避网络审计的常用手段,因此,IPSec VPN网络类型的识别分类对于网络监管具有重要意义。根据两种网络类型在业务复杂度上的区别,提出利用加密流量侧信道特征进行IPSec VPN闭合性检测的方法,提取IPSec加密流量帧长序列和隧道内TCP最大分片长度(Maximum Segment Size, MSS)的分布,引入信息熵来度量MSS值的分布情况,将MSS值信息熵和帧长序列的标准差作为特征向量,使用支持向量机和随机森林等机器学习算法进行训练和预测。实验结果表明,使用该分类方法进行闭合性检测的准确率超过了96%,可有效识别用于开放代理的VPN隧道。     

非均匀光照条件下的彩色人脸图像增强

针对非均匀光照彩色人脸图像增强中肤色失真问题,提出了一种基于单尺度Retinex和肤色模型的方法。将人脸图像转换至YCbCr颜色空间,并采用不同的方法分别处理Y分量和CbCr分量。针对亮度分量（Y）采用单尺度Retinex方法压缩图像的动态范围,增强图像暗处的细节信息;针对图像中肤色区域,根据肤色在CbCr空间具有聚集性的特点,调整亮度分量增强后肤色像素点色度分量（Cb和Cr）的值,改善肤色区域的颜色质量。在CAS-PEAL人脸库中进行实验,该方法与传统的人脸图像增强方法相比,在图像细节呈现能力和面部色彩真实程度方面均有提高。     

人脸图像中眼镜检测与边框去除方法

眼镜边框是影响精确提取人脸图像特征的因素之一,为此提出了一种眼镜检测和边框去除的方法。该方法由眼镜检测、眼镜边框定位和被遮挡图像修复三部分构成。提取眼睛估计区域的边缘特征并基于神经网络的方法检测眼镜;利用二值化和数学形态学的方法定位眼镜边框;通过插值的方法修复被眼镜边框遮挡的图像。实验结果表明,该方法与传统基于PCA的方法相比,眼镜去除后的人脸图像更加自然。同时,实验结果也表明该方法有助于人脸识别性能的提升。     

分布式宽带网络病毒预警系统

对比于传统的主机病毒，在开放式网络环境中，网络病毒攻击能力更强、传播范围更广、破坏力度更大。所以有必要通过建立我国的病毒预警系统，全面监控各地的网络病毒疫情状况。本文研究分布式宽带网络病毒预警模型，实时检测网络病毒疫情。在病毒监控系统中充分采用未知病毒的检测技术，可以及时发现新爆发的病毒疫情，及疫情的发展趋势，制定有效的控制策略，从而减少病毒的危害，并能够及时为国家计算机安全机构提供最新发现的未知病毒样本。     

面向大规模工控网络的关键路径分析方法

针对大规模工控网络攻击图的量化计算耗时高、消耗资源大的问题,提出了一种大规模工控网络的关键路径分析方法。首先利用割集思想结合工控网络中的原子攻击收益,计算贝叶斯攻击图关键节点集合,解决目前割集算法只考虑图结构中节点关键性的问题。其次,提出一种只更新关键节点攻击概率的贝叶斯攻击图动态更新策略,高效计算全图攻击概率,分析攻击图关键路径。实验结果表明,所提方法在大规模工控攻击图的计算中,不仅可以保证计算结果的可靠性,而且能够大幅度降低方法耗时,显著提升计算效率。     

面向网络空间靶场的网络行为模拟关键技术研究

在网络空间靶场中构建真实的网络场景,是开展科学研究以及网络攻防研究的基础条件,而在靶场环境下对真实的网络行为模拟,是构建网络场景的主要技术之一.本文针对网络靶场下,模拟真实网络流量的要求,提出了目标网络下多节点网络流量回放算法;针对群体用户的web行为无法直接获取和分析的问题,研究了基于网络流量内容的群体用户web行为...     

基于流量分类的工控联网设备识别

为发展工控网络智能化管理,研究工控网络中设备类型的自动识别技术,提出一种基于流量分类的设备类型识别方法,综合报文首部特征以及有效载荷隐含特征。利用随机森林模型,筛选报文首部字段中工控网络流量分类的关键特征;利用一维卷积神经网络,提取流量有效载荷的隐含特征;两种特征融合完成流量分类,基于流量分类结果实现设备类型识别。实验结果表明,由该方法训练的模型可高效完成设备流量分类,准确识别工控设备类型。