基于演化博弈的拟态防御策略优化

网络空间拟态防御是近些年出现的一种主动防御理论,以异构冗余和动态反馈机制不断调整执行环境来抵抗攻击。然而,面对黑客的多样化攻击手段,仅凭借拟态防御抵抗攻击是不安全的。为了增强系统的安全防御能力,在目前已有的防御系统基础上提出更为合理的防御选取方法。将有限理性的演化博弈引入到拟态防御中,构建了由攻击者、防御者和合法用户组成的三方演化博弈模型,并提出了最优防御策略求解方法。该博弈模型利用复制动态方程得到了演化稳定策略。仿真实验结果表明,系统通过执行推理的演化稳定策略可以降低损失,遏制攻击方的攻击行为,对拟态防御系统中防御策略选取和安全性增强具有一定的借鉴意义。

基于深度学习和集成学习的DDoS攻击检测方法

针对DDoS攻击检测问题,提出一种深度集成学习算法,可以有效检测DDoS攻击并解决分类不平衡问题。该算法使用一种类权重投票算法并由若干深度学习子模型组成,子模型采用1D-CNN和BILSTM提高模型时序提取性能,并利用2D-CNN提取空间特征,综合捕捉了样本的时空特性。在数据处理方面,通过对实验数据流量基于IP等特征进行分段,并将其转换为灰度图像,增强了模型对时空特征的感知能力,同时避免了传统手动特征提取可能引起的数据缺失问题。实验结果表明,该方法在多分类问题上达到了99.63%的准确率,可以准确检测DDoS攻击流量。

基于深度学习和联邦学习的工控入侵检测研究

深度学习和入侵检测技术的结合为工业控制网络提供了较好的安全防护;而联邦学习在保护用户数据隐私的前提下采用多方的数据训练一个高效的模型成为工业控制入侵检测领域研究的热点。针对目前工业控制网络流量维度高、特征冗余、缺乏攻击样本导致入侵检测系统检测率低的问题,提出了一种基于深度学习和联邦学习的入侵检测方法,在保护数据隐私的前提下,采用多方数据共同训练一个模型。首先,提出一种多模型融合的入侵检测模型,采用权重绑定的堆叠自编码器和单层卷积神经网络初步提取网络流量特征,并采用残差卷积神经网络和残差双向门控循环单元进一步提取网络流量的空间特征和时序特征,将提取到的两种特征融合后进行网络攻击判别。其次,建立基于上述模型和联邦学习的工控网入侵检测系统,使用储水箱数据集和天然气管道数据集验证系统的有效性。实验结果表明,基于深度学习和联邦学习的工控网入侵检测系统可以提高入侵检测模型检测率,为工业控制网络提供更好的安全防护。

基于CFL的去中心工控系统签名认证方案

近来,工业控制系统的身份认证和数字签名等安全问题受到越来越多的关注.本文将去中心化的CFL认证体制引入到工控系统身份认证中,提出了基于CFL的工控系统签名认证方案,建立了基于CFL认证体制的工控系统认证模型CFL-SYS,引入UKey作为证书载体,实现了签名验证过程去中心化;通过计算用户ID的哈希值生成随机私钥和标志私钥实现一人一密,满足了用户对私钥的私有权并且保护了用户的隐私.理论分析和实验结果表明,本文方案在吞吐量、系统验证响应时间等性能上能够满足毫秒级应用需求,能为大规模工业控制系统提供一种自主、可靠、高效的签名认证方案.

基于改进NSGA2算法的空间网络安全与性能优化

在空间网络不断发展以及攻击威胁日益增加的背景下,其安全问题得到了研究人员的密切关注。但同时,其性能开销也会增大。为解决空间网络通信安全性、服务性能间的联合优化问题,选取机密性、完整性、可认证性作为安全程度的量化指标,选择时延作为性能指标,建立了网络安全与通信性能间的多目标优化模型。提出了一种ISN-NSGA2算法和纳什议价博弈的多目标优化决策方案。算法利用自适应锦标赛选择算子,促进种群较快收敛;运用基于拥挤熵的个体动态排挤机制代替拥挤距离一次性排挤,维持种群分布性;在得到一组非支配解后,使用合作博弈纳什议价模型进行折中决策。在6个基准多目标测试函数上对算法进行了性能测试,实验结果表明解的均匀性和收敛度均得到了很好的提升。采用该方案对模型求解,能够在适应网络安全和性能需求的情况下,从Pareto解集中选出使网络整体收益最大的最终决策解,有效实现两者的折中优化。

基于CFL的工控系统认证通信方案

针对工控系统(ICS)中广泛采用的中心认证方案所存在的密钥泄露、单点失效、通信开销大的问题,将具有国内自主知识产权的密码基础逻辑(CFL)认证技术引入ICS的认证与通信过程中,并提出一种基于CFL的ICS认证通信方案。首先,通信双方通过交换并验证基于彼此身份标识和权限信息所生成的动态含权证书,实现双方身份的去中心认证和会话密钥的协商;然后,通过会话密钥、CFL动态签名和访问控制规则保证双方的安全通信;最后,将控制过程详细日志进行加密存储,以实现可溯源过程。理论分析和实验结果表明,所提方案在身份验证阶段不再需要远程认证中心的参与,并实现了工控设备间的本地高效认证。在面对大量认证请求时,与公钥基础设施(PKI)方案、基于身份加密(IBE)方案相比,所提方案的系统吞吐量分别至少提升了92.53%和141.37%,意味着所提方案能够更好地满足ICS的大规模认证和毫秒级安全通信的需求。

基于共享秘密的伪随机散列函数RFID双向认证协议

针对资源受限的RFID标签,结合伪随机数和共享秘密机制,该文提出一种基于散列函数的轻量级双向认证协议,实现了后端数据库、阅读器和标签之间的双向认证。详细分析了双向认证协议的抗攻击性能和效率性能,并基于BAN逻辑分析方法对协议模型进行了形式化证明。理论分析表明,该文提出的认证协议能够实现预期安全目标,抗攻击性能好,认证执行效率高且标签开销小,适用于大数量的RFID应用。

蜜罐诱骗防御机理的博弈理论分析

论文运用博弈理论形式化描述了蜜罐诱骗中各博弈局中人的策略与收益,通过求解博弈均衡策略及均衡条件,分析推理了传统蜜罐在网络攻防博弈中的有效性和局限性,证明了蜜罐是一种"被动式主动"防御手段。讨论了符合防御者预期的理想诱骗博弈均衡策略,剖析了影响诱骗博弈有效性和主动性的要素条件,并受生物拟态现象启发,给出了提高诱骗主动性和有效性的策略建议,为构建主动有效的蜜罐诱骗防御手段提供了理论支持。

基于端信息跳变的主动网络防护研究

从军事跳频通信中得到启发,提出端信息跳变的概念,即通过伪随机改变端到端的数据传输中通信端口、地址、时隙、加密算法甚至协议等端信息,破坏敌方攻击干扰,实现主动网络防护。建立了端信息跳变主动防护模型,采用移动代理技术实现了端信息跳变原型系统,解决了同步、数据切换等关键问题,理论分析并实验验证了模型系统的抗拒绝服务和截获攻击特性,证明了端信息跳变策略对于主动网络防护的可行性与有效性。

拟态式蜜罐诱骗特性的博弈理论分析

该文基于非合作不完全信息动态博弈理论,形式化描述了拟态式蜜罐诱骗博弈的各局中人策略和收益,构建了诱骗博弈收益矩阵,推理分析了拟态式蜜罐诱骗博弈中存在的贝叶斯纳什均衡策略,通过进一步讨论博弈均衡条件和影响因素并与传统蜜罐博弈相比较,给出了拟态式蜜罐模型中保护色、警戒色等机制在诱骗博弈中的适用条件,证明了拟态式蜜罐模型具有更好的主动性、有效性和迷惑性。

基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测

入侵检测技术旨在有效地检测网络中异常的攻击,对网络安全至关重要.针对传统的入侵检测方法难以从工业控制系统通信数据中提取有效数据特征的问题,提出一种基于相关信息熵和CNN-BiLSTM的入侵检测模型,该模型将基于相关信息熵的特征选择和融合的深度学习算法相结合,因此能够有效去除噪声冗余,减少计算量,提高检测精度.首先针对不平衡样本等问题进行相应预处理,并通过基于相关信息熵的算法进行特征选择,达到去除噪声数据和冗余特征的目的;然后分别运用卷积神经网络(CNN)和双向长短期记忆神经网络(BiLSTM)从时间和空间维度提取数据特征,通过多头注意力机制进行特征融合,进而得出最终检测结果;最后通过单一变量原则和交叉验证方式获得最优的模型.通过与其他传统入侵检测方法实验对比得出:该模型具有更高的准确率(99.21%)和较低的漏报率(0.77%).

基于动态阵列蜜罐的协同网络防御策略研究

从虚实结合动态变化的兵阵对抗得到启发,提出动态阵列蜜罐概念,通过多机协同、功能角色的周期或伪随机切换,形成动态变化的阵列陷阱,从而达到迷惑和防范攻击者的目的。给出了动态阵列蜜罐防御模型,通过NS2网络模拟器对动态阵列蜜罐进行了系统仿真和测试,基于Java平台设计实现了动态阵列蜜罐原型系统并进行了攻击实验。仿真测试和原型实验结果均表明动态阵列蜜罐系统具有良好的网络对抗性能。

服务跳变抗DoS机制的博弈理论分析

该文对DoS攻防进行不完全信息博弈分析,讨论了DoS防范的困境,指出信息的不对称性和未能形成服务方-用户联盟是防范困境的根本原因。通过引入服务跳变策略,增加服务类型并建立服务方-用户联盟,即可构造新的DoS攻防博弈均衡,理论上证明了服务跳变策略具有主动的抗DoS特性,对于服务跳变与DoS主动防范策略研究具有理论意义。

服务跳变系统性能的随机Petri网评价

运用随机Petri网理论,给出服务跳变系统的性能评价模型,通过求解同构的连续状态马尔可夫链各状态稳定概率,推理影响服务跳变系统的平均时延和吞吐率等主要性能指标,分析了与同步时延、数据迁徙效率的关系,对于研究主动网络对抗应用的服务跳变系统性能具有理论意义.

基于特征选择和时间卷积网络的工业控制系统入侵检测

针对工业控制系统流量数据存在特征冗余及深度学习模型对较小规模数据集检测能力较差的问题,提出了一种基于特征选择和时间卷积网络的工业控制系统入侵检测模型。首先,对源域数据集的异常特征和样本不平衡数据进行处理,提高源域数据集质量。其次,针对流量数据的特征冗余,利用信息增益率和主成分分析法构建IGR–PCA特征选择算法,筛选出最优特征子集实现数据降维。然后,根据工业控制系统流量数据的时间序列特性,在较大规模的源域数据集上,利用时间卷积网络(temporal convolution network,TCN)对时间序列数据优异的处理能力,构建源域时间卷积网络预训练模型。最后,在较小规模的目标域数据集上,结合迁移学习(transfer learning,TL)微调策略,获取源域样本数据的流量特征,构建目标域TCN–TL模型。利用公开的工业控制系统数据集进行实验测试,实验结果表明:流量数据经本文特征算法处理后,相较于其他方法,在降低数据维度减少计算量的同时仍具有良好的检测效果;在较大规模的源域数据集和较小规模的目标域数据集上,本文模型均取得了良好的检测效果;在目标域中利用迁移学习微调策略能够学习到源域中的知识,模型检测准确率为99.06%;在训练时间对比中,本文模型训练时间消耗更少,具有更好的泛化能力,能够更好地保护工业控制系统安全。

一种改进概率神经网络的工业控制系统安全态势评估方法

工业控制系统是用于工业环境中监视和控制物理设备的互连设备系统,近年来日益遭受层出不穷的各类新型攻击。针对工业控制系统的运行安全问题,文章提出一种改进概率神经网络的工业控制系统安全态势评估方法。该方法首先对收集到的工控数据进行预处理,并利用主成分分析法对数据进行降维;然后使用改进的果蝇优化算法对概率神经网络的参数进行优化,之后通过优化后的概率神经网络进行训练和预测,得到攻击类型的分类结果;最后结合文章中结构化的工控系统安全态势评估方法计算态势值,对系统的状态进行评估。实验表明,改进后的概率神经网络对攻击类型的分类准确率和精确率分别达到87.784%和96.027%,相比原概率神经网络方法,准确率和精确率分别提高了2.654%和4.820%。

信息技术实验教学中心建设的探索与实践

讨论了传统的单独设立实验室模式的弊端,论述了信息技术实验教学中心建设的基本原则,分析了实验中心建设所带来的新问题,指出中心建设并非是简单的实验设备、场地和人员的合并,而是一种资源平台建设和内涵建设,并进一步给出了解决问题的对策。依托信息技术实验教学中心构建了实验教学体系,完善了绩效考核机制和规章制度,理顺了教师与实验人员的关系,推进了实验室开放和实验改革,支持了学生科技创新,取得了良好的效果。

网络安全态势感知研究综述

网络安全态势感知不同于传统的安全措施,它可以对网络中各种活动的行为进行辨识,从宏观的角度进行意图理解和影响评估,进而提供合理的决策支持,在提高网络的监控能力、应急响应能力及预测网络安全的发展趋势等方面都具有重要的意义。分别对态势感知和网络安全态势感知的定义进行了归纳梳理,对经典的态势感知模型和新发展的网络安全态势感知模型进行了总结与对比;介绍了网络安全态势感知的关键技术,主要分为基于层次化分析、机器学习、免疫系统和博弈论的技术;介绍了近年来网络安全态势感知在因特网、工控网和物联网中的应用;对其未来发展趋势和待解决的问题进行了总结与展望。

基于信令博弈的网络诱骗防御策略分析与仿真

将网络诱骗攻防视作一种可观察行为的多阶段信令博弈,运用信令博弈理论分步骤构建了四种网络诱骗攻防博弈模型,即正常服务系统、服务/蜜罐混合系统、两种发送信令的服务/蜜罐混合系统以及三种行动/两种信令的服务/蜜罐混合系统。信令博弈模型中,服务方发送正常信令或蜜罐信令,而攻击者选择访问、判断访问或不访问。通过求解信令博弈模型的贝叶斯均衡策略及均衡条件,推理分析了网络诱骗防御策略的有效性及其约束条件。在此基础上,进一步采用博弈仿真工具Gambit对网络诱骗攻防信令博弈过程进行了仿真测试,验证了博弈理论分析贝叶斯均衡策略的存在性和正确性。

蜜罐技术研究新进展

蜜罐技术是网络防御中的陷阱技术,它通过吸引诱骗攻击者并记录其攻击行为,从而研究学习敌手的攻击目的和攻击手段,保护真实服务资源。然而,传统蜜罐技术存在着静态配置、固定部署等先天不足,极易被攻击者识别绕过而失去诱骗价值。因此,如何提高蜜罐的动态性与诱骗性成为蜜罐领域的关键问题。该文对近年来国内外蜜罐领域研究成果进行了梳理,首先总结了蜜罐发展历史,随后以蜜罐关键技术为核心,对执行过程、部署方式、反识别思想、博弈理论基础进行了分析;最后,对近年来不同蜜罐防御成果分类叙述,并对蜜罐技术发展趋势进行了分析陈述,针对潜在安全威胁,展望新兴领域防御应用。