用于评估网络信息系统的风险传播模型

为了评估网络信息系统的安全风险,提出了一个由风险网络和风险传播算法构成的风险传播模型,并以一个具有代表性的实例阐明了该模型在网络风险评估中的应用,验证了传播算法的正确性.实例分析表明,应用风险传播模型的评估方法较传统方法在评估结论的准确性和制定符合最优成本效应的安全建议等方面更具优势.

网络风险评估中网络节点关联性的研究

在网络风险评估领域中,为了提高评估的准确性,很多研究工作中都引入了网络节点间的连通性,然而,这种性质还不足以表达出各节点间基于物理连通关系之上的某种特殊的逻辑关系,如一方对另一方独有资源的控制关系.为此,文中引入了网络节点关联性(NNC)的概念,通过对实践过程中若干种访问情景的分析,提出了NNC的分类方法,然后讨论了NNC的发现方法,并举例阐明了NNC在网络风险评估中的应用及作用.通过深入地分析和对比可以看出,利用NNC可以将若干孤立的弱点联系起来,有助于分析网络的安全风险;此外,NNC在包含各协议层连通性的基础上丰富了网络节点间独有的特权关系,利用NNC也有助于提高检测网络弱点和网络攻击的准确性.

DDoS攻击检测和控制方法

分布式拒绝服务(distributed denial of service,简称DDoS)攻击是当今互联网的重要威胁之一.基于攻击包所处网络层次,将DDoS攻击分为网络层DDoS攻击和应用层DDoS攻击,介绍了两类攻击的各种检测和控制方法,比较了处于不同部署位置控制方法的优劣.最后分析了现有检测和控制方法应对DDoS攻击的不足,并提出了DDoS过滤系统的未来发展趋势和相关技术难点.

基于特权提升的多维量化属性弱点分类法的研究

在分析国际上典型的弱点分类方法的基础上,提出了一种基于特权提升的多维量化属性的弱点分类法,并以三个弱点为例,分析了该弱点分类法的特点,给出了弱点的风险评估算式以及风险评估级的划分。

计算机弱点数据库综述与评价

计算机弱点数据库已成为弱点研究的重要组成部分,对收集、存储和组织弱点信息具有重要意义。本文介绍了计算机弱点的定义及分类,分析并评价了现有的弱点数据库,最后讨论了其存在的问题以及将采取的技术路线。

一种主机系统安全的量化风险评估方法

随着信息技术安全问题的日益突出,信息安全产品的开发者纷纷寻求可信的第三方的安全评估,而目前针对主机软件系统的评估方法都存在着一定的缺点。该文结合软件系统的弱点信息,提出了一种主机系统安全的量化风险评估方法,并以评估实例分析了评估算法,最后阐明了本评估方法的优势。

网络运行安全指数多维属性分类模型

安全指数作为反映和测度网络安全态势的一种核心方法,具有重要的研究意义.为度量网络信息系统在运行过程中的安全态势,文中给出了网络运行安全指标和指数的定义,提出了10个关键分类属性以及指数分类的通用概念模型ICM,该模型为具体指数分类模型的构建和不同分类模型的比较提供了统一的模型方法.基于ICM模型和10维分类属性,文中同时提出了一个多维属性指数分类模型ICM M10,并通过4个典型指数的应用实例阐明了M10模型的应用过程和应用意义.应用实例分析表明,M10模型能够刻画出安全指数在10个关键属性上的本质特性,对深入研究指数特性、关系及其内在含义具有指导意义,同时,也为建构多层次安全指数体系提供了理论和技术基础.

网络异常性指数的一种直推式定量计算方法

针对网络异常性指数的计算问题,基于数量特征指数、成分特征指数、分布特征指数和模式特征指数提出了一种直推式定量计算方法——QCDP法,通过应用真实网络流数据的7个实验验证了该方法的有效性。理论分析与实验结果表明:与传统的基于流量的直推式方法相比,QCDP法能够更有效地反映出典型网络安全事件对宏观态势产生的影响;与归纳式方法相比,QCDP法具有更好的客观性、实时性和实用性。

主流操作系统安全弱点的综合量化评估

在前期研究工作的基础上,将基于指数的微观分析和基于风险和的宏观分析相结合,提出了一种综合量化评估主流操作系统安全弱点的方法,并对Windows NT、Redhat Linux和Solaris等3大主流操作系统6个版本的1081个弱点实施了评估。该方法能够有效地分析各操作系统版本的演进对其安全性的影响,以及横向比较操作系统在不同层次、不同方面的安全状况。

一种改进的网络安全态势量化评估方法

在基于隐马尔可夫模型的网络安全态势评估中,观测序列的获取和状态转移矩阵的确立是影响评估准确性的关键.目前观测序列多以随机方式获取,不能有效表征网络的安全性;而状态转移矩阵往往依据经验给出,具有很强的主观性.该文提出改进方法:首先,基于警报的统计特性提出警报质量的概念,依据警报质量获取的观测序列,可改进数据源的有效性;其次,基于安全事件和防护措施的博弈过程,提出确定状态转移矩阵的方法,并结合攻击成功的概率对其进行修正,提高状态转移矩阵的有效性.对比实验证明,基于改进算法生成的风险值对网络安全态势的量化更加合理.

网络安全态势感知研究综述

网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点;最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。

计算机网络安全性分析建模研究

安全性分析研究工作需要把计算机网络与安全相关的系统资源和安全因素抽取出来建立一种面向安全性分析的安全模型。从安全需求的类别、等级和面临的主要威胁出发,分析了系统设备、访问权限、主体连接关系和弱点,从攻击者目的是提升特权的角度对攻击作了形式化的描述。针对计算机系统的安全故障树方法和网络信息系统的攻击图方法应用了这一安全分析建模工作。

基于模式挖掘和聚类分析的自适应告警关联

大部分攻击事件都不是孤立产生的,相互之间存在着某种联系,如冗余关系和因果关系等.大多数入侵检测系统忽略了上述关联性,从而暴露出高误报率的严重问题.在分析比较了目前较为流行的几种告警关联方法的优缺点基础上,提出了一种基于模式挖掘和聚类分析的自适应告警关联模型A3PC.以告警的行为模式概念为中心,A3PC将异常检测思想引入告警关联的问题上,通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效、精简的管理员告警视图.使用MIT Lincoln实验室提供的DARPA入侵检测攻击场景数据集进行了测试,实验分析表明,A3PC较传统方法在告警关联准确程度、实时性和自适应性等方面更具优势.

基于TCM-KNN和遗传算法的网络异常检测技术

提出了一种基于TCM-KNN的网络异常检测新方法,并采用遗传算法选择使用少量高质量的训练样本进行建模,从而有效地对入侵进行检测。大量基于著名的KDD Cup 1999数据集的实验表明:其相对于传统的异常检测方法在保证较高检测率的前提下,有效地降低了误报率;并且,在采用选择后的训练集优化处理后,其性能没有明显的削减,因而相对于传统方法更为适用于现实的网络应用环境。

基于会话异常度模型的应用层分布式拒绝服务攻击过滤

大量的网络攻击手段和可利用的网络资源大大增加了抵御分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击的难度.应用层DDoS建立在正常的网络层行为之上,当前网络层安全设备无法有效抵御攻击.文章提出了一种应用层DDoS攻击过滤模型.基于攻击请求的生成方式,文中将应用层DDoS攻击分为5类,分析了应用层DDoS攻击与正常访问行为的不同,提出了访问行为异常属性和session异常度模型.利用此模型,可以有效区分正常访问session和应用层DDoS攻击session.将First-Come First-Serve(FCFS)、Low Suspicion First(LSF)和Round Robin3种转发策略与session异常度模型结合,采用真实网络日志,模拟分析合法请求返回时延随时间的变化关系.结果表明,转发速率为合法请求最大速率就可获得较好的转发性能,此外,FCFS和Round Robin比LSF具有更低的合法请求返回时延.

基于混合结构深度神经网络的HTTP恶意流量检测方法

针对HTTP恶意流量检测问题,提出了一种基于裁剪机制和统计关联的预处理方法,进行流量的统计信息关联及归一化处理。基于原始数据与经验特征工程相结合的思想提出了一种混合结构深度神经网络,结合了卷积神经网络与多层感知机,分别处理文本与统计信息。与传统机器学习算法(如SVM)相比,所提方法效果提升明显,F1值可达99.38%,且具有更低的时间代价。标注了一套由45万余条恶意流量和2000万余条非恶意流量组成的数据集,并依据模型设计了一套原型系统,精确率达到了98.1%～99.99%,召回率达到了97.2%～99.5%,应用在真实网络环境中效果优异。

基于权能转换模型的攻击场景推理、假设与预测

为了自动地从大量低级的入侵检测告警信息中构建出更高层次的攻击场景,并在一定程度上预测即将发生的攻击,提出了一种基于权能转换模型的实时告警信息相关性分析的方法。通过对推理依据的高度抽象,权能转换模型极大地降低了攻击场景构建过程的复杂度。在DARPA2000测试数据集上的测试实验结果表明,提出的方法是可行的、有效的。

奇异值分解算法优化

奇异值分解算法在信号处理、图像处理、信息安全等领域均有重要应用.针对该算法存在的性能问题,提出了基于gamma:1驱动的数据重用模型,提高计算负载平衡性,降低数据通信量;给出基于多处理器的并行分解模型,数值试验均表明算法具有较高的并行加速比和效率.

基于主动学习和SVM方法的网络协议识别技术

针对未知网络协议数据流的获取与标记工作主要依赖于领域专家。然而,样本数据量的增加会导致人工成本超过实际负荷。提出了一种新颖的未知网络协议识别方法。该方法基于主动学习算法,仅依靠原始网络数据流的载荷部分实现对未知网络协议的有效识别。实验结果表明,采用该方法设计的识别系统在保证识别准确率和召回率的前提下,能够有效地降低学习过程中标记的样本数目,更适用于实际的网络应用环境。

基于环境属性的网络威胁态势量化评估方法

传统的网络威胁态势评估方法主要是基于原始的警报信息,未结合目标网络的环境信息,使得方法的准确性受到很大的影响.提出了一种基于环境属性的网络威胁态势量化评估方法,该方法首先根据目标网络的环境属性对警报进行验证,判定引发警报的安全事件发生的可能性;然后,基于安全事件的风险级别及所针对的资产价值,分析安全事件发生后造成的损失;最后,基于安全事件发生的可能性及造成的损失量化评估网络的威胁态势.实例分析结果表明,该方法可以准确地量化评估网络的威胁态势.