基于启发式奖赏塑形方法的智能化攻击路径发现

渗透测试作为一种评估网络系统安全性能的重要手段,是以攻击者的角度模拟真实的网络攻击,找出网络系统中的脆弱点。而自动化渗透测试则是利用各种智能化方法实现渗透测试过程的自动化,从而大幅降低渗透测试的成本。攻击路径发现作为自动化渗透测试中的关键技术,如何快速有效地在网络系统中实现智能化攻击路径发现,一直受到学术界的广泛关注。现有的自动化渗透测试方法主要基于强化学习框架实现智能化攻击路径发现,但还存在奖赏稀疏、学习效率低等问题,导致算法收敛速度慢,攻击路径发现难以满足渗透测试的高时效性需求。为此,提出一种基于势能的启发式奖赏塑形函数的分层强化学习算法(HRL-HRSF),该算法首先利用渗透测试的特性,根据网络攻击的先验知识提出了一种基于深度横向渗透的启发式方法,并利用该启发式方法设计出基于势能的启发式奖赏塑形函数,以此为智能体前期探索提供正向反馈,有效缓解了奖赏稀疏的问题;然后将该塑形函数与分层强化学习算法相结合,不仅能够有效减少环境状态空间与动作空间大小,还能大幅度提高智能体在攻击路径发现过程中的奖赏反馈,加快智能体的学习效率。实验结果表明,HRL-HRSF相较于没有奖赏塑形的分层强化学习算法、DQN及其改进算法更加快速有效,并且随着网络规模和主机漏洞数目的增大,HRL-HRSF均能保持更好地学习效率,拥有良好的鲁棒性和泛化性。

基于智能电网量测集受控随机化的移动目标防御方法

信息物理协同攻击利用网络攻击掩盖或者延长物理攻击的影响,对智能电网造成了极大威胁。为阻止协同的虚假数据注入攻击,暴露物理攻击的影响,提出了一种基于量测集受控随机化的移动目标防御方法。首先,形式化描述了量测值的选择需要满足的约束;其次,采用随机的量测集进行状态估计,使得攻击者关于电网的先验知识失效;最后,使用MATPOWER模拟器在IEEE标准系统上进行了大量的仿真,实验结果表明,该方法可以防止50%以上的状态被攻击。

一种抗网络侦察的网络指纹在线混淆机制

网络指纹探测是实施网络攻击之前的重要情报获取工作。但作为一种主动对抗指纹探测行为的典型方法,现有的网络指纹混淆技术仍存在部署复杂性高、对端系统不透明,以及对网络性能影响大等问题。为此,基于可编程数据平面技术,提出了一种抗网络指纹探测的分组在线混淆机制P4FO。P4FO利用可编程交换机的灵活分组处理能力,以端系统透明的方式在线混淆网络指纹信息。在分析探测流响应速率特征的基础上,实现了“识别—重构”相结合的网络指纹两阶段混淆方案,支持融主动探测流识别、虚假指纹定制,以及在线指纹混淆等能力为一体,并能够缓解高速网络环境中可编程交换机的资源约束。基于真实网络流量数据集的实验表明,P4FO在对抗网络指纹探测能力方面优于当前主流方法,为网络设备指纹保护提供了一种更为高效的解决途径。

基于分层强化学习的智能化攻击路径发现方法

智能化攻击路径发现是开展自动化渗透测试的一项关键技术,但现有方法面临着状态、动作空间呈指数型增长和奖励稀疏等问题,导致算法难以收敛。为此,提出了一种基于分层强化学习的智能化攻击路径发现方法iPathD(Intelligent Path Discovery)。iPathD将攻击路径发现过程构建为一个分层的马尔可夫决策过程,以分别描述上层的主机间渗透路径发现和下层的单主机内部攻击路径发现,并在此基础上提出并实现了一种基于分层强化学习的攻击路径发现算法。实验结果表明,与传统基于DQN(Deep Q Learning)及其改进算法的方法相比,iPathD路径发现方法更加快速有效,并且随着主机中漏洞数目的增加,iPathD的效果更好,且适用于大规模的网络场景。

AntiMNT:一种对抗多源网络层析成像的拓扑混淆机制

作为一种典型的网络拓扑推断方法,网络层析成像技术可以被攻击者用来准确推断目标网络的拓扑结构,进而向关键节点或链路发起有针对性的攻击行为。为了有效隐藏真实的网络拓扑结构等信息,提出了一种基于主动欺骗方式对抗多源网络层析成像探测的拓扑混淆机制AntiMNT。AntiMNT针对多源网络层析成像的探测过程,策略性地构建虚假拓扑结构,并据此混淆攻击者对目标网络的端到端测量数据,使其形成错误的拓扑推断结果。为了高效生成具有高欺骗特征的混淆网络拓扑,AntiMNT随机生成候选混淆拓扑集,并在此基础上用多目标优化算法搜索具有高安全性和可信度的最优混淆拓扑。基于几种真实网络拓扑的实验分析表明,AntiMNT可以生成高欺骗性和安全性的混淆网络拓扑,从而能够有效防御基于网络层析成像的网络侦察。

对抗多模式网络层析成像的拓扑混淆机制

网络层析成像技术能通过测量目标网络的端到端性能测度来推断其拓扑结构,进而为攻击者开展更加精准的网络攻击行为提供支持。尽管网络拓扑混淆技术为对抗这类侦察行为提供了一种解决思路,但现有的网络拓扑混淆技术在探测模式识别准确度、对抗行为有效性等方面仍存在不足。为此,提出一种对抗多模式网络层析成像的拓扑混淆机制M2NTO。针对网络层析成像模式多样化的特点,M2NTO基于增量更新的动态决策树分类算法,构建一种能够在线对抗多样化探测行为的端到端性能参数扰动方法,以应对不同模式的层析成像拓扑探测手段。在多种典型真实网络拓扑上的仿真实验表明,M2NTO在多个场景中都能够以在线的方式准确识别不同模式的探测行为,探测流识别准确率在多个场景下都达到了98%以上,误报率维持在2%之内,探测流分类准确率达到95%以上,在此基础上,通过扰动相应的性能测度干扰攻击者的推断结果,使攻击者推断的网络拓扑与真实网络拓扑的相似度下降到60%以下,有效增强混淆拓扑生成的效能。

飞行自组网拓扑控制研究综述

飞行自组网(FANET)的拓扑结构蕴含着无人机之间以及无人机与基础设施之间通信的路径信息,是影响FANET性能的关键因素。对现有FANET拓扑控制研究进行综述,首先,介绍了FANET的网络架构以及FANET拓扑控制的研究框架和需求,并将FANET拓扑控制算法具体分为4类。在此基础上,对每类FANET拓扑控制算法进行了全面梳理与详细分析,通过对比总结了不同算法的特点和优缺点。最后,探讨了FANET拓扑控制仍面临的挑战及未来的研究方向。

面向智能渗透攻击的欺骗防御方法

基于强化学习的智能渗透攻击旨在将渗透过程建模为马尔可夫决策过程,以不断试错的方式训练攻击者进行渗透路径寻优,从而使攻击者具有较强的攻击能力。为了防止智能渗透攻击被恶意利用,提出一种面向基于强化学习的智能渗透攻击的欺骗防御方法。首先,获取攻击者在构建渗透攻击模型时的必要信息(状态、动作、奖励);其次,分别通过状态维度置反扰乱动作生成,通过奖励值符号翻转进行混淆欺骗,实现对应于渗透攻击的前期、中期及末期的欺骗防御;最后,在同一网络环境中展开3个阶段的防御对比实验。实验结果表明,所提方法可以有效降低基于强化学习的智能渗透攻击成功率,其中,扰乱攻击者动作生成的欺骗方法在干扰比例为20%时,渗透攻击成功率降低为0。

面向SDN拓扑发现的LDoS攻击防御技术研究

准确获取网络拓扑是软件定义网络(Software Defined Network,SDN)中控制器进行有效决策的前提,而现有拓扑发现机制难以有效应对低速率拒绝服务(Low rate Denial of Service,LDoS)攻击等行为。通过理论和实验分析LDoS攻击对SDN拓扑发现造成的影响,提出了一种面向SDN拓扑发现的LDoS攻击防御机制TopoGuard。TopoGuard根据LDoS攻击的周期性特征,通过连续突发检测快速发现存在的疑似攻击场景,并基于主动链路识别策略避免攻击行为造成网络拓扑中断。最后,在OpenDaylight控制器上实现了TopoGuard。实验结果显示,TopoGuard能够有效检测和防御LDoS攻击行为,保证控制器获取全局拓扑信息的正确性。

SDICN: A Software Defined Deployable Framework of Information Centric Networking

the Information-Centric Networking(ICN) paradigm is proved to have the advantages of decreasing data delivery latency, enhancing user mobility, etc. However, current implementations of ICN require changing the infrastructure of Internet, which hinders its deployment and development. Meanwhile, Software Defined Networking(SDN) emerges as a viable solution to facilitate the deployment of new network paradigm without disrupting production traffic by decoupling the control plane from data forwarding plane. In this paper, the essential properties which reflect ICN working principles are summarized, and a framework called SDICN is designed in accordance to the SDN philosophy. The algorithmic frameworks of SDICN which can satisfy the essential properties are designed based on the programmability and virtualization functions of SDN. Based on Open Flow and data center technology, a prototype of SDICN is implemented. By comparing the performance with the CCNx, the SDICN is proved to be feasibility and availability.

OpenFlow交换机流表溢出缓解技术研究综述

软件定义网络的转发控制分离、集中控制、开放接口等特性使网络变得灵活可控,其架构得到了充分的发展.由于与各种云化业务的良好结合,软件定义网络(software defined networking,SDN)在近些年来得到了大量的商业部署.在基于OpenFlow的SDN架构中,为了实现流表项的快速查找、掩码匹配等目标,商业部署的硬件交换机大多使用三态内容寻址存储器(ternary content addressable memory,TCAM)来存储控制器下发的流表项.但受限于TCAM的容量和价格,目前商用OpenFlow交换机至多能支持存储数万条流表项,导致其存在因突发流和流表攻击等原因而产生流表溢出问题,严重影响了网络性能.因此,如何建立高效的流表溢出缓解机制引起了研究人员的广泛关注.首先对OpenFlow交换机流表溢出问题产生的原因及其影响进行了分析,在此基础上按照流量突发和攻击行为2种情况归纳对比了流表溢出缓解技术的研究现状,总结分析了现有研究存在的问题与不足,并展望了未来的发展方向和面临的挑战.

带有欺骗证据的蜜罐博弈攻防策略优化机制

利用博弈模型实现蜜罐行为策略的优化是提高蜜罐诱捕能力的重要手段。现有研究存在动作空间简单、割裂博弈全过程的问题。基于此,提出了带有欺骗证据的蜜罐博弈机制(HoneyED)。HoneyED在扩大攻防动作空间的基础上,综合考虑博弈全过程,关注攻击者信念变化及这种变化对攻防策略的影响;然后基于信念求解理论均衡策略;最后基于深度反事实遗憾值最小化(Deep-CFR)设计了攻防混合策略均衡近似求解算法,得到了执行近似混合策略的攻防智能体。理论和实验结果表明,虽然攻击方在信念达到一定阈值后应及时退出博弈以获得最大收益,但所得蜜罐策略在考虑风险的情况下能尽量降低攻击方信念以诱骗其继续攻击,从而获得更大收益,且能针对具有不同欺骗识别能力的攻击方选择最佳响应。

RMOF:一种韧性驱动的微服务编排框架

面对多样化安全威胁,针对微服务架构下的编排调度问题,提出了一种韧性驱动的微服务编排框架(Resilience-driven Microservice Orchestration Framework,RMOF)。RMOF综合充分考虑系统的韧性目标、风险、应对技术以及实现代价等,建立在韧性目标约束下的微服务编排模型,并在此基础上设计了一种部分保留的遗传算法(Partially Preservation Genetic Algorithms,GA-PP)对编排模型进行求解,最终形成满足韧性能力约束的微服务链。实验结果表明,RMOF能够有效建立韧性约束下的微服务链模型,提升系统的韧性能力。

一种面向大规模网络仿真的自适应拓扑划分机制

随着网络空间靶场等技术的发展,大规模网络仿真的需求越来越迫切。受限于主机的处理能力,大规模网络仿真需要在多台主机上部署,而如何合理对网络拓扑进行划分就成为影响仿真效率的关键因素。为此,提出了基于物理仿真主机性能约束的自适应拓扑划分模型,并在典型拓扑划分工具METIS的基础上实现了相应的划分算法。拓扑划分算法包括仿真规模预估和拓扑划分调整两大步骤,前者根据网络拓扑和物理主机性能约束估算需要划分的子块数目,后者根据物理主机性能约束进行拓扑的划分和调整。实验结果表明所提出的拓扑划分机制能够有效针对大规模网络的仿真需求进行拓扑划分,并保证划分结果满足物理主机性能约束和子块间负载均衡等目标。

基于预训练Transformers的物联网设备识别方法

为帮助网络管理员迅速隔离局域网内的异常、易受攻击的物联网设备,以防攻击者利用设备漏洞侵入内部网络进行潜伏和后续深度攻击,高效的物联网设备识别方法显得尤为重要。然而,现有基于机器学习的识别方法普遍存在特征选择过程复杂、获取的数据流特征不稳定等问题,从而影响了识别准确性。为此,文章提出了一种基于预训练Transformers的物联网设备识别方法,该方法主要通过IoTBERT模型对设备流量进行处理,以实现物联网设备识别目标。IoTBERT包括预训练单元和设备识别单元等核心组件,预训练单元通过使用无标记物联网设备流量数据训练ALBERT模型,将数据特征编码嵌入高维特征向量中,从而获取流量特征表示模型。设备识别单元则利用标记数据微调预训练模型的参数权重,并结合残差网络在分组级别上完成物联网设备识别。该方法自动学习流量特征表示并执行分类识别决策,无需人工设计特征工程和手动构建多阶段处理流程,直接将原始数据分组编码映射到相应的类别标签,从而实现端到端的物联网设备识别。在公开数据集Aalto、UNSW和CIC IoT上的实验结果表明,文章所提方法能够基于数据分组有效识别物联网设备,并且该方法的平均识别准确率分别达到97.2%、92.1%和99.8%。