APT攻击下的无线通信网络最优主动防御决策模型

最优主动防御决策可以保障无线通信网络的安全稳定性,为了提高无线通信网络的防御效果,提出了APT攻击下的无线通信网络最优主动防御决策模型。关联无线通信网络日志,构建APT攻击对象集合,通过反馈相容系数计算APT攻击事件的绝对相容度,并预测APT攻击行为。基于APT攻击源对无线通信网络攻击的信道带宽,获取无线通信网络受到APT攻击的位置,利用无线通信网络节点的权值系数,提取无线通信网络的APT攻击特征。利用攻防图,计算得到APT攻击对无线通信网络的损害程度,通过定义无线通信网络的安全状态,构建了无线通信网络最优主动防御决策模型。实验结果表明,所提模型在防御无线通信网络的APT攻击时,可以将攻击数据包拒包率和吞吐量分别提高到90%以上和16000 bit/s以上,并且时延较低,具有更好的防御效果。

应对APT攻击的中医药信息安全防御模型

目的在全国中医药的数据中心、计算中心、网络中心互联互通建设背景下,中医药信息网络安全问题也成为重点问题。北京市中医药大数据创新实验室结合中医院特征和中医思想构建中医药网络信息安全防御体系,维护中医数据安全资产机制,保障智慧化与中医药信息网络安全工作。方法本研究采集某三甲中医院疫情期间2021年9月7日至2022年3月7日遭遇攻击数据39921条分析该三甲中医院遭受攻击特征与风险特征。结合中医古籍《黄帝内经》中“未病先防、病防变”的“治未病”的诊治思想以及“正气存内,邪不可干”等中医诊治原理构建多级APT攻击防御模型;采集该三甲中医院冬奥期间2022年1月28日至2022年2月27日遭遇攻击数据4725条作为实验数据开展实验并验证模型。结果在第一层(探测层)防御攻击3953条占总攻击量84%,放行771条进入第二层。第二层(入侵层)防御攻击708条占上一层放行攻击量92%,放行63条进入第三层。第三层(潜伏层)防御攻击41条占上一层放行攻击量65%,放行22条进入第四层。第四层(退出层)防御攻击22条,放行0条。该22条攻击行为发现均来自于院内系统和安全设备。实现全部攻击行为均实现识别与阻断。结论本研究建立的多级APT防护模型验证有效。其优点是通过多维度安全设备建立威胁情报提高防御检测率和减少误报现象,对外部攻击行为更加敏感,定位威胁更加精准,响应处置更加及时,为中医药信息化建设与管理提供支撑。

基于蚁群算法的电力数据网络APT攻击特征分析及防御技术

为了维护电力数据网络的安全,采用建立高级持续性威胁(APT)攻击防御体系模型的方式,降低电力数据网络遇到APT攻击时产生的损害。利用蚁群算法的优势,提出一种基于蚁群算法的电力数据网络APT攻击防御模型,并针对基于蚁群算法的电力数据网络APT攻击预警模型进行性能测试。测试结果表明,该系统的防御精度可达91.2%,可为电力数据网络的未来发展营造良好技术监督手段。

面向APT攻击的分层表示模型

针对窃密型APT攻击缺乏形式化表示的问题,建立一种窃密型APT攻击分层表示模型APT-HRM。参考HARM模型将APT攻击分为攻击链和攻击树上下2层,并对其进行形式化定义。攻击链由侦察、渗透、开采和撤出4个阶段组成,攻击树由攻击链各阶段所对应的攻击手段组成,APT按照攻击链分阶段依次进行攻击。对DUQU 2.0 APT攻击的分析结果表明,该模型能够有效描述窃密型APT攻击行为。

APT攻击分层表示模型

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。

一种抗APT攻击的可信软件基设计与实现

传统TCG可信计算技术旨在提高计算平台自身安全免疫能力,其平台主模块TPM作为外部设备挂载于通用计算平台外部总线。该技术对计算平台上可以使用的应用软件、静态文件等采用被动防御方式,仅能监管符合TCG可信服务接口规范的程序,尤其对APT攻击及0day攻击的防御能力较弱,影响了平台的可扩展性和整体安全性。为此,文章提出一种抗APT攻击的可信软件基,利用可信软件基对安全芯片TCM的信任链扩展能力,主动植入操作系统内核,实时校验可执行程序的运行和对静态文件的操作,实现操作系统、业务软件的安全可信运行。实验结果表明,抗APT攻击的可信软件基可以动态、主动度量业务处理系统,适用于构建自主可控的Linux可信计算平台。

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁(APT)攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型(OAPG),计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。

基于Petri网的APT攻击模型生成方法

在严峻的APT(advanced persistent threat)攻击防御背景下,针对现有网络攻击建模方法无法反映APT攻击的攻击特点的问题,建立了基于Petri网的APT攻击模型。借助Petri网,针对APT攻击的特点及生命周期,建立APT攻击的基本Petri网模型;然后设计并实现针对具体APT攻击的APTPN(advanced persistent threat petrinets)模型的生成算法,该算法能够生成具体APT攻击的完整的攻击路径,并能够对APT攻击进行检测及预测。实验通过模拟极光攻击验证了算法的有效性及正确性,并能够根据收集到的报警信息预测攻击者下一步的攻击手段。

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.

基于反馈机制的APT攻击趋势动态预测仿真

针对当前有关APT攻击预测成果存在非标准拟合指数低、能耗高的问题,提出基于反馈机制的APT攻击趋势动态预测方法。采用反馈机制构建APT攻击传播模型,在分层感知与综合威胁量化下对APT攻击态势进行评估。基于攻击传播模型和攻击态势评估结果,结合网络大规模日志记录开展关联分析并构成上下文。引入可信度计算公式,得到APT攻击所有可行路径可信程度,以此实现APT攻击趋势预测。通过实验仿真的方式验证本文方法,实验结果表明,上述方法非标准拟合指数高,预测能耗低于文献相关成果。所提方法预测准确率高,且网络能耗耗费低,可靠性与合理性优越。

网络空间威胁狩猎的研究综述

近年来,随着网络的普及和信息化水平的不断提高,越来越多的公司把重要信息和机密文件存储在连接着网络的计算机上。但是,由于网络攻击的手段层出不穷,威胁狩猎的思想和理念孕育而生并且逐渐成熟。由此,首先对网络空间威胁的定义和攻击流程模型进行介绍,再阐述了威胁狩猎的定义和核心技术,然后描述了威胁狩猎使用的工具;最后,概括总结现有的主流威胁狩猎的框架,比较各个框架的优缺点,并阐明了下一步的发展方向。

网络攻击螺旋模型构建及运用研究

网络攻击模型是实施网络攻击的基本遵循依据,本文分析了经典网络攻击链模型存在的适用性不足、全面性欠缺、整体性不够三个主要问题,构建了更适合描述APT攻击的网络攻击螺旋模型。该模型将网络攻击活动描述为侦察、武器化、渗透与破坏、横向移动、撤出以及评估与改进6个阶段,并设置为螺旋循环式结构,通过对攻击链模型的优化与重构,使模型层次更加分明,任务更加明确,功能更加完备。在此基础上,对模型中各阶段行动应当完成的攻击任务和采取的攻击方式进行了梳理,运用统一建模语言从静态和动态两个方面对网络攻击螺旋模型在APT攻击中的运用方式进行了形式化描述,梳理了该模型的运用原则和特性,对分析识别APT攻击行为并采取针对性防御措施阻断攻击链具有一定借鉴意义。

一种基于等级保护的高级持续性威胁防护模型研究

随着信息安全技术的发展,各种网络攻击层出不穷,这当中,高级持续性威胁攻击(俗称APT攻击)属于较为新颖的同时也是危害和防护难度最大的攻击方式。本次研究针对APT攻击泛滥的问题,提出了基于等级保护制度的APT攻击防护模型。首先采用了从分析国内外APT攻击态势入手,提出了APT攻击模型,接着总结了APT攻击各阶段的手法,探讨了如何利用国家信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求去应对APT攻击模型和各阶段的攻击手法,从而提出了基于等级保护制度的APT防护模型。