Threat Modeling-Oriented Attack Path Evaluating Algorithm

In order to evaluate all attack paths in a threat tree,based on threat modeling theory,a weight distribution algorithm of the root node in a threat tree is designed,which computes threat coefficients of leaf nodes in two ways including threat occurring possibility and the degree of damage.Besides,an algorithm of searching attack path was also obtained in accordence with its definition.Finally,an attack path evaluation system was implemented which can output the threat coefficients of the leaf nodes in a target threat tree,the weight distribution information,and the attack paths.An example threat tree is given to verify the effectiveness of the algorithms.

含网络攻击的智能网联汽车路径跟踪状态估计与控制

智能网联汽车具有信息物理系统(Cyber-physical systems, CPS)的特征,运行中容易受到网络攻击的不利影响,造成通信数据的异常交互,降低行车安全。建立智能网联汽车路径跟踪动力学模型和两自由度汽车操纵动力学模型,分析车辆路径跟踪控制系统信息架构,考虑系统响应存在网络攻击,将连续系统状态空间方程进行离散化处理。根据线性二次估计设计一种递归状态估计器。仿真研究网络攻击对智能网联汽车路径跟踪的影响,状态估计器对网络攻击下车辆路径跟踪控制的效果及鲁棒性。结果表明:网络攻击会导致智能网联汽车路径跟踪效果变差,验证了状态估计器能够有效改善网络攻击对车辆跟踪控制的不利影响,且当网络攻击程度λ、协方差P初值的不同,状态估计器表现出较好的鲁棒性。本研究能够保证网络攻击下智能网联汽车数据信息的可靠交互,有利于改善智能网联汽车跟踪行驶的性能。

基于改进积分梯度的黑盒迁移攻击算法

对抗样本可以轻易攻击深度神经网络,影响模型的使用安全。虽然白盒攻击方法有优秀的成功率,但是在黑盒迁移攻击时通常表现出较差的效果。目前最先进的TAIG算法基于积分梯度,可以提升对抗样本的迁移性。但研究发现其积分路径缺失到饱和区的有效信息,并且使用不恰当的基线和梯度计算,限制了算法攻击成功率的上限。改进了积分梯度并提出了IIGA攻击算法(improved integrated gradients attack)。改进积分梯度将有限路径扩展为无限路径,融合输入到真实饱和区的梯度累计,可以表征每个分量更准确的重要性;并提出信息熵基线,确保基线相对于模型不含任何信息。IIGA将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向,平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点,使梯度信息集中于视觉特征,并在迭代过程中加入动量信息稳定梯度方向。在ImageNet数据集上进行的大量实验表明IIGA不仅在白盒攻击下优于FGSM、C&W等算法,在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG等先进的算法。

面向流程工业系统的关键攻击步骤识别

流程工业系统面临愈来愈多的威胁,基于攻击图的关键攻击步骤识别方法能够主动识别系统威胁,提高系统安全性。然而现有方法未考虑流程工业系统层次结构、工艺执行、事故危害等特征,无法全面准确衡量系统安全情况。为此,提出一种基于混合攻击图的关键攻击步骤识别方法,通过对攻击步骤重要性程度进行排序,实现面向流程工业系统的关键攻击步骤识别。首先,构建混合攻击图识别攻击者可能采取的攻击步骤,克服传统攻击图构建方法对网络可达性的依赖。其次,综合流程工业系统特征量化攻击期望,改进接近和介数中心性指标,以捕捉混合攻击图中的攻击路径信息,同时提出边期望中心性实现节点连接边的重要性度量。最后,改进多属性决策方法实现关键攻击步骤识别。实验分析表明,所提方法能够较全面地识别系统潜在威胁,合理衡量攻击步骤节点及连接边的重要性,有效识别流程工业系统场景中的关键攻击步骤。

电力高级量测体系网络攻击致损路径图构建及风险评估

高级量测体系(AMI)是新型电力系统的重要组成部分,随着大量智能终端和异构通信链路广泛接入,网络攻击的风险与日俱增。因此,提出电力AMI网络攻击致损路径图构建及风险量化评估方法,量化分析网络攻击对系统的影响。首先,考虑AMI中的3种网络攻击场景,构建了各场景攻击致损路径图及贝叶斯攻击图。其次,考虑到漏洞利用的难度和攻击者的技术水平,建立了漏洞平均攻破时间(MTTC)模型,计算各攻击目标的攻破概率。然后,建立了针对AMI虚假数据注入的负荷损失评估模型,求解出负荷削减问题,并结合攻击概率提出了安全风险综合定量评估模型。最后,基于IEEE 39节点系统,对比分析了不同级别攻击者在AMI不同攻击致损路径下的MTTC,计算了网络攻击下系统的安全风险值,验证了所提方法的有效性。

基于启发式奖赏塑形方法的智能化攻击路径发现

渗透测试作为一种评估网络系统安全性能的重要手段,是以攻击者的角度模拟真实的网络攻击,找出网络系统中的脆弱点。而自动化渗透测试则是利用各种智能化方法实现渗透测试过程的自动化,从而大幅降低渗透测试的成本。攻击路径发现作为自动化渗透测试中的关键技术,如何快速有效地在网络系统中实现智能化攻击路径发现,一直受到学术界的广泛关注。现有的自动化渗透测试方法主要基于强化学习框架实现智能化攻击路径发现,但还存在奖赏稀疏、学习效率低等问题,导致算法收敛速度慢,攻击路径发现难以满足渗透测试的高时效性需求。为此,提出一种基于势能的启发式奖赏塑形函数的分层强化学习算法(HRL-HRSF),该算法首先利用渗透测试的特性,根据网络攻击的先验知识提出了一种基于深度横向渗透的启发式方法,并利用该启发式方法设计出基于势能的启发式奖赏塑形函数,以此为智能体前期探索提供正向反馈,有效缓解了奖赏稀疏的问题;然后将该塑形函数与分层强化学习算法相结合,不仅能够有效减少环境状态空间与动作空间大小,还能大幅度提高智能体在攻击路径发现过程中的奖赏反馈,加快智能体的学习效率。实验结果表明,HRL-HRSF相较于没有奖赏塑形的分层强化学习算法、DQN及其改进算法更加快速有效,并且随着网络规模和主机漏洞数目的增大,HRL-HRSF均能保持更好地学习效率,拥有良好的鲁棒性和泛化性。

基于最大熵强化学习的最优渗透路径生成方法

从攻击者角度分析入侵意图和渗透行为对于指导网络安全防御具有重要意义。然而,现有的渗透路径大多依据瞬时的网络环境构建,导致路径参考价值降低。针对该问题,文中提出了一种基于最大熵强化学习的最优渗透路径生成方法,该方法可以在网络环境动态变化的情况下,以探索的形式捕获多种模式的近似最优行为。首先,依据攻击图和漏洞评分对渗透过程进行建模,通过量化攻击获益来刻画渗透行为的威胁程度;然后,考虑到入侵行为的复杂性,开发基于最大熵模型的Soft Q-学习方法,通过控制熵值和奖励的重要程度来保证求解渗透路径的过程具有稳定性;最后将该方法应用于动态变化的测试环境中,生成高可用的渗透路径。仿真实验结果表明,相比于现有基于强化学习的基准方法,所提方法具有更强的环境适应性,能够以更低的代价生成更高收益的渗透路径。

基于节点路径重构和ELM的无线通信网络DDoS攻击源追踪

在无线通信网络中,DDoS攻击通常涉及大量的攻击者和恶意节点,并以多种形式发起攻击。攻击流量经过中间节点和反射/放大攻击等技术手段后变得更加复杂,追踪其溯源路径和确定唯一的攻击源变得复杂。为此,文中研究基于节点路径重构和ELM的无线通信网络DDoS攻击源追踪方法。通过正则化方式优化ELM的参数,检测获取DDoS攻击数据包;采用路由器标记算法标记DDoS攻击数据包,在无线通信网络域间重构攻击节点路径,获取DDoS攻击源位置,完成无线通信网络DDoS攻击源追踪。实验结果证明:文中方法可精准检测获取DDoS攻击数据包,并完成攻击数据包的标记,且可有效重构攻击节点路径,追踪到DDoS攻击源。

Permutation Code Encryption—New Achievement Based on Path Encryption

By researching into the attack to present block cipher, we find an essential reason leading to the assailable encryption strength, set up a new block cipher idea and put forward a block cipher encryption concept path encryption. We present permutation code encryption which is based on path encryption. Now permutation code encryption is a patent of Chinese invention. In Permutation Code Encryption, we use a pseudo-random sequence of the keys to control the paths. The simulation result shows that for n-bit block the encryption strength is novel higher than 2^n and the algorithm can finish the encryption of one block in 7.5 ns, which is unrelated with the block length.

Cybersecurity: A Statistical Predictive Model for the Expected Path Length

The object of this study is to propose a statistical model for predicting the Expected Path Length (expected number of steps the attacker will take, starting from the initial state to compromise the security goal—EPL) in a cyber-attack. The model we developed is based on utilizing vulnerability information along with having host centric attack graph. Utilizing the developed model, one can identify the interaction among the vulnerabilities and individual variables (risk factors) that drive the Expected Path Length. Gaining a better understanding of the relationship between vulnerabilities and their interactions can provide security administrators a better view and an understanding of their security status. In addition, we have also ranked the attributable variables and their contribution in estimating the subject length. Thus, one can utilize the ranking process to take precautions and actions to minimize Expected Path Length.

基于信号博弈模型的网络攻击归因方法

现有的网络攻击归因方法缺乏对攻击成本与防御措施的考虑,对攻击行为分析不够全面、准确。通过分析攻防对抗与非合作博弈基本特征的一致性,构建信号博弈模型描述攻防过程。利用通用漏洞评分系统CVSS(common vulnerability scoring system)对攻防成本及收益进行量化,采用信号传递机制表述防御信息对攻击者决策产生的重要影响,基于对博弈均衡解的分析实现对攻击策略的可信归因。实验结果表明,所提模型可以提升网络攻击归因的准确性,对防御策略的选取具有指导作用。

面向联邦学习的神经通路中毒攻击方法

随着人工智能技术与大数据科学的不断发展,联邦学习在金融、医疗、工业制造等重要领域中得到广泛运用.同集中式学习相比,联邦学习在效率和安全性上都有明显的优势.然而,随着应用层次的逐步深入,联邦学习也随之暴露出一些安全问题,例如:隐私窃取、中毒攻击等.为了更好的挖掘联邦学习中存在的安全漏洞,本文提出了一种面向联邦学习的神经通路中毒攻击方法(Neural Path Poisoning Attack,NPFA).首先利用准备的中毒数据集生成与目标模型等价的中毒模型,然后提取中毒模型中的神经通路并替换目标模型的神经通路,使得联邦模型在聚合的过程中中毒,并在保持中毒能力的同时克服中毒模型与正常模型差异较大这一问题,实现隐蔽的中毒攻击,绕过防御方法.大量实验验证了植入神经通路后的中毒成功率可以达到85%以上,并且联邦学习主任务性能略有提升.值得一提的是,在一些联邦防御方法下,NPFA依旧有很好的攻击效果.

木蝴蝶苷A通过调控MEK/ERK信号通路对肝癌细胞增殖侵袭和上皮间质转化的机制研究

目的:探究木蝴蝶苷A通过调控MEK/ERK信号通路对肝癌细胞增殖、侵袭和上皮间质转化的机制。方法:将肝癌细胞HepG2分为Control组、OAL组、OAM组、OAH组、PD98059组和ML-099组。MTT法检测细胞增殖能力;Transwell小室法检测细胞侵袭能力;流式细胞仪检测细胞凋亡能力;蛋白质印迹法检测细胞中MEK.p-MEK、ERK.p-ERK蛋白及EMT相关蛋白表达。结果:OAL组、OAM组和OAH组细胞增殖和侵袭能力(82.34±2.43)、(61.04±1.61)、(32.44±1.04)均明显低于Control(110.42±3.86)组,细胞凋亡率(6.81±0.62)、(11.74±0.94)、(18.36±1.05)明显高于Control组(5.01±0.53)(F侵袭=1068,F凋亡=323.1,P<0.0001);细胞中上皮间质转化蛋白E-cadherin蛋白(0.42±0.04)、(0.58±0.05)、(0.97±0.09)高于Control组(0.23±0.03)(F=181.1,P<0.0001);上皮间质转化蛋白N-cadherin(0.63±0.06)、(0.51±0.05)、(0.38±0.03)、Vimentin蛋白(1.23±0.11)、(0.98±0.09)、(0.51±0.05)及p-MEK/MEK(0.72±0.07)、(0.51±0.05)、(0.32±0.03)和p-ERK/ERK(0.92±0.09)、(0.68±0.06)、(0.41±0.04)比值低于Control组(F_(N-cadherin)=39.04,F_(Vimentin)=111.0,F_(p-MEK/MEK)=107.8,F_(p-ERK/ERK)=82.68,P<0.0001)。PD98059组细胞增殖和侵袭能力(30.86±1.01)均明显低于Control组(t=48.84,P<0.0001),细胞凋亡能力(17.95±0.98)明显高于Control组(t=28.45,P<0.0001),细胞中上皮间质转化蛋白E-cadherin蛋白(0.92±0.09)明显高于Control组(t=17.82,P<0.0001),上皮间质转化蛋白N-cadherin(0.37±0.04)(t=9.585)、Vimentin蛋白(0.41±0.04)(t=19.99)及p-MEK/MEK(0.30±0.03)(t=16.78)、p-ERK/ERK(0.39±0.04)(t=14.65)比值均明显低于Control组(P<0.0001)。ML-099组细胞增殖和侵袭能力(100.86±2.68)均明显高于OAH组(t=12.54,P<0.0001),细胞凋亡能力(5.15±0.86)明显低于OAH组(t=23.84,P<0.0001);和OAH组相比,ML-099组细胞中上皮间质转化蛋白E-cadherin蛋白(0.25±0.03)明显减少(t=18.59,P<0.0001),上皮间质转化蛋白N-cadherin(0.69±0.07)(t=0.971,P<0.0001)、Vimentin蛋白(1.50±0.12)(t=18.65,P<0.0001)及p-MEK/MEK(0.94±0.09)(t=16.01,P<0.0001)、p-ERK/ERK(1.05±0.10)(t=2.367,P=0.0395)比值均明显升高。结论:木蝴蝶苷A可抑制肝癌细胞增殖、侵袭和上皮间质转化,诱导肝癌细胞凋亡,其机制和抑制MEK/ERK信号通路有关。

基于强化学习的工控系统渗透测试最优路径生成方法

针对现有渗透测试方法的不足,提出了结合工业控制系统特点与强化学习模型的最优渗透测试路径生成方法.首先分析工业控制系统典型结构和安全威胁以及渗透测试基本流程;然后基于强化学习模型对目标系统和攻击者进行建模,提出了基于Q-Learning的渗透测试最优路径生成方法;最后,以石油催化炼化系统为对象进行实验验证.结果表明该方法能够综合考虑测试人员专业技能和目标设备的差异,从多个高效的路径中生成渗透测试最优路径,为大规模工控系统的渗透测试提供了解决思路.

自动化渗透测试应用研究综述

渗透测试对目标网络系统的安全进行评估,能够有效地预防网络攻击,保护目标系统。传统渗透测试依赖测试人员的专业知识,人力和时间成本大。自动化渗透测试是当前研究的热点,不仅降低了人工参与程度,还能够全面地发现并验证网络中潜在的威胁,提高了渗透测试的成功率。文中针对自动化渗透测试应用进行深入研究。首先,介绍了传统渗透测试和自动化渗透测试的概念和流程,对比了两种方法各自的特点。其次,从基于漏洞组合的自动化攻击链、基于攻击图的攻击路径分析及基于人工智能的自动化渗透3个角度归纳了当前自动化渗透测试技术研究,创新性地总结了自动化攻击链的组合方法并划分基于图论的攻击路径分析研究,最后对渗透测试的发展和未来挑战进行总结和展望。

软件定义网络抗拒绝服务攻击的流表溢出防护

针对拒绝服务攻击导致软件定义网络交换机有限的流表空间溢出、正常的网络报文无法被安装流表规则、报文转发时延、丢包等情况,提出了抗拒绝服务攻击的软件定义网络流表溢出防护技术FloodMitigation,采用基于流表可用空间的限速流规则安装管理,限制出现拒绝服务攻击的交换机端口的流规则最大安装速度和占用的流表空间数量,避免了流表溢出。此外,采用基于可用流表空间的路径选择,在多条转发路径的交换机间均衡流表利用率,避免转发网络报文过程中出现网络新流汇聚导致的再次拒绝服务攻击。实验结果表明,FloodMitigation在防止交换机流表溢出、避免网络报文丢失、降低控制器资源消耗、确保网络报文转发时延等方面能够有效地缓解拒绝服务攻击的危害。

基于主机事件的攻击发现技术研究综述

在飞速发展的信息时代和数据时代,网络攻击对个人隐私、工作生活乃至生命财产安全带来了严重威胁。而主机作为人类进行日常工作交流、生活娱乐、数据存储的重要设备,成为了网络攻击的主要目标。因此,进行主机攻击发现技术的研究是紧迫且必要的,而主机事件作为记录主机中一切行为的载体,成为了当今网络攻防领域的重点研究对象。攻击者在主机中的各种恶意操作会不可避免地被记录为主机事件,但恶意事件隐藏在规模庞大的正常事件中难以察觉和筛选,引发了如何获取主机事件、如何识别并提取恶意事件、如何还原攻击过程、如何进行安全防护等一系列问题的学术研究。本文对基于主机事件的攻击发现技术相关研究进行了广泛的调研和细致的汇总,对其研究发展历程进行了梳理,并将本文所研究的基于主机事件的攻击发现技术与入侵检测、数字取证两大研究方向从分析对象、分析方法、作用时间、分析目的4个方面进行了对比,阐明了本文所研究问题的独特之处,并对其下定义。随后,本文对基于主机事件的攻击发现技术涉及的关键概念进行了解释,提出了该领域面临的依赖关系爆炸和及时性两大问题,并将研究按照阶段划分为主机事件采集、主机事件处理、主机事件分析三个类别,分别介绍了三个类别围绕两大问题共计12个细分方向的研究成果和进展,最后结合研究现状提出了主机事件记录的完整性和可信性、攻击发现的时效性、跨设备的攻击发现、多步骤攻击的发现、算法的运用等5个未来可能的研究方向。

基于强化学习的自动化Windows域渗透方法

Windows域为用户之间的资源共享及信息交互提供统一的系统服务,在便利内网管理的同时带来了巨大的安全隐患。近年来,针对域控制器的各式攻击层出不穷,实现自动化渗透能够灵活检测Windows域中存在的漏洞威胁,保障办公网络安全稳定地持久运行,其核心是高效挖掘环境内可行的攻击路径。为此,将渗透测试过程进行强化学习建模,通过智能体与域环境的真实交互发现漏洞组合,进而验证有效的攻击序列;基于主机对渗透进程的贡献差异,减少强化学习模型中非必要的状态与动作,优化路径选择策略,提升实际攻击效率;使用状态动作删减、探索策略优化的Q学习算法筛选最优攻击路径,自动验证域环境中所有可能的安全隐患,为域管理员提供防护依据。实验针对典型内网业务场景展开测试,从生成的13种高效攻击路径中筛选最优路径,通过与相关研究成果对比,突出了所提方法在域控权限获取、主机权限获取、攻击步长、收敛性以及时间代价等方面的性能优化效果。

基于分层任务网络的攻击路径发现方法

攻击路径发现是辅助网络资产安全评估的一项关键任务。现有基于智能规划的攻击路径发现方法因建模语言丰富和规划算法完备而深受安全从业者青睐,但其存在的扩展性问题不容忽视。为此,提出一种基于分层任务网络的攻击路径发现方法。具体而言,围绕网络规模逐步扩展、路径发现任务愈加复杂和安全推演场景频繁变化所引发的扩展性问题,将所提方法分解为3个阶段。第一阶段,针对路径生成性能差的问题,引入面向目标拓扑的多层级K路划分算法;第二阶段,针对领域问题描述难的问题,构建融入专家经验的路径规划分层任务网络;第三阶段,针对路径更新效率低的问题,设计应对局部信息更替的攻击路径维护方案。实验结果表明,所提方法适用于大规模网络,执行效率更高,具备良好的扩展性。

基于分层强化学习的智能化攻击路径发现方法

智能化攻击路径发现是开展自动化渗透测试的一项关键技术,但现有方法面临着状态、动作空间呈指数型增长和奖励稀疏等问题,导致算法难以收敛。为此,提出了一种基于分层强化学习的智能化攻击路径发现方法iPathD(Intelligent Path Discovery)。iPathD将攻击路径发现过程构建为一个分层的马尔可夫决策过程,以分别描述上层的主机间渗透路径发现和下层的单主机内部攻击路径发现,并在此基础上提出并实现了一种基于分层强化学习的攻击路径发现算法。实验结果表明,与传统基于DQN(Deep Q Learning)及其改进算法的方法相比,iPathD路径发现方法更加快速有效,并且随着主机中漏洞数目的增加,iPathD的效果更好,且适用于大规模的网络场景。