A Novel Attack Graph Posterior Inference Model Based on Bayesian Network

Network attack graphs are originally used to evaluate what the worst security state is when a concerned net-work is under attack. Combined with intrusion evidence such like IDS alerts, attack graphs can be further used to perform security state posterior inference (i.e. inference based on observation experience). In this area, Bayesian network is an ideal mathematic tool, however it can not be directly applied for the following three reasons: 1) in a network attack graph, there may exist directed cycles which are never permitted in a Bayesian network, 2) there may exist temporal partial ordering relations among intrusion evidence that can-not be easily modeled in a Bayesian network, and 3) just one Bayesian network cannot be used to infer both the current and the future security state of a network. In this work, we improve an approximate Bayesian posterior inference algorithm–the likelihood-weighting algorithm to resolve the above obstacles. We give out all the pseudocodes of the algorithm and use several examples to demonstrate its benefit. Based on this, we further propose a network security assessment and enhancement method along with a small network scenario to exemplify its usage.

基于时空图神经网络的应用层DDoS攻击检测方法

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络安全的主要威胁之一,其中应用层DDoS攻击是主要的攻击手段。应用层DDoS攻击是针对具体应用服务的攻击,其在网络层行为表现正常,传统安全设备无法有效抵御。同时,现有的针对应用层DDoS攻击的检测方法检测能力不足,难以适应攻击模式的变化。为此,文章提出一种基于时空图神经网络(Spatio-Temporal Graph Neural Network,STGNN)的应用层DDoS攻击检测方法,利用应用层服务的特征,从应用层数据和应用层协议交互信息出发,引入注意力机制并结合多个GraphSAGE层,学习不同时间窗口下的实体交互模式,进而计算检测流量与正常流量的偏差,完成攻击检测。该方法仅利用时间、源IP、目的IP、通信频率、平均数据包大小5维数据便可有效识别应用层DDoS攻击。由实验结果可知,该方法在攻击样本数量较少的情况下,与对比方法相比可获得较高的Recall和F1分数。

基于漏洞信息和攻击图的信息路径风险评分系统

基于漏洞信息和攻击图提出一种能够测量特定路径风险的信息路径风险评级系统。该方法使用通用漏洞评分系统(CVSS)以及节点和路径信息,通过执行保密性、完整性、可用性(CIA)的算法评估,并分析每个节点之间的漏洞相关性,计算出风险评分。在实验中,计算了CVSS分值、CIA分值以及节点和路径的风险评分,并与其他风险评分系统进行了比较。通过比较攻击路径风险找到了最具威胁的攻击路径。这证实了提出的方法计算网络攻击路径的风险,并根据风险评分有效地选择了攻击路径。使用此评分系统对特定网络中的信息系统进行量化安全管控。

基于GATv2模型的虚假数据注入攻击检测方法

虚假数据注入攻击(False data injection attack,FDIA)能够躲避传统不良数据检测器,给智能电网的稳定运行带来了挑战。因此,提出了一种基于改进图注意力网络(Graph attention network v2,GATv2)模型的FDIA检测方法。首先,基于电力系统结构和FDIA的特性,构建模型所需数据集;然后,根据电力系统的拓扑信息和运行信息建立图数据;设计基于GATv2的检测模型对电网图数据的空间特征进行提取,进而检测注入的虚假数据攻击;最后,在IEEE 14节点和IEEE 118节点系统上验证了GATv2模型的有效性,且仿真结果表明GATv2模型检测性能优于其他模型,检测准确率达到98%以上,在不同攻击节点数和不同攻击强度情况中都具有较好的鲁棒性。

结合图卷积神经网络和集成方法的推荐系统恶意攻击检测

推荐系统已被广泛应用于电子商务、社交媒体、信息分享等大多数互联网平台中,有效解决了信息过载问题。然而,这些平台面向所有互联网用户开放,导致不法用户利用系统设计缺陷通过恶意干扰、蓄意攻击等行为非法操纵评分数据,进而影响推荐结果,严重危害推荐服务的安全性。现有的检测方法大多都是基于从评级数据中提取的人工构建特征进行的托攻击检测,难以适应更复杂的共同访问注入攻击,并且人工构建特征费时且区分能力不足,同时攻击行为规模远远小于正常行为,给传统检测方法带来了不平衡数据问题。因此,文中提出堆叠多层图卷积神经网络端到端学习用户和项目之间的多阶交互行为信息得到用户嵌入和项目嵌入,将其作为攻击检测特征,以卷积神经网络作为基分类器实现深度行为特征提取,结合集成方法检测攻击。在真实数据集上的实验结果表明,与流行的推荐系统恶意攻击检测方法相比,所提方法对共同访问注入攻击行为有较好的检测效果并在一定程度上克服了不平衡数据的难题。

A Network Security Risk Assessment Method Based on a B_NAG Model

Computer networks face a variety of cyberattacks.Most network attacks are contagious and destructive,and these types of attacks can be harmful to society and computer network security.Security evaluation is an effective method to solve network security problems.For accurate assessment of the vulnerabilities of computer networks,this paper proposes a network security risk assessment method based on a Bayesian network attack graph(B_NAG)model.First,a new resource attack graph(RAG)and the algorithm E-Loop,which is applied to eliminate loops in the B_NAG,are proposed.Second,to distinguish the confusing relationships between nodes of the attack graph in the conversion process,a related algorithm is proposed to generate the B_NAG model.Finally,to analyze the reachability of paths in B_NAG,the measuring indexs such as node attack complexity and node state transition are defined,and an iterative algorithm for obtaining the probability of reaching the target node is presented.On this basis,the posterior probability of related nodes can be calculated.A simulation environment is set up to evaluate the effectiveness of the B_NAG model.The experimental results indicate that the B_NAG model is realistic and effective in evaluating vulnerabilities of computer networks and can accurately highlight the degree of vulnerability in a chaotic relationship.

基于局部攻击图的最小关键漏洞集分析方法

为缓解攻击图应用在工业互联网安全防护中的状态空间爆炸问题,提出一种基于局部攻击图的最小关键漏洞集分析方法。提出一种以重要资产节点为目标的局部攻击图生成算法,通过裁剪不可达目标节点的攻击路径缓解状态空间爆炸问题;基于局部攻击图生成过程中得到的攻击路径漏洞集直接进行最小关键漏洞集分析,节省传统分析方法在搜索关键漏洞过程中对攻击图进行二次遍历的时空开销。在此基础上,通过工业网络实例进行分析并开展相关工作比较,实验结果表明,所提方法合理可行,可高效分析网络系统中的最小关键漏洞集。

图神经网络对抗攻击与鲁棒性评测前沿进展

近年来,图神经网络(GNNs)逐渐成为人工智能的重要研究方向。然而,GNNs的对抗脆弱性使其实际应用面临严峻挑战。为了全面认识GNNs对抗攻击与鲁棒性评测的研究工作,对相关前沿进展进行梳理和分析讨论。介绍GNNs对抗攻击的研究背景,给出GNNs对抗攻击的形式化定义,阐述GNNs对抗攻击及鲁棒性评测的研究框架和基本概念。对GNNs对抗攻击领域所提具体方法进行了总结和梳理,并对其中的前沿方法从对抗攻击类型和攻击目标范围的角度进行详细分类阐述,分析了它们的工作机制、原理和优缺点。考虑到基于对抗攻击的模型鲁棒性评测依赖于对抗攻击方法的选择和对抗扰动程度,只能实现间接、局部的评价,难以全面反映模型鲁棒性的本质特征,从而着重对模型鲁棒性的直接评测指标进行了梳理和分析。在此基础上,为了支撑GNNs对抗攻击方法和鲁棒性模型的设计与评价,通过实验从易实现程度、准确性、执行时间等方面对代表性的GNNs对抗攻击方法进行了对比分析。对存在的挑战和未来研究方向进行展望。总体而言,目前GNNs对抗鲁棒性研究以反复实验为主,缺乏具有指导性的理论框架。如何保障基于GNNs的深度智能系统的可信性,仍需进一步系统性的基础理论研究。

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

基于随机游走的图神经网络黑盒对抗攻击

图神经网络在许多图分析任务中取得了显著的成功。然而,最近的研究揭示了其对对抗性攻击的易感性。现有的关于黑盒攻击的研究通常要求攻击者知道目标模型的所有训练数据,并且不适用于攻击者难以获得图神经网络节点特征表示的场景。文章提出了一种更严格的黑盒攻击模型,其中攻击者只知道选定节点的图结构和标签,但不知道节点特征表示。在这种攻击模型下,文章提出了一种针对图神经网络的黑盒对抗攻击方法。该方法近似每个节点对模型输出的影响,并使用贪心算法识别最优扰动。实验表明,虽然可用信息较少,但该算法的攻击成功率接近最先进的算法,同时实现了更高的攻击速度。此外,该攻击方法还具有迁移和防御能力。

基于知识图谱的网络攻击预测方法研究及应用

针对网络攻击知识图谱,同时引入了时序信息,提出一种基于知识图谱的网络攻击预测方案,并对其进行应用。通过对网络攻击知识图谱进行规则学习和应用,能够有效地得到网络攻击事件预测结果,为网络安全运维人员提供决策支持。以企业提供的网络安全运维知识图谱为例,将文中研究的方法应用到企业安全检测系统,结果证明该方法具有充分的准确性和可行性,同时为后续研究提供了思路。

基于特征拓扑融合的黑盒图对抗攻击

在大数据时代,数据之间的紧密关联性是普遍存在的,图数据分析挖掘已经成为大数据技术的重要发展趋势。近几年,图神经网络作为一种新型的图表示学习工具引起了学术界和工业界的广泛关注。目前图神经网络已经在很多实际应用中取得了巨大的成功。最近人工智能的安全性和可信性成为了人们关注的重点,很多工作主要针对图像等规则数据的深度学习对抗攻击。文中主要聚焦于图数据这种典型非欧氏结构的黑盒对抗攻击问题,在图神经网络模型信息(结构、参数)未知的情况下,对图数据进行非随机微小扰动,从而实现对模型的对抗攻击,模型性能随之下降。基于节点选择的对抗攻击策略是一类重要的黑盒图对抗攻击方法,但现有方法在选择对抗攻击节点时主要依靠节点的拓扑结构信息(如度信息)而未充分考虑节点的特征信息,文中面向引文网络提出了一种基于特征拓扑融合的黑盒图对抗攻击方法。所提方法在选择重要性节点的过程中将图节点特征信息和拓扑结构信息进行融合,使得选出的节点在特征和拓扑两方面对于图数据都是重要的,攻击者对挑选出的重要节点施加不易察觉的扰动后对图数据产生了较大影响,进而实现对图神经网络模型的攻击。在3个基准数据集上进行实验,结果表明,所提出的攻击策略在模型参数未知的情况下能显著降低模型性能,且攻击效果优于现有的方法。

面向图神经网络模型提取攻击的图数据生成方法

无数据模型提取攻击是基于攻击者在进行攻击时所需的训练数据信息未知的情况下提出的一类机器学习安全问题。针对无数据模型提取攻击在图神经网络(GNN)领域的研究缺乏,提出分别用GNN可解释性方法GNNExplainer和图数据增强方法GAUG-M优化图节点特征信息和边信息生成所需图数据,最终提取GNN模型的方法。首先,利用GNNExplainer方法对目标模型的响应结果进行可解释性分析得到重要的图节点特征信息;其次,通过对重要的图节点特征加权,对非重要图节点特征降权,实现图节点特征信息的整体优化;然后,使用图形自动编码器作为边信息预测模块,根据优化后的图节点特征得到节点与节点之间的连接概率;最后,根据概率增加或者删减相应边优化边信息。实验采用5个图数据集训练的3种GNN模型架构作为目标模型提取攻击,得到的替代模型达到了73%~87%的节点分类任务准确性和76%~89%的与目标模型性能的一致性,验证了所提方法的有效性。

引入度中心性选择攻击节点的对抗攻击算法

图卷积网络(GCN)在图神经网络中应用广泛,在处理图结构数据方面发挥着重要作用。然而,最近的研究表明,GCN容易受到中毒攻击等恶意攻击。在针对GCN的所有可能的对抗性攻击中,有一种特殊的方法是针对图卷积网络的目标通用攻击TUA(target universal attack)。该方法在挑选攻击节点时为了简便采用随机选择策略,该策略忽略了节点邻居对节点的重要性,对攻击成功率有负面影响。针对这个问题,提出了一种基于度中心性的攻击节点选择策略的对抗攻击算法(adversarial attack algorithm based on degree centrality attack node selection strategy,DCANSS)。优化挑选攻击节点的方式,引入度中心性,得到攻击节点。注入假节点并与攻击节点连接。挑选辅助节点并应用图卷积网络的消息传递机制,使节点信息扩散,计算扰动并将扰动特征赋予假节点,完成攻击,达到误分类目标。在三个流行的数据集上的实验表明,当仅使用3个攻击节点和2个假节点时,所提出的攻击对图中任意受害节点的平均攻击成功率达到90%。将DCANSS算法与TUA算法以及其他建立的基线算法进行实验对比,进一步验证了DCANSS算法的攻击能力。

基于子图采样的大规模图对抗性攻击方法

为提高对抗性攻击在大规模图上的攻击效率,提出了基于子图采样的对抗样本生成方法.该方法通过引入PageRank、余弦相似度及K跳子图等技术,提取与目标节点高度相关的子图,在大规模图上缓解了计算梯度效率较低的问题,在降低被攻击模型准确性的同时提升了攻击的隐蔽性.实验结果表明:所提出的对抗性攻击方法与基于梯度攻击的GradArgmax算法相比,在Cora数据集上提升了30.7%的攻击性能,且在Reddit大规模数据上能够计算GradArgmax算法无法计算的攻击扰动.

基于对比学习的图神经网络后门攻击防御方法

针对现有的后门攻击防御方法难以处理非规则的非结构化的离散的图数据的问题,为了缓解图神经网络后门攻击的威胁,提出了一种基于对比学习的图神经网络后门攻击防御方法(CLB-Defense)。具体来说,基于对比学习无监督训练的对比模型查找可疑后门样本,采取图重要性指标以及标签平滑策略去除训练数据集中的扰动,实现对图后门攻击的防御。最终,在4个真实数据集和5主流后门攻击方法上展开防御验证,结果显示CLB-Defense能够平均降低75.66%的攻击成功率(与对比算法相比,改善了54.01%)。

基于贝叶斯攻击图的光网络安全态势预测研究

针对网络攻击事件难以实时准确反映,导致光网络安全态势预测效果较差的问题,提出一种基于贝叶斯攻击图的光网络安全态势预测方法。利用漏洞扫描软件对网络中的缺陷进行扫描,获得初始数据,基于相关数据建立贝叶斯攻击图对网络中的不确定参数分析,计算各个节点的先验概率和后验概率,确定各个节点的危险等级,设定遗传算法的遗传算子与迭代次数,对特征数据降维处理,采用随机森林方法选择最优特征子集,对局部条件概率计算,实现光网络安全态势预测。实验结果表明,设计方法能够在短时间内就实现光网络安全态势的准确预测,满足方法设计需求。

基于吸收马尔可夫链攻击图的网络攻击分析方法研究

现有基于攻击图的入侵路径研究在计算状态转移概率时,缺乏对除基本网络环境信息以外因素的考虑,为了全面且合理地分析目标网络的安全性,提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先,在攻击图的基础上,提出了一种基于漏洞生命周期的状态转移概率归一化算法;其次,使用该算法将攻击图映射为吸收马尔可夫链,并给出其状态转移概率矩阵;最后,对状态转移概率矩阵进行计算,全面分析目标网络的节点威胁程度、攻击路径长度、预期影响。在实验网络环境中应用所提方法,结果表明,所提方法能够有效分析目标网络中的节点威胁程度、攻击路径长度以及漏洞生命周期对网络整体的预期影响,有助于安全研究人员更好地了解网络的安全状态。

一种新的融合深度强化学习的节点注入攻击方法

深度图神经网络的脆弱性导致模型容易遭受到恶意的攻击。现有的图神经网络逃逸攻击主要以梯度信息作为节点注入依据,攻击易被察觉。为此,提出一种在黑盒场景下的攻击模型DRL-IAA。考虑到图结构的离散特性和攻击方式的可转移性,采用强化学习作为攻击框架。且根据不同攻击阶段的不同特性,引入图注意力网络进行伪节点特征生成,采用图卷积网络用作连边。文章在三个基准数据集上进行了相关对比实验。实验表明,DRL-IAA能够生成更加有效的对抗样本来误导分类器的判断;在总体时间效率上也优于其他模型。

基于贝叶斯网络的攻击事件智能发掘模型

针对目前传统入侵检测系统难以得出网络攻击行为之间存在的关联关系问题,以攻击图表示模型为指引,提出一种基于贝叶斯网络的攻击事件智能发掘模型。本文以先验知识建立贝叶斯攻击行为关联图。基于属性相似度聚合网络攻击行为,针对网络攻击场景设计高效的Ex-Apriori算法发掘攻击行为间的关联规则,并建立攻击行为组集。利用贝叶斯攻击行为关联图的参数对攻击行为组集进行计算,实现对攻击事件的发掘。实验表明,本模型能有效提取网络攻击事件及发现攻击路径,为网络攻击事件的发现与应对措施提供理论支持和技术支撑。