Anti-Attacking Modeling and Analysis of Cyberspace Mimic DNS

With the rapid development of information technology,the cyberspace security problem is increasingly serious.Kinds of dynamic defense technology have emerged such as moving target defense and mimic defense.This paper aims to describe the architecture and analyze the performance of Cyberspace Mimic DNS based on generalized stochastic Petri net.We propose a general method of anti-attacking analysis.For general attack and special attack model,the available probability,escaped probability and nonspecial awareness probability are adopted to quantitatively analyze the system performance.And we expand the GSPN model to adjust to engineering practice by specifying randomness of different output vectors.The result shows that the proposed method is effective,and Mimic system has high anti-attacking performance.To deal with the special attack,we can integrate the traditional defense mechanism in engineering practice.Besides,we analyze the performance of mimic DNSframework based on multi-ruling proxy and input-output desperation,the results represent we can use multi ruling or high-speed cache servers to achieve the consistent cost of delay,throughput compared with single authorized DNS,it can effectively solve 10%to 20%performance loss caused by general ruling proxy.

Research on anti-attack performance of a private cloud safety computer based on the Markov-Percopy dynamic heterogeneous redundancy structure

With the increasing computing demand of train operation control systems,the application of cloud computing technology on safety computer platforms of train control system has become a research hotspot in recent years.How to improve the safety and availability of private cloud safety computers is the key problem when applying cloud computing to train operation control systems.Because the cloud computing platform is in an open network environment,it can face many security loopholes and malicious network at-tacks.Therefore,it is necessary to change the existing safety computer platform structure to improve the attack resistance of the private cloud safety computer platform,thereby enhancing its safety and reliability.Firstly,a private cloud safety computer platform architecture based on dynamic heterogeneous redundant(DHR)structure is proposed,and a dynamic migration mechanism for heterogeneous executives is designed.Then,a generalized stochastic Petri net(GSPN)model of a private cloud safety computer platform based on DHR is established,and its steady-state probability is solved by using its isomorphism with the continuous-time Markov model(CTMC)to analyse the impact of different system structures and executive migration mechanisms on the system's anti-attack performance.Finally,through experimental verifcation,the system structure proposed in this paper can improve the anti-attack capability of the private cloud safety computer platform,thereby improving its safety and reliability.

城市防疫医疗救援网络的抗毁性与鲁棒性

为研究城市防疫医疗救援系统空间布局的合理性和防灾韧性,采用复杂网络技术构建了某城市防疫医疗救援网络模型,对其网络拓扑结构和网络特征基本参数进行分析,研究不同攻击模型下以边和点连通度为度量指标的结构抗毁性能力;通过设定不同的网络冗余与网络负荷,研究网络针对确定性攻击与随机性攻击的鲁棒性特征。研究结果可为城市防疫医疗救援系统的空间优化布局和核心场所强化建设提供理论支撑。

物理不可克隆函数的机器学习防御与攻击综述

随着卫星导航技术的发展,芯片、模块和板卡等导航产品被广泛应用到各种导航终端设备上,但这些设备在开放环境中的通信安全问题日益凸显。物理不可克隆函数(Physical Unclonable Function, PUF)是一种新型“硬件指纹”技术,基于PUF的身份认证方式可以对设备进行硬件层面的认证,满足其轻量级和高安全性的认证需求。针对多数PUF易受到机器学习(Machine Learning, ML)建模攻击的问题,对不同的结构改进方法进行介绍,分析了几种常用ML攻击算法的特点,提出了防御和攻击两方面的性能评价方法,从安全性方面讨论了PUF的未来发展趋势。

基于红黑隔离架构的网络安全设备设计

基于IP(Internet Protocol)技术的天地一体化网络数据传输易受非法攻击,基于IPSec(Internet Protocol Security)的传统网络安全设备采用单主机同时连接内网和外网处理单元进行设计,存在非授权用户通过外网直接访问受保护内网的风险。文中提出了一种基于红黑隔离架构的网络安全设备新方案。方案采用红黑分区的设计理念和基于Linux下IPSec框架的VPN(Virtual Private Network)技术,通过在红区实现传输数据、基于“五元组”的安全保密规则合法性验证以及IPSec ESP(Encapsulating Security Payload)协议封装与解封装变换,在黑区实现ESP封装加密数据的公网收发,在安全服务模块实现根据外部指令完成加密算法动态切换和ESP封装数据的加解密处理,并将安全服务模块作为红区和黑区之间数据交换的通道,达到内网和外网相互隔离且有效保障内网安全的目的。实验结果表明,基于红黑隔离架构的网络安全设备抗攻击能力强,加密算法可更换,在百兆带宽条件下1024 Byte包长加密速率大于50 Mbit·s^(-1)。

Epidemic spreading on scale-free networks with diversity of node anti-attack abilities

In this article, a modified susceptible-infected-removed （SIR） model is proposed to study the influence of diversity of node anti-attack abilities on the threshold of propagation in scale-free networks. In particular, a vulnerability function related to node degree is introduced into the model to describe the diversity of a node anti-attack ability. Analytical results are derived using the mean-field theory and it is observed that the diversity of anti-attack of nodes in scale-free networks can increase effectively the threshold of epidemic propagation. The simulation results agree with the analytical results. The results show that the vulnerability functions can help adopt appropriate immunization strategies.

基于Web的短信验证码防刷系统研究和应用

在Web应用程序中,短信验证码作为用户账号身份验证的主要手段,经常遭受恶意攻击和刷号行为,使得用户账号安全和服务器运维的问题变得日益突出。文章结合短信服务、防刷规则,通过系统设计和算法实现,提供一套完整的短信验证码防刷系统方案,有效地识别和阻止恶意用户频繁请求短信验证码,为Web应用程序的安全性和可靠性提供持久、稳定的保障。

基于变形分数阶Lorenz混沌系统的图像加密算法

提出一种基于变形分数阶Lorenz混沌系统并且结合频域Arnold置乱的图像加密算法,使用离散小波变换对图像进行多次滤波,置乱选取有参数的Arnold映射克服了周期性影响,采用非等长Arnold置乱解决了对明文图像尺寸的限制问题。密钥生成使用安全哈希算法SHA-256,分别产生置乱阶段和扩散阶段的密钥,增强了系统的抗差分攻击能力。性能仿真结果表明,提出的加密算法密钥空间大、密钥敏感性高、密文统计直方图分布均匀、相邻像素相关性低、信息熵接近于理想值、抗差分攻击能力强,具有较高的安全性。

一种抗合谋攻击的区块链网络分片算法

分片技术是区块链用来解决可扩展性问题的主流技术之一。通过分片技术可以有效地提升区块链的吞吐量,然而由于子链算力分布不均导致区块链安全性差。为了降低网络分片引起的子链合谋攻击风险,提出基于一种抗合谋攻击的区块链网络分片算法(anti-collusion attack network sharding algorithm for blockchain,AANS)。该算法综合考虑节点行为特征及算力特征,通过轮询区块链网络中的恶意节点,将算力均匀分配在各个子链中,避免恶意节点聚集造成合谋攻击问题。仿真实验从子链恶意节点数量、子链合谋算力、子链合谋攻击占比和危险子链占比这四个方面验证所提出AANS算法的有效性。仿真结果表明,AANS算法可以有效避免子链恶意节点聚集,降低子链合谋攻击风险,保证区块链子链的安全性。

一种基于时效近邻可信选取策略的协同过滤推荐方法

传统协同过滤推荐通常基于数据是静态的假设,在数据稀疏时存在推荐精度低下的问题。为解决该问题,一些研究尝试向推荐策略中添加有关用户兴趣变化、推荐能力可信度等补充信息,但对误导或干扰推荐的恶意用户兴趣策略变化和推荐能力波动等异常情况欠缺考虑,系统抗攻击性、推荐稳定性与可信性均难以得到保证。通过引入兴趣时效相似度和推荐信度重估两个概念,提出了一种基于时效近邻可信选取策略的协同过滤推荐方法。该方法充分考虑了影响目标用户近邻筛选质量的用户兴趣异常变化和推荐能力波动两个关键因素,构建了包含时效近邻筛选、可信近邻选取和评分预测3个策略的推荐流程。在MovieLens数据集和亚马逊video game数据集上,利用平均绝对误差,平均预测增量,攻击用户查准率、查全率和调和平均等评估指标,对所提策略与其他6种基准策略进行了比较。结果显示,新策略在推荐精度、抗攻击力和攻击者识别力上均有明显的性能提升。

纹理和深度特征增强的双流人脸呈现攻击检测方法

人脸呈现攻击是一种利用照片、视频等将人脸通过媒介呈现在摄像头前欺骗人脸识别系统的技术.现有的人脸呈现攻击检测方法大多采用深度特征辅助监督分类,忽略有效的细粒度信息以及深度信息与纹理信息的相互联系.因此,文中提出纹理和深度特征增强的双流人脸呈现攻击检测方法.一端网络通过中心差分卷积网络提取比原始卷积网络更鲁棒的欺骗人脸纹理模式.另一端网络通过生成对抗网络生成深度图的深度线索,提高对外观变化和图像质量差异的稳定性.在特征增强模块中,设计中心边缘损失,对两类互补特征进行融合和增强.在4个数据集上的实验表明,文中方法在数据集内以及跨数据集的测试中都取得较优性能.

基于递归神经网络的非结构化数据加密存储

为实现非结构化大数据的安全存储并提高其抗攻击能力,提出了基于递归神经网络的非结构化数据加密存储方法。通过分块处理医院非结构化大数据,获得输入、输出张量,构建基于LSTM的递归神经网络,生成医院大数据序列;通过向前反馈和向后反馈获得加密数据,将加密后数据包用加密后源数据包的线性组合代替;再设计基于列不满秩概率存储算法,通过加密存储子节点控制器分配加密存储任务。实验结果表明:该方法具有较强的抗攻击能力,存储效率优势更显著。

抗共谋攻击的多授权电子健康记录共享方案

为解决属性基加密方案中用户权限变更不灵活以及无法抵抗共谋攻击的问题,本文提出一种抗共谋攻击的多授权电子健康记录共享方案.采用版本控制的方式实现属性撤销,属性授权中心为非撤销用户提供更新密钥并更新密文,而没有更新密钥的用户将无法继续获取数据.为了保证数据访问的效率,系统将大部分计算外包至云服务器执行.此外,所有属性授权中心需要生成各自的公私钥对以抵抗共谋攻击.本方案在随机谕言模型下满足选择明文攻击不可区分安全,与其他多中心方案相比,功能更加实用且解密开销至少降低了45.9%.

一种基于QKD的多方拜占庭共识协议

经典拜占庭共识协议使用的数字签名在量子计算的攻击下暴露出了脆弱性。现有的很多量子安全拜占庭共识协议使用量子纠缠等技术,建设成本高,难以普及推广,而使用量子密钥分发(Quantum Key Distribution,QKD)等较为成熟的无纠缠量子技术保障抗量子攻击更具实用性。因此,文章在无纠缠多方量子拜占庭协议基础上,通过加入公告板、改变共识流程和使用无条件安全的MAC等手段,提出一种基于QKD的多方拜占庭共识协议。该协议修复了无纠缠多方量子拜占庭协议的3个安全风险,减少了对QKD生成密钥的使用量,将共识目标由可检测拜占庭共识协议(Detectable Byzantine Agreement,DBA)提升到拜占庭共识协议(Byzantine Agreement,BA),并保持了容忍任意多拜占庭节点的特点,在安全性、可扩展性和运行效率等方面均有提升。

基于爬升减速机动的大迎角偏离敏感性试飞技术

为防止飞机意外进入大迎角失速尾旋状态,现代电传飞机通常采用左边界保护控制策略。但在使用中,仍然难以避免由于飞行速度超出左边界后“掉入”大迎角状态的现象。为全面评估飞机的左边界飞行安全,必须通过试飞验证飞机大迎角偏离敏感性。采用传统的平飞失速和收敛转弯等试飞方法,难以解决飞机超出左边界后“掉入”大迎角状态后的偏离敏感性评估问题。针对某型飞机迎角限制和抗尾旋控制律的特点,提出了基于爬升减速机动的大迎角偏离敏感性评估方法,采用飞行仿真技术开发了大迎角偏离敏感性试飞动作,建立了在迎角限制和抗尾旋控制律的综合作用下飞机大迎角偏离敏感性和尾旋阻抗程度的评估程序,并且在某型飞机上进行了应用和验证,全面评估了某型飞机的大迎角偏离敏感性和尾旋阻抗程度,为该型机的左边界飞行安全提供了有效的支持。

一种抗恶意攻击的OpenFlow虚拟流表高性能查找方法

针对恶意攻击给OpenFlow虚拟流表查找带来的破坏性影响,构建了一种抗恶意攻击的OpenFlow虚拟流表高性能查找方法。该方法基于近似成员关系查询理论,采用布鲁姆过滤器预测元组查找失败结果,以绕过绝大多数元组失败查找操作,提高OpenFlow虚拟流表查找效率;进一步,设计了一种可扩展计数型布鲁姆过滤器,根据元组规模的动态变化进行适应性伸缩,从而始终以高准确率判定元组查找失败结果;最后,采用实际网络流量样本和模拟恶意攻击方式,评估所提OpenFlow虚拟流表查找方法的性能。实验结果表明:当攻击包与正常包分别按1:2和2:1比例混合时,所提方法的假阳性错误率始终保持在6%以下,比计数型布鲁姆过滤器降低了93%,而平均查找长度降低了90%。

接触网系统舞动影响因素与防舞措施研究

接触网覆冰导线受风激励会产生舞动,加剧设备损坏,影响列车安全运行。通过建立接触网及其附加导线的有限元模型,并根据风洞试验得到的气动力系数计算接触网的空气动力荷载;在不同工况下对附加导线和接触网进行仿真。研究结果表明:覆冰厚度对舞动影响较小;风速越大,舞动程度越大且增幅越大;风攻角越大,舞动程度越小,且风攻角在90°~150°时舞动程度降低得更加明显。通过对比多种防舞方案,确定了最佳方案,并对防舞效果进行评估。

多功能弹毁伤效应的数值模拟研究

多功能弹是一种能够在不同条件下分别完成攻坚、破甲以及杀伤任务的新型弹种。为解决多功能弹攻坚与破甲功能之间的匹配问题,设计了一种新式结构,并对该结构弹丸攻坚与破甲威力进行了数值模拟,比较了该弹丸不同头部长度下正侵彻钢筋混凝土各典型位置时的侵彻威力,同时研究了弹丸内药型罩壁厚与锥角对射流成型及侵彻钢板威力的影响。结果表明:弹丸侵彻钢筋混凝土时,弹丸直接撞击钢筋造成的侵彻深度要比未碰撞钢筋小约20%,且仅在撞击单根钢筋时弹丸侵彻弹道会出现偏转现象;在相同CRH和相同速度条件下,侵彻后弹丸剩余头部长度随弹丸初始头部长度的减小而减小;在药型罩其余参数不变,药型罩锥角在50°~70°时,随着锥角变大,所形成的射流最大速度减小,射流速度梯度减小,侵彻等厚度钢板后射流的余速也减小;药型罩壁厚在1~3 mm时,随着壁厚增加,射流头部速度降低,速度梯度增加。

基于Serverless的反溯源技术应用研究

随着网络逐渐成为意识形态较量的主战场,攻防双方的技术手段在不断博弈中日渐精进,现有的反溯源手段无法避免防守方多维多技术的溯源手段,更易被防守方溯源反制。该文提出了一种基于Serverless的反溯源技术应用思路,利用Serverless的事件驱动和自动伸缩特性,使得用户在请求目标时,自动调用不同可用区域的IP地址,以此达到隐藏自身真实IP的目的。同时,由于Serverless实现应用开发与服务器分离,攻击者可直接进行攻击代码编写,也更加利于隐藏身份。通过利用Serverless中的云函数和CobaltStrike软件进行试验验证其可行性,发现其能很好地隐藏攻击源,防守方无法溯源到真实的攻击源。同时从防守方角度,详细分析流量特征,基于特征值和访问统计特征两个维度,构建攻击检测模型。通过模拟实际攻击行为和正常业务行为,验证了检测模型能够很好地发现攻击行为,并能区分攻击行为和正常业务行为,在一定程度上可以减少误报,降低对正常业务的影响,提高安全事件的处置效率,为防守方的入侵检测提供了检测思路。

恐怖袭击下地铁隧道结构爆炸响应与防护对策

探讨了恐怖袭击下地铁隧道结构爆炸响应的研究手段、地铁隧道结构的运动与内力响应、毁伤效应以及恐怖爆炸防护对策.研究发现,管片接头对隧道结构刚度和整体性的弱化效应是导致地铁隧道结构的位移、速度、加速度和主应力响应强于整体现浇隧道结构的根本原因.炸药与隧道结构底部的距离越小,隧道结构的位移响应越明显.炸药当量增大不仅提高了隧道结构的峰值加速度,而且改变了隧道结构拱腰处峰值加速度的方向.地铁隧道恐怖爆炸防护应从降低恐怖爆炸事故发生概率以及降低恐怖爆炸事故危害两个方面进行开展.非对称多爆源同步和非同步起爆工况下的地铁隧道结构爆炸响应研究以及基于数值分析和机器学习算法预测的简明实用设计公式的构建是值得重视的未来研究方向.