基于攻防行为树的网络安全态势分析

现代网络面临遭受组合攻击的风险,通过构建基于攻防行为的安全态势分析模型来对每一个独立及组合攻击行为进行威胁分析十分必要。本文针对传统的攻击树模型没有考虑防御因素影响,防御树模型缺乏较好的可扩展性,故障树模型难以对外部攻击进行分析等问题,在攻击树模型中引入博弈论,以描述具体网络攻防事件场景。首先,分析网络中不同层次攻击行为的逻辑关系,整合不同层次攻击事件对应的攻防树,获得完整网络攻防行为树,进而构建网络攻防行为树模型。其次,从网络攻防行为、网络检测设备以及网络防御措施3方面对基本攻防行为树进行扩展,提出攻击目标成功率算法,计算其攻击概率。在此基础上,对攻击威胁进行评估,分析网络安全态势。最后,为验证网络攻防行为树模型的可行性和有效性,在BGP(border gateway protocol)攻击树的基础上构建攻防行为树模型,通过概率计算可知:攻击路径PATH1概率最大;且在没有防御措施的情况下,5条攻击路径的攻击成功率均得到增大,PATH2至PATH5概率增大倍数显著高于PATH1,与实际相符。本文所提的网络攻防行为树模型能很好地计算各种防御措施的效果,且能够在任意节点添加和删除攻防行为,具有较强的可扩展性,可为网络管理者与运营者提供科学的决策依据。

一种基于综合行为特征的恶意代码识别方法

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法—IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.

基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法。该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模。通过虚拟执行的方法获取代码的API调用序列,并将这些序列与扩展模型进行模式匹配,发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性。

一种基于用户行为习惯的主机安全性检测方法

文中提出了一种基于用户行为习惯的主机安全性检测方法.通过建立一种以攻击树root代表主机的拓展攻击树模型来研究用户的行为习惯对主机的影响,并以此来描述主机安全性.该方法实现了对不同用户主机安全性的智能评估,为主机安全性检测提供了一种新方向.

基于攻击树模型的木马检测方法

计算机木马检测方法有文件静态分析、网络通信分析、系统调用挂钩分析、行为监控等,但单一方法不足以满足木马检测实践需求。通过构建木马攻击状态树模型确定木马策略集,并依据策略集进行木马检测,最终检测出木马并确定检测的量化收益,然后反向推导木马安装、运行过程,并确定木马的量化难度。

改进攻击树的恶意代码检测方法

为了解决传统攻击树模型在恶意代码检测中存在行为差异性描述不准确、危害量化不合理的问题,提出一种将攻击树结构进行改造、构建攻击树文本图的改进攻击树检测方法,并设计了危害权值算法,从而可以更好地描述和判断恶意代码的攻击行为,引入云检测技术构建检测系统对算法进行验证。实验结果表明,该算法较传统算法对恶意代码及其变种的检测有明显的提高。