一种给定脆弱性环境下的安全措施效用评估模型

评估信息系统安全措施效用是改进系统信息安全绩效的一条重要途径.传统方法在评估安全措施效用时并没有考虑业务数据流、攻击流和安全措施要素之间的相互作用和影响,无法保证评估过程和结果的有效性.提出了一种给定脆弱性环境下的信息系统安全措施效用评估方法,应用颜色Petri网为系统业务数据流、攻击流和安全措施要素进行统一建模.通过设计节点间脆弱性利用图生成算法和改进的Dijkstra算法识别所有可能破坏信息系统安全属性的最短攻击路径,使用层次评价模型评估系统安全措施的效用.给出了一种基于多属性决策的系统最优信息安全效用提升方案选择算法.改善评估过程对人员主观经验的依赖问题,有助于保证评估结果的一致性和可追溯性.以一个具体的Web业务系统为例进行实验,验证了所提出的模型和方法的正确性和有效性.

虫洞攻击检测与防御技术

虫洞攻击是一种针对Adhoc路由协议,破坏网络路由机制的攻击,它是Adhoc网络的重大安全威胁。该文提出一种基于信任评估的端到端虫洞检测方法,估算源节点和目的节点间最短路径长度,根据路由长度和邻居节点信任度来选择路由,从而检测和防御虫洞攻击。

一种基于拓扑分析的网络攻击流量分流和阻断方法

现有的针对流量型网络攻击的防御方法主要是在监测点发现异常后对流量进行阻断,仅能降低所在路径的攻击流量但无法降低整个网络的负载。针对这种情况,文章提出一种基于拓扑分析的网络攻击流量分流和阻断方法,基于拓扑分析从网络全局角度出发实现攻击流量分流阻断。该方法基于多种发现策略获取网络拓扑,在网络攻击阶段采用基于K条最短路径分流的方法实现网络流量分流;同时基于主机行为特征对网络攻击进行溯源,并采用基于流表的报文实时过滤方案进行阻断。实验结果表明,该方法具有系统开销小、鲁棒性好、阻断效率高的特点,实用价值较强。

网络弧生长对网络可靠性的影响

人们普遍认为,对于一般的网络图而言,当网络弧在生长时将有益于网络可靠性的增强。然而事实证明该论断并不完全正确。对于某些注重最短路径长度的网络而言:(1)当网络G受到随机攻击时,以网络最短路熵作为网络可靠性的判断依据,分别计算在增加一条弧前后网络结点或网络弧受到攻击而失效时的网络最短路熵,比较网络最短路熵的大小,熵值越大,可靠性越弱;(2)当网络G受到恶意攻击时,根据悲观原则定义了一种新的可靠性指标,该指标值越大,网络可靠性越强。结果表明:(1)当G与G′的最短路径长度相等时,G′的可靠性不弱于G;(2)当G与G′的最短路径长度不相等时,G与G′的可靠性相对大小关系不唯一。对该问题的研究有助于人们清楚的认识到网络弧生长对网络可靠性的影响。最后用简化的江苏省城市间高速公路网络图为例来说明该研究的有效性与实用性。

采用可净化签名的OSPF协议安全保护机制

为了实现对变化的Age域值的签名和验证,利用可净化签名技术提出一种新的开放式最短路径优先(OSPF)路由协议安全保护机制.改进了可净化签名方案,结合其弱透明性的安全属性,并将其用于保护OSPF协议路由信息的安全.分析结果表明,所提的OSPF协议安全机制能有效抵制最大年龄(MaxAge)攻击和早熟MaxAge攻击.

电力调度数据网仿真建模及路由协议攻击影响

电力调度数据网的安全是智能电网安全运行的保障.通过仿真分析,可以评价电力调度数据网的安全性能,为部署安全措施和优化网络提供依据.本文在分析网络通信架构与业务特性的基础上,在OPNET仿真平台上对某省电力调度骨干网与变电站内部网络及承载业务进行了建模.模型中拓扑结构、设备链路、VPN(virtual private network)部署等网络配置均基于实际情况.在该模型上,对OSPF(open shortest path first)路由协议攻击进行仿真,研究路由协议攻击对省调中心与地调中心、变电站站控层之间通信时延、业务吞吐量、带宽利用率的变化,总结了不同场景下骨干网路由协议受到攻击后对电力调度数据网的业务传输的影响,揭示了电力调度数据网骨干网路由协议存在的脆弱性,所设计的仿真分析方法和仿真结果可为电力调度数据网运维部门改进网络安全性能参考.