指挥信息系统应用层攻击效能模糊综合评估方法

指挥信息系统的服务共享和开放导致其面临更多的服务资源毁伤和信息欺骗攻击风险,有效的攻击风险评估亟待解决。针对指挥信息系统应用层攻防中信息不完备性和不确定性带来的攻击效能评估困难问题,建立指标因素数量为2+5+17的指挥信息系统应用层攻击3级评估指标体系,提出双因子主观、客观赋权法确定评估指标权重,应用反向传播人工神经网络理论建立具有学习机制和持续改进能力的模糊隶属函数,设计了单一攻击效能和多种攻击效能的模糊综合评估方法。实验结果表明:该方法不仅能够实现单一攻击效果的模糊量化和多种攻击的模糊排序,而且指标集更完整、赋权方法更综合、模糊隶属函数更具适用性。

一种基于概率滑动窗口的应用层DoS攻击防御模型

网络上种类繁多的服务面临着复杂且不安全的生存环境,多种因素威胁着服务的生存,应用层DoS攻击就是其中的重要因素之一。然而,当前防御应用层DoS攻击的方法存在着对合法用户请求的误判,需要额外的硬件设备支持和难以抵御某些低速率攻击等不足。为此,提出了一种全新的应用层DoS攻击防御模型——基于概率的滑动窗口模型PBSWM(probability-based sliding window model)。该模型位于应用层,利用滑动窗口机制控制客户端发送的请求速率和服务器端接收的负载总量,利用概率发送控制在源端阻滞攻击者发送引发较大负载的请求,利用概率接受控制防止来自少量客户的请求占用系统的大部分应用资源。实验结果表明,该模型能够达到降低攻击损害、保障服务生存的目的。

Ad hoc网络MAC层攻击的分布式检测与控制

Adhoc网络无线协议栈的灵活性使节点容易对协议实施篡改以达到非法抢占信道等目的。在对节点MAC层恶意行为分析的基础上,提出基于代理的分布式行为检测机制。仿真表明,该机制能有效检测恶意节点。引入trap确认机制,将检测与网络管理及跨层控制相结合,实现全网范围的攻击检测与控制,降低恶意行为对网络的危害程度,提高无线网络的健壮性。

应用层DoS攻击特征分析与检测方法综述

应用层DoS(Denial of Service)攻击是当前对互联网应用的一个重要的危害。描述了这种应用层攻击形式;研究分析了这种攻击的特征,即流量特征、负载特征和行为特征;回顾了针对这种攻击的特征检测方法,并比较了它们各自的优缺点。最后,对应用层DoS攻击检测防御的发展趋势提出了一些看法。

基于多模态深度神经网络的应用层DDoS攻击检测模型

为进一步提升应用层DDoS攻击检测准确率,提出一种将流量与用户行为特征相结合且模型参数可高效更新的应用层DDoS攻击检测模型.为统一处理流量与用户行为特征的异源数据,利用多模态深度(Multimodal Deep Learning,MDL)神经网络从数据流量与网页日志中提取流量与用户行为深层特征后输入汇聚深度神经网络进行检测.为减少MDL神经网络参数更新时的灾难性遗忘现象,在模型参数更新过程中基于弹性权重保持(Elastic Weight Consolidation,EWC)算法为重要模型参数增加惩罚项,保持对初始训练数据集检测准确率的同时,提升对新数据集的检测性能.最后,基于K-Means算法获得模型初始训练数据集聚类,并筛选出新数据集中聚类外数据进行模型参数更新,防止EWC算法因数据相关性过高而失效.实验表明,所提应用层DDoS检测模型检测准确率可达98.2%,且相对MLP_Whole方法模型参数更新性能较好.

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。

无线自组织网络跨层攻击检测博弈模型

无线自组织网络中的跨层攻击具有比单层攻击更强的隐蔽性、更好的攻击效果或更低的攻击成本。为了检测无线自组织网络中的跨层攻击,提出了一种基于博弈论的攻击检测模型。由于攻击不可避免地会对各协议层的参数造成影响,因此模型从协议层攻防博弈的角度,建立起相应的策略矩阵和支付矩阵,并通过均衡分析得到该模型的混合策略纳什均衡解。仿真结果表明,与传统的检测算法相比,采用混合策略的检测算法具有更优的检测性能并且能够显著降低节点能量消耗。

基于集成学习的多类型应用层DDoS攻击检测方法

针对应用层分布式拒绝服务(DDoS)攻击类型多、难以同时检测的问题,提出了一种基于集成学习的应用层DDoS攻击检测方法,用于检测多类型的应用层DDoS攻击。首先,数据集生成模块模拟正常和攻击流量,筛选并提取对应的特征信息,并生成表征挑战黑洞(CC)、HTTP Flood、HTTP Post及HTTP Get攻击的47维特征信息;其次,离线训练模块将处理后的有效特征信息输入集成后的Stacking检测模型进行训练,从而得到可检测多类型应用层DDoS攻击的检测模型;最后,在线检测模块通过在线部署检测模型来判断待检测流量的具体流量类型。实验结果显示,与Bagging、Adaboost和XGBoost构建的分类模型相比,Stacking集成模型在准确率方面分别提高了0.18个百分点、0.21个百分点和0.19个百分点,且在最优时间窗口下的恶意流量检测率达到了98%。验证了所提方法对多类型应用层DDoS攻击检测的有效性。

基于网络二层攻击防御技术的研究与应用

近一段时间内各企业学校局域网络平凡遭遇网络攻击,导致服务器数据丢失、网络瘫痪,给生活生产和学习带来了很大的麻烦。很多高校网络中心整天手忙脚乱也没有从根本上解决网络故障问题。我们从其现象分析来看其攻击源有人为因数和非人为因数两种状况。该文为了达到优化网络性能从而减少网络管理人员的工作负担、节省高校资源为目的,从安全技术角度总结出基于高校校园网络二层攻击原理模型及防御方法与措施。

基于近攻击源部署的应用层DDOS检测方法

应用层DDoS的大流量攻击逐渐呈现高发态势,现有攻击检测方法均在大规模流量进入目标主机时才能根据检测结果进行反应,但以TB为单位的大流量进入主机后可能在检测系统预警前就已经发生宕机。为此,提出一种基于近攻击源部署的应用层DDoS攻击检测方法,将检测节点前向部署于近攻击源处,通过定时和强化学习将正常流量进行信息融合至目标处,在检测攻击的同时拦截攻击流量。实验结果表明,该系统具有良好的检测率和拦截率,能够削弱攻击流量对于目标主机的危害,以期为解决应用层DDoS的大流量攻击提出新的解决方法。

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。

基于偏二叉树SVM多分类算法的应用层DDoS检测方法

针对基于流量特征的应用层DDo S检测方法侧重于检测持续型应用层DDo S攻击,而忽略检测上升型与脉冲型应用层DDo S攻击的问题,提出一种综合检测多类型应用层DDo S攻击的方法。首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现HTTP GET数的快速统计功能,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后采用偏二叉树结构组合SVM分类器分层训练特征参数,并结合遍历与反馈学习的方法,提出基于偏二叉树SVM多分类算法的应用层DDo S检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDo S流量。实验表明,所提算法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高的检测率与更低的误检率,且能有效区分出具体攻击类型。

防御MAC地址泛洪攻击的交换机安全配置方法

大多数交换机的安全威胁主要来自局域网内部。出于无知、好奇,甚至是恶意,某些局域网用户会对交换机进行攻击。不管他们的动机是什么,这都是管理员们不愿看到的。为此,除了在规定、制度上进行规范外,管理员们要从技术上做好部署,让攻击者无功而返。本文以Cisco交换机的安全部署为例讨论校园网中的交换机安全,给出了防御MAC地址泛洪攻击的交换机安全配置方法。

基于流量分析的App-DDoS攻击检测

针对当前应用层分布式拒绝服务攻击(App-DDoS)检测方法高度依赖于系统日志,且检测攻击类型单一的问题,提出了基于卡尔曼滤波和信息熵的联合检测模型DFM-FA(detection and filtering model against App-DDoSattacks based on flow analysis),将应用层的行为异常检测映射为网络层的流量异常检测,最大限度地保证了合法用户的优先正常访问。实验证明,DFM-FA既不依赖于系统日志,同时又能检测到FTP、DNS等多种App-DDoS攻击。

基于最大频繁序列模式挖掘的App-DDoS攻击的异常检测

为了动态、准确、高效地描述用户的访问行为,实现对不同应用层分布式拒绝服务(Application-layerDistributed Denial of Service,App-DDoS)攻击行为的透明检测,该文提出基于最大频繁序列模式挖掘的ADA_MFSP(App-DDoS Detection Algorithm based on Maximal Frequent Sequential Pattern mining)检测模型。该模型在对正常Web访问序列数据库(Web Access Sequence Database,WASD)及待检测WASD进行最大频繁序列模式挖掘的基础上,引入序列比对平均异常度,联合浏览时间平均异常度、请求循环平均异常度等有效检测属性,最终实现攻击行为的异常检测。实验证明:ADA_MFSP模型不仅能有效检测各类App-DDoS攻击,且有良好的检测灵敏度。

基于用户忠实度的应用层DDoS防御模型

针对应用层DDoS(application layer DDoS,App-DDoS)攻击,提出一种基于用户忠实度的ULDM(user loyalty defense model)防御模型,其根据用户对网站的忠实程度来区分正常用户和攻击用户。用户忠实度包含访问频率忠实度和行为忠实度,行为忠实度又包括历史行为忠实度和当前行为忠实度。从用户长期以来在请求频率和请求负载两方面的表现对用户行为进行评估,得到用户行为忠实度,根据用户长期以来对网站的访问频率得到用户访问频率忠实度;通过调度模块根据用户忠实度对请求进行调度。模拟实验验证了该模型的有效性。

基于流谱理论的 SSL/TLS 协议攻击检测方法

网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为。随着安全套接层/安全传输层(SSL/TLS)加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间,具象为“势变谱”,形成可分离、可观测的特征表示集合,实现对网络流的高效分析。流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下,针对特定威胁网络流找到势变基底矩阵。由于SSL/TLS协议在握手阶段存在着强时序关系与状态转移过程,同时部分SSL/TLS攻击间存在相似性,因此对于SSL/TLS攻击的检测不仅需要考虑时序上下文信息,还需要考虑对SSL/TLS网络流的高分离度的表示。基于流谱理论,采用威胁模板思想提取势变基底矩阵,使用基于长短时记忆单元的势变基底映射,将SSL/TLS攻击网络流映射到流谱域空间。在自建SSL/TLS攻击网络流数据集上,通过分类性能对比、势变谱降维可视化、威胁行为特征权重评估、威胁行为谱系划分评估、势变基底矩阵热力图可视化等手段,验证了流谱理论的有效性。

基于博弈模型的物联网系统漏洞风险评估

随着区块链热度的提高,分布广且数量多的物联网终端设备更易于被攻击而形成挖矿的僵尸网络,物联网系统的安全性愈加受到人们的重视.准确的风险评估和针对性的安全防护是确保物联网系统安全的关键.结合物联网系统的多个攻击层,针对基于多种漏洞组合的攻击策略,构建物联网系统攻防博弈模型,提出攻防收益与成本的量化方法.并运用博弈模型综合分析攻防双方的收益期望,以较低复杂度定量计算物联网系统中的漏洞危害,从而能准确地评估物联网系统特定攻击层的安全风险.最后,通过实例分析证明该漏洞风险量化分析算法的可行性.

攻击树在多层网络攻击模型中的应用

本文基于攻击树模型,描述了在多层网络攻击中的一种风险分析方法,并形成多种可能的攻击场景,为攻击树在多层网络攻击中的应用提供了一种重要的方法,也为网络防护提供了一种简洁的需求方案。

校园网运行新问题的可行性解决方案

大学校园网络如何高效稳定的运行是网络管理员追求的目标。本文结合齐鲁师范学院校园网的实际情况,针对校园网运行过程中出现的实际问题,分别从安全认证、出口扩容与负载均衡、二层攻击防范、机房监控与报警和校园网管理分工等方面,给出了具体的可行性解决方案。希望这些措施的实施,真正给学院校园网络的良好运行带来帮助。