工业控制系统网络攻击预测技术研究

面对复杂的网络安全形式,攻击方常采用大量的信息侦查、漏洞利用和混淆技术在网络进行恶意活动或破坏行为。虽然当前网络安全态势感知平台尽可能地发现和监测新漏洞的利用过程,但是攻击预测的准确率和精确率都不尽如人意,需要在目前预测技术的基础上研究更加高级的算法将安全事件自动关联到对应的资产和攻击类型上,对可能发生的网络安全攻击进行预警和风险评估,实现对网络安全事件的精准预测。

基于轻量级梯度提升机器学习算法的家庭物联网攻击预测模型

对家庭物联网网络攻击预测模型进行研究,描述了家庭物联网系统架构,分析了家庭物联网面临的网络安全问题;从网络安全角度权衡不同算法模型准确率,并考虑算法实现资源限制,提出了基于轻量级梯度提升机器学习算法的攻击预测模型,该模型主要由以下三个部分组成:数据处理、构建攻击场景以及模型构建与攻击预测。通过特征提取、数据分组、参数优化等方式完成了模型训练;通过对比测试,从预测结果准确率期望值维度,证明了该模型的可行性和优越性。

基于攻击预测的网络安全态势量化方法

为准确、全面地预测攻击行为并量化攻击威胁,提出一种基于攻击预测的安全态势量化方法。通过融合攻击方、防御方和网络环境态势要素,依据实时检测的攻击事件评估攻击者能力和漏洞利用率,并计算攻防期望耗时;进而设计基于动态贝叶斯攻击图的攻击预测算法,推断后续攻击行为;最后从主机和网络这2个层面将攻击威胁量化为安全风险态势。实例分析表明,该方法符合实际对抗网络环境,能够准确预测攻击发生时间并合理量化攻击威胁。

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。

基于动态贝叶斯博弈的攻击预测模型

提出了基于动态贝叶斯博弈的攻击预测模型。该模型能根据攻击者的历史行为,使用贝叶斯法则对网络中存在恶意主机节点的概率进行合理的修正,并以此为基础,通过分析攻击者和防御者双方的收益,预测出理性的攻击者和防御者在下一个博弈阶段会选择攻击和防御的概率。预测结果为网络安全管理员进行安全配置提供了有价值的参考依据,从而使被动的检测变为主动的有针对性的防御成为可能。最后介绍了相应的实验过程和结果分析,验证了模型的有效性。

基于静态贝叶斯博弈的攻击预测模型

提出了基于静态贝叶斯博弈的攻击预测模型。该模型通过模拟攻击者和防御者的攻防行为选择,能预测出理性的攻击者和防御者为最大化各自的收益会选择攻击和防御的概率。预测结果为网络安全管理员进行安全配置提供了有价值的参考依据,从而使被动的检测变为主动的有针对性的防御成为可能。最后介绍了相应的实验过程和结果分析,验证了模型的有效性。

基于隐马尔可夫模型的复合攻击预测方法

复合攻击成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击。该文分析了传统的攻击预测方法的不足,提出一种基于隐马尔可夫模型的攻击预测方法,该方法使用隐马尔可夫模型中的Forward算法和Viterbi算法识别攻击者的攻击意图并预测下一步可能的攻击。通过实验验证了该方法的有效性。

基于非合作博弈攻击预测的防御策略选取方法

为更好地解决信息安全防御策略的选取问题,针对攻击方和防御方具有的目标对立性、策略依存性和关系非合作性特征,建立了非合作非零和攻防博弈模型。在模型中提出一种改进的收益量化和计算方法,其包含了对防御者反击收益的考虑,能够更加准确地计算博弈均衡。通过对博弈均衡的混合策略进行分析,在理性假设下实现了对攻击动作的有效预测。在攻击预测的基础上,设计了安全防御策略选取算法,其能够针对攻击威胁实现最优防御策略的选取。实例分析验证了模型和方法的有效性。

基于攻击意图的复合攻击预测方法研究

入侵检测系统仅能检测到攻击,但不能预测攻击者下一步的攻击。分析了基于攻击行为预测方法的不足,提出了一种基于攻击意图的复合攻击预测方法。该方法使用抽象的攻击意图表示复合攻击,采用扩展的有向图表达攻击意图间的逻辑关系,建立了攻击匹配的攻击意图框架,在复合攻击预测算法中引入了攻击检测度和攻击匹配度两个概念。最后,通过实验验证了该方法的有效性。

针对复合攻击的网络攻击预测算法

网络攻击以复合攻击形式为主,但当前的安全设备只能检测无法预测。针对该问题,提出一种基于攻击效用的复合攻击预测方法,通过该方法识别攻击者的最终意图,并预测攻击者下一步可能进行的攻击行为。该方法利用攻击意图描述复合攻击过程,建立基于攻击意图的复合攻击逻辑关系图,引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益大小,是复合攻击预测的参考。实验结果验证了该方法的有效性。

面向大规模网络的攻击预测可视分析系统设计与研究

由于网络安全数据量庞大和愈加复杂的网络入侵方式,传统的网络安全产品的攻击预测方法已变得不再适用。通过对网络流量日志的研究,提出了采用多模态可视化展示结构和快速异构树查询算法的实时网络流量日志可视化方法,开发并设计了大规模网络攻击预测可视分析系统Monic。结果表明,利用该系统通过交互分析能有效识别攻击者行为,预测网络攻击。

热模式分析结合网络自适应跳变算法的超密集网络攻击预测方法

针对超密集网络安全性的问题,提出一种热模式分析结合网络自适应跳变算法的超密集网络攻击预测方法。研究发现超密集网络中漫游用户的安全与其增加的切换百分比有关。提出一种基于热模式分析(Thermal Pattern Analysis, TPA)的网络攻击预测新方法,通过跟踪热能模式的足迹(能量和频谱效率)来确定高速用户的可能攻击区域。引入网络自适应跳变算法,采用网络威胁感知和跳变策略设计指导网络跳变机制的选择。实验结果表明,该方法能够更加准确地在超密集网络环境中找到可能低安全性区域,相比其他较新的同类型预测方法,具有更好的预测性能。

基于攻击效用的复合攻击预测算法

网络攻击以复合攻击形式为主,但当前的安全设备只能检测无法预测,针对这个问题,提出了一种基于攻击效用的复合攻击预测方法,通过该方法识别攻击者的最终意图,预测攻击者下一步可能进行的攻击行为.该方法利用攻击意图描述复合攻击过程,建立了基于攻击意图的复合攻击逻辑关系图,并引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益的大小,是复合攻击预测的重要参考.最后,通过实验验证了该方法的有效性.

基于大数据的配电网络复合攻击预测方法研究

当前配电网络复合攻击环境较为复杂,有很大的不确定性,当前复合攻击预测方法收敛性较低,很难准确预测出攻击背景,导致预测结果不可靠。提出一种新的基于大数据的配电网络复合攻击预测方法,对配电网络中的报警数据进行预处理,以提高效率。在大数据分析的基础上,将隐马尔科夫模型应用于配电网络复合攻击预测中,要求配电网络依据得到的报警信息对隐藏的攻击行为进行挖掘。通过攻击行为概率分布、关联规则法得到初始状态矩阵、状态转移矩阵以及观察矩阵,引入粒子群算法对参数进行全局优化。通过隐马尔科夫模型中的Viterbi算法对配电网络复合攻击的攻击意图进行挖掘,预测下一步攻击。实验结果表明,所提方法具有很高的收敛性和预测精度。

Ad Hoc网络中基于重复博弈的攻击预测模型

大多数入侵检测系统预测攻击行为能力较弱,不能实时主动地响应攻击。针对该问题,提出一种基于重复博弈的攻击预测模型。通过建立入侵者和入侵检测系统之间的阶段博弈模型,给出阶段博弈的纳什均衡,并求出重复博弈情况下的子博弈精炼纳什均衡。使用QRE模型预测攻击者和防御者在博弈阶段1～t中选择各种策略的概率,利用Gambit分析得出预测结果。基于GloMoSim的仿真结果表明,相比纳什均衡模型,QRE均衡模型的预测效果更好。

基于多步攻击场景的攻击预测方法

多步攻击预测是入侵检测的补充,能在一定程度上预防、减少或阻断安全威胁。文中提出了一种基于多步攻击场景的攻击预测方法。该方法采用贝叶斯网络模型来描述攻击场景图,通过挖掘多步攻击间存在的因果关联规则构建因果贝叶斯攻击场景图,在此网络结构的基础上通过攻击证据来推理计算未知攻击发生的概率,对下一步的攻击行为以及攻击者的攻击意图进行预测。最后,通过实验验证了所提方法能够准确地预测下一步的攻击以及攻击者的攻击意图。

基于攻击预测的电力CPS安全风险评估

为准确评估当前电力信息物理系统(cyber physical system,CPS)的风险状态,针对信息、电力紧密耦合的特点,提出一种基于攻击预测的电力CPS风险评估方法。利用已检测到的攻击告警信息,基于隐马尔科夫模型(hidden Markov model,HMM)识别出可能的攻击场景,推测攻击者的攻击意图,分析其未来的攻击目标和概率。攻击预测结果表征着系统当前的攻击威胁状况,将其作为输入,结合传统的单域(信息域或物理域)风险评估方法计算单域风险,再基于电力CPS复杂网络模型评估跨域风险,融合二者的结果得到最终的风险值。基于智能配电网IEEE 33节点的仿真平台,对攻击预测方法以及安全风险评估方法进行了验证,证明了基于攻击预测的风险评估方法的可行性和合理性。

基于攻击效用的复合攻击预测方法

复合攻击已经成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击者下一步的攻击。分析了传统攻击预测方法的不足,提出了一种基于攻击效用的复合攻击预测方法,以攻击者追求利益最大化的原则,为每种攻击分配一个攻击效用,在此基础上进行攻击预测,识别攻击者的最终意图和预测其下一步将要进行的攻击。通过实验验证了该方法的有效性。

基于神经网络的电力二次系统攻击预测

电力二次系统在智能电网中起着监测、保护、调度自动化的作用。针对现有的攻击预测方法及模型存在的智能化水平低、预测能力差、可移植性差等问题,提出了IP关联的攻击链提取方法和自注意力的双向循环神经网络的攻击预测模型。该模型基于前后文时序进行分析,预测速度快、攻击链学习时间短、自动识别攻击链中对预测贡献更高的信息。并在电网数据实验和DARPA数据的实验中证明了该模型的准确性和有效性。

基于攻击上下文分析的多阶段攻击趋势预测

高级可持续威胁(Advanced Persistent Threat,APT)等多阶段攻击具有复杂多样性和隐蔽持续性的特点,给网络安全带来了极大的威胁。研究攻击方的攻击策略并对其后续攻击步骤进行预测,是防御方的一个重要研究课题。针对多阶段攻击趋势预测难的问题,该文提出了基于攻击上下文分析的多阶段攻击趋势预测算法,从系统日志中梳理攻击上下文并对后续的攻击趋势进行预测。该算法先通过因果图构建、异常日志序列提取、抽象文本表示等步骤实现对已有攻击上下文的分析,然后基于已经检测到的攻击序列,利用Transformer模型对后续攻击趋势进行预测。在开源的ATLAS数据集和HDFS数据集上对算法进行了验证。在ATLAS数据集的超过7000个序列中,该算法的单步预测准确率可达90%以上,五步预测准确率也能达到74%。实验表明基于攻击上下文分析的攻击趋势预测是一种可行的方法,为网络攻击预测研究提供了一种新思路。