A Novel Attack Graph Posterior Inference Model Based on Bayesian Network

Network attack graphs are originally used to evaluate what the worst security state is when a concerned net-work is under attack. Combined with intrusion evidence such like IDS alerts, attack graphs can be further used to perform security state posterior inference (i.e. inference based on observation experience). In this area, Bayesian network is an ideal mathematic tool, however it can not be directly applied for the following three reasons: 1) in a network attack graph, there may exist directed cycles which are never permitted in a Bayesian network, 2) there may exist temporal partial ordering relations among intrusion evidence that can-not be easily modeled in a Bayesian network, and 3) just one Bayesian network cannot be used to infer both the current and the future security state of a network. In this work, we improve an approximate Bayesian posterior inference algorithm–the likelihood-weighting algorithm to resolve the above obstacles. We give out all the pseudocodes of the algorithm and use several examples to demonstrate its benefit. Based on this, we further propose a network security assessment and enhancement method along with a small network scenario to exemplify its usage.

Optimal monitoring and attack detection of networks modeled by Bayesian attack graphs

Early attack detection is essential to ensure the security of complex networks,especially those in critical infrastructures.This is particularly crucial in networks with multi-stage attacks,where multiple nodes are connected to external sources,through which attacks could enter and quickly spread to other network elements.Bayesian attack graphs(BAGs)are powerful models for security risk assessment and mitigation in complex networks,which provide the probabilistic model of attackers’behavior and attack progression in the network.Most attack detection techniques developed for BAGs rely on the assumption that network compromises will be detected through routine monitoring,which is unrealistic given the ever-growing complexity of threats.This paper derives the optimal minimum mean square error(MMSE)attack detection and monitoring policy for the most general form of BAGs.By exploiting the structure of BAGs and their partial and imperfect monitoring capacity,the proposed detection policy achieves the MMSE optimality possible only for linear-Gaussian state space models using Kalman filtering.An adaptive resource monitoring policy is also introduced for monitoring nodes if the expected predictive error exceeds a user-defined value.Exact and efficient matrix-form computations of the proposed policies are provided,and their high performance is demonstrated in terms of the accuracy of attack detection and the most efficient use of available resources using synthetic Bayesian attack graphs with different topologies.

Exploring Attack Graphs for Security Risk Assessment: A Probabilistic Approach

攻击图方法论能被用来识别攻击能宣传的潜在的攻击路径。一个风险评价模型在这份报纸基于贝叶斯的攻击图被介绍。第一，攻击图被 MULVAL 产生(多主人，多级式的危险分析) 工具根据网络上的危险，网络配置和主机连接的足够的信息。第二，概率的攻击图被使用贝叶斯的网络在复杂多级式的攻击之中根据原因的关系建立。概率成功利用被联合普通危险得分系统的索引计算，并且静态的安全隐患被使用属性节点的本地有条件的概率分发表格估计。最后，在一种小网络情形的全面安全隐患被估计。试验性的结果证明我们的工作能推断攻击意愿和潜力有效地攻击路径，并且提供怎么选变硬的最佳的安全为策略上的有效指导。

A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security.This paper pro-posed a system which collects intrusion alerts,clusters them as sub-attacks using alerts abstraction,ag-gregates the similar sub-attacks,and then correlates and generates correlation graphs.The scenarios wererepresented by alert classes instead of alerts themselves so as to reduce the required rules and have the a-bility of detecting new variations of attacks.The proposed system is capable of passing some of the missedattacks.To evaluate system effectiveness,it was tested with different datasets which contain multi-stepattacks.Compressed and easily understandable Correlation graphs which reflect attack scenarios were gen-erated.The proposed system can correlate related alerts,uncover the attack strategies,and detect newvariations of attacks.

基于时空图神经网络的应用层DDoS攻击检测方法

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络安全的主要威胁之一,其中应用层DDoS攻击是主要的攻击手段。应用层DDoS攻击是针对具体应用服务的攻击,其在网络层行为表现正常,传统安全设备无法有效抵御。同时,现有的针对应用层DDoS攻击的检测方法检测能力不足,难以适应攻击模式的变化。为此,文章提出一种基于时空图神经网络(Spatio-Temporal Graph Neural Network,STGNN)的应用层DDoS攻击检测方法,利用应用层服务的特征,从应用层数据和应用层协议交互信息出发,引入注意力机制并结合多个GraphSAGE层,学习不同时间窗口下的实体交互模式,进而计算检测流量与正常流量的偏差,完成攻击检测。该方法仅利用时间、源IP、目的IP、通信频率、平均数据包大小5维数据便可有效识别应用层DDoS攻击。由实验结果可知,该方法在攻击样本数量较少的情况下,与对比方法相比可获得较高的Recall和F1分数。

基于溯源图和注意力机制的APT攻击检测模型构建

针对现有攻击检测方法难以应对持续时间长、攻击手段复杂隐蔽的高级持续威胁的问题,构建了基于注意力机制和溯源图的APT攻击检测模型。首先,基于系统的审计日志构建能够描述系统行为的溯源图;其次,设计优化算法,确保在不牺牲关键语义的前提下缩减溯源图规模;再次,利用深度神经网络(DNN)将原始攻击序列转换为语义增强的特征向量序列;最后,设计并实现了APT攻击检测模型DAGCN,该模型将注意力机制应用于溯源图序列,利用该机制对输入序列的不同位置分配不同的权重并进行权值计算,能够提取较长时间内的持续攻击的序列特征信息,从而有效地识别恶意节点,还原攻击过程。该模型在识别精确率等多个指标上均优于现有模型,在公开的APT攻击数据集上的实验结果表明,该模型在APT攻击检测中的精确率达到93.18%,优于现有主流检测模型。

欺骗防御技术发展及其大语言模型应用探索

欺骗防御作为主动防御中最具发展前景的技术,帮助防御者面对高隐蔽未知威胁化被动为主动,打破攻守间天然存在的不平衡局面.面对潜在的威胁场景,如何利用欺骗防御技术有效地帮助防御者做到预知威胁、感知威胁、诱捕威胁,均为目前需要解决的关键问题.博弈理论与攻击图模型在主动防御策略制定、潜在风险分析等方面提供了有力支撑,总结回顾了近年来二者在欺骗防御中的相关工作.随着大模型技术的快速发展,大模型与网络安全领域的结合也愈加紧密,通过对传统欺骗防御技术的回顾,提出了一种基于大模型的智能化外网蜜点生成技术,实验分析验证了外网蜜点捕获网络威胁的有效性,与传统Web蜜罐相比较,在仿真性、稳定性与灵活性等方面均有所提升.为增强蜜点间协同合作、提升对攻击威胁的探查与感知能力,提出蜜阵的概念.针对如何利用蜜点和蜜阵技术,对构建集威胁预测、威胁感知和威胁诱捕为一体的主动防御机制进行了展望.

面向物理信息系统的分布式攻击图生成算法

物理信息系统包含类型多样的物理设备,现有的攻击图生成技术不适用于物理信息系统.传统的漏洞扫描技术难以检测到物理设备的漏洞,并且随着系统规模的增加,攻击图的计算会出现状态空间爆炸问题.为此,本文提出了一种面向物理信息系统的分布式攻击图生成算法.首先,针对物理设备漏洞识别较难的问题,提出了一种基于属性标记实体的方法扩展实体漏洞信息,并据此对物理信息系统进行攻击建模;其次,针对状态空间爆炸问题,提出了一种分布式攻击图生成算法,并且利用消息传递机制消除图部分的重复遍历,进一步提高了生成效率.实验结果表明,与其他相关技术相比,本文技术具有更高的生成效率.

基于贝叶斯攻击图的RFID系统安全评估模型

针对目前RFID(Radio Frequency Identification,射频识别技术)系统安全分析中忽略攻击事件对系统安全状态动态影响的问题,为了有效实现RFID系统的安全风险评估,文章提出了一种基于贝叶斯攻击图的RFID系统安全评估模型。该模型首先通过对RFID系统结构、所用协议进行分析确定系统的脆弱性漏洞及其依赖关系,建立攻击图。针对攻击图模型只能进行定性分析的问题,构建出相应的攻击图模型结构后可以结合贝叶斯理论对其进行量化。依据漏洞的利用难易度和影响程度建立RFID漏洞量化评价指标,计算出对应的原子攻击概率,然后以条件转移概率的形式将攻击节点与RFID系统的安全属性节点联系在一起,不仅能推断攻击者能够成功到达各个属性节点的风险概率,而且能够依据攻击者的不同行为动态展示系统风险状况的变化,实现评估不同状态下目标RFID系统的整体风险状况。实验表明,所提模型可以有效地计算出RFID系统整体的风险概率,为后续实施对应的安全策略提供理论依据。

面向流程工业系统的关键攻击步骤识别

流程工业系统面临愈来愈多的威胁,基于攻击图的关键攻击步骤识别方法能够主动识别系统威胁,提高系统安全性。然而现有方法未考虑流程工业系统层次结构、工艺执行、事故危害等特征,无法全面准确衡量系统安全情况。为此,提出一种基于混合攻击图的关键攻击步骤识别方法,通过对攻击步骤重要性程度进行排序,实现面向流程工业系统的关键攻击步骤识别。首先,构建混合攻击图识别攻击者可能采取的攻击步骤,克服传统攻击图构建方法对网络可达性的依赖。其次,综合流程工业系统特征量化攻击期望,改进接近和介数中心性指标,以捕捉混合攻击图中的攻击路径信息,同时提出边期望中心性实现节点连接边的重要性度量。最后,改进多属性决策方法实现关键攻击步骤识别。实验分析表明,所提方法能够较全面地识别系统潜在威胁,合理衡量攻击步骤节点及连接边的重要性,有效识别流程工业系统场景中的关键攻击步骤。

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

自动化渗透测试技术研究综述

渗透测试是发现重要网络信息系统弱点并进而保护网络安全的重要手段.传统的渗透测试深度依赖人工,并且对测试人员的技术要求很高,从而限制了普及的深度和广度.自动化渗透测试通过将人工智能技术引入渗透测试全过程,在极大地解决对人工的重度依赖基础上降低了渗透测试技术门槛.自动化渗透测试主要可分为基于模型和基于规则的自动渗透测试.二者的研究各有侧重,前者是指利用模型算法模拟黑客攻击,研究重点是攻击场景感知和攻击决策模型;后者则聚焦于攻击规则和攻击场景如何高效适配等方面.主要从攻击场景建模、渗透测试建模和决策推理模型等3个环节深入分析相关自动化渗透测试实现原理,最后从攻防对抗、漏洞组合利用等维度探讨自动化渗透的未来发展方向.

基于MGAT-TCN模型的可解释电网虚假数据注入攻击检测方法

新型电力系统背景下,快速、准确的虚假数据注入攻击(FDIA)检测对电网安全运行至关重要。但现有深度学习方法未能充分挖掘电网量测数据的时序和空间特征信息,影响了模型的检测性能;同时,深度神经网络的“黑盒”属性降低了检测模型的可解释性,导致检测结果缺乏可信度。针对上述问题,提出了一种基于多头图注意力网络和时间卷积网络(MGAT-TCN)模型的可解释电网FDIA检测方法。首先,考虑电网拓扑连接关系与量测数据的空间相关性,引入空间拓扑感知注意力机制,建立多头图注意力网络(MGAT)提取量测数据的空间特征;接着,利用时间卷积网络(TCN)并行提取量测数据的时序特征;最后,在IEEE 14节点系统和IEEE 39节点系统中对所提MGAT-TCN模型进行仿真验证。结果表明,所提模型相比于现有检测模型具有更高的检测准确率和效率,且通过拓扑热力图对注意力权值可视化,实现了模型在空间维度的可解释性。

基于最大熵强化学习的最优渗透路径生成方法

从攻击者角度分析入侵意图和渗透行为对于指导网络安全防御具有重要意义。然而,现有的渗透路径大多依据瞬时的网络环境构建,导致路径参考价值降低。针对该问题,文中提出了一种基于最大熵强化学习的最优渗透路径生成方法,该方法可以在网络环境动态变化的情况下,以探索的形式捕获多种模式的近似最优行为。首先,依据攻击图和漏洞评分对渗透过程进行建模,通过量化攻击获益来刻画渗透行为的威胁程度;然后,考虑到入侵行为的复杂性,开发基于最大熵模型的Soft Q-学习方法,通过控制熵值和奖励的重要程度来保证求解渗透路径的过程具有稳定性;最后将该方法应用于动态变化的测试环境中,生成高可用的渗透路径。仿真实验结果表明,相比于现有基于强化学习的基准方法,所提方法具有更强的环境适应性,能够以更低的代价生成更高收益的渗透路径。

融合子图结构的知识图谱嵌入对抗性攻击方法

知识图谱嵌入(Knowledge Graph Embedding,KGE)技术的高速发展极大提高了人类对于结构化知识的利用效率,该技术也为人工智能的相关应用提供了有利的支撑.但是知识图谱嵌入方法的脆弱性(vulnerability)给知识图谱的应用带来了巨大的挑战,近期的一些研究表明,在训练数据中添加微小的扰动便能对训练后的机器学习模型造成巨大的影响,甚至导致错误的预测结果.目前针对可能破坏知识图谱嵌入模型的安全漏洞的研究大多关注嵌入模型的损失函数而忽略图结构信息的作用,因此本文提出了一种融合子图结构深度学习的攻击方法DLOSSAA(Deep Learning of Subgraph Structure Adversarial Attack),对知识图谱嵌入的健壮性进行研究.DLOSSAA方法首先通过对子图结构的深度学习捕获相关子图的结构信息,然后通过修正的余弦相似度(Adjusted Cosine Similarity)筛选出最佳的攻击样本,最后将攻击样本添加到训练数据中进行攻击.实验结果表明,该方法能够有效降低攻击后的知识图谱嵌入模型的性能,攻击效果优于大部分已有的对抗性攻击方法.

基于特征拓扑融合的黑盒图对抗攻击

在大数据时代,数据之间的紧密关联性是普遍存在的,图数据分析挖掘已经成为大数据技术的重要发展趋势。近几年,图神经网络作为一种新型的图表示学习工具引起了学术界和工业界的广泛关注。目前图神经网络已经在很多实际应用中取得了巨大的成功。最近人工智能的安全性和可信性成为了人们关注的重点,很多工作主要针对图像等规则数据的深度学习对抗攻击。文中主要聚焦于图数据这种典型非欧氏结构的黑盒对抗攻击问题,在图神经网络模型信息(结构、参数)未知的情况下,对图数据进行非随机微小扰动,从而实现对模型的对抗攻击,模型性能随之下降。基于节点选择的对抗攻击策略是一类重要的黑盒图对抗攻击方法,但现有方法在选择对抗攻击节点时主要依靠节点的拓扑结构信息(如度信息)而未充分考虑节点的特征信息,文中面向引文网络提出了一种基于特征拓扑融合的黑盒图对抗攻击方法。所提方法在选择重要性节点的过程中将图节点特征信息和拓扑结构信息进行融合,使得选出的节点在特征和拓扑两方面对于图数据都是重要的,攻击者对挑选出的重要节点施加不易察觉的扰动后对图数据产生了较大影响,进而实现对图神经网络模型的攻击。在3个基准数据集上进行实验,结果表明,所提出的攻击策略在模型参数未知的情况下能显著降低模型性能,且攻击效果优于现有的方法。

基于图对抗攻击的软件设计安全性研究

针对图对抗攻击在软件设计安全性领域的应用和防御策略进行深入研究。明确图对抗攻击的基本原理和常见方法,包括边缘攻击、节点注入攻击和特征攻击。在软件安全机制设计方面,强调图数据验证、增强图神经网络模型鲁棒性、实施异常检测机制、应用层面安全措施和分层安全策略的重要性。未来的研究将聚焦于提升图数据防护能力、增强模型鲁棒性、跨领域合作、发展自适应防御机制和建立相关法规标准。这些研究对提高软件系统抵御图对抗攻击的能力、保障数据和模型安全具有重要意义。

基于局部线性重叠聚类算法的网络攻击溯源分析方法

科技的进步使得不法组织可以利用各种先进的攻击手段,对特定目标进行隐匿的、长期持续性的网络攻击。当前大部分研究基于大数据、机器学习和图谱的方法进行攻击溯源检测,从而还原攻击全貌,但其存在检测识别正确率低、算力开销大等问题。为此,提出了一种基于溯源图谱的网络攻击分析方法,利用安全产品日志中的攻击特征划分攻击社团,并结合资产和攻击信息的局部线性关系进行重叠聚类,从而还原攻击路径。该算法已应用于某企业安全运行监管系统,实践证明,其能够有效地溯源系统被入侵的过程与痕迹,改善网络安全威胁感知和预警能力。

基于知识图谱的网络攻击预测方法研究及应用

针对网络攻击知识图谱,同时引入了时序信息,提出一种基于知识图谱的网络攻击预测方案,并对其进行应用。通过对网络攻击知识图谱进行规则学习和应用,能够有效地得到网络攻击事件预测结果,为网络安全运维人员提供决策支持。以企业提供的网络安全运维知识图谱为例,将文中研究的方法应用到企业安全检测系统,结果证明该方法具有充分的准确性和可行性,同时为后续研究提供了思路。

基于子图采样的大规模图对抗性攻击方法

为提高对抗性攻击在大规模图上的攻击效率,提出了基于子图采样的对抗样本生成方法.该方法通过引入PageRank、余弦相似度及K跳子图等技术,提取与目标节点高度相关的子图,在大规模图上缓解了计算梯度效率较低的问题,在降低被攻击模型准确性的同时提升了攻击的隐蔽性.实验结果表明:所提出的对抗性攻击方法与基于梯度攻击的GradArgmax算法相比,在Cora数据集上提升了30.7%的攻击性能,且在Reddit大规模数据上能够计算GradArgmax算法无法计算的攻击扰动.