FMSA:a meta-learning framework-based fast model stealing attack technique against intelligent network intrusion detection systems

Intrusion detection systems are increasingly using machine learning.While machine learning has shown excellent performance in identifying malicious traffic,it may increase the risk of privacy leakage.This paper focuses on imple-menting a model stealing attack on intrusion detection systems.Existing model stealing attacks are hard to imple-ment in practical network environments,as they either need private data of the victim dataset or frequent access to the victim model.In this paper,we propose a novel solution called Fast Model Stealing Attack(FMSA)to address the problem in the field of model stealing attacks.We also highlight the risks of using ML-NIDS in network security.First,meta-learning frameworks are introduced into the model stealing algorithm to clone the victim model in a black-box state.Then,the number of accesses to the target model is used as an optimization term,resulting in minimal queries to achieve model stealing.Finally,adversarial training is used to simulate the data distribution of the target model and achieve the recovery of privacy data.Through experiments on multiple public datasets,compared to existing state-of-the-art algorithms,FMSA reduces the number of accesses to the target model and improves the accuracy of the clone model on the test dataset to 88.9%and the similarity with the target model to 90.1%.We can demonstrate the successful execution of model stealing attacks on the ML-NIDS system even with protective measures in place to limit the number of anomalous queries.

A Method for Detecting Intrusion on Networks in Real-time Based on IP Weight

A new rule to detect intrusion based on IP weight, which is also well implemented in the rule base of author’s NMS, is presented. Compared with traditional ones, intrusion detecting based on IP weight enhanced analysis to packet content. The method also provides a real-time efficient way to analyze traffic on high-speed network and can help to increase valid usage rates of network resources. Practical implementation as a rule in the rule base of our NMS has verified that the rule can detect not only attacks on network, but also other unusual behaviors.

网络安全态势感知分析框架与实现方法比较

信息技术已经深入到全社会政治、经济、文化的方方面面,信息革命改变了全世界的沟通方式,促使人类社会有了巨大的发展,也使网络安全问题受到了前所未有的关注.针对网络安全问题的研究主要经历了理想化设计保证安全、辅助检测被动防御、主动分析制定策略、全面感知预测趋势4个主要阶段,在各国都在争夺数字控制权的新战略制高点背景下,针对网络安全态势感知的探讨无论是在学术研究上还是在产业化实现上都呈现出了全新的特点.本文对网络安全态势感知进行了尽可能详尽的文献调研,首先介绍了国内外研究现状及网络安全态势感知与传统态势感知之间的区别与联系;然后从数据价值链角度提出了网络安全态势感知的逻辑分析框架,将整个过程分解为要素采集、模型表示、度量确立、求解分析和态势预测五个连续的处理阶段,随后对每个阶段的作用,主流的方法进行了阐述,并对在实验对象上的应用结果以及方法间的横向比较进行了说明.本文意图对网络安全态势感知提供全景知识,为网络安全的产业化方案提供辅助思想,希望能够对此领域的科研和工程人员起到参考作用.

基于攻击树的网络攻击建模方法

攻击树(AttackTree)是一种具有树表示结构的网络攻击建模工具。它具有结构化、可重用的优点。已有一些工作在它的基础上展开。但总的来说,现有的研究都着重于针对具体的攻击事件进行建模,在利用攻击树进行分析时缺乏系统性和整体性,难以对攻击树进行有效的利用。该文利用攻击树从系统的角度来对攻击进行建模,并尝试利用建模后得到的攻击树对系统整体的安全性进行分析与评估;此外,通过对攻击过程进行阶段划分,大大降低了构造出的攻击树的复杂度,使得攻击树更易于使用、分析和维护。实例分析表明,该方法能很好地刻画网络攻击的特征,可以为系统的安全分析和评估提供比较令人满意的指导,具有较好的实用性。

基于改进隐马尔可夫模型的网络攻击检测方法

提出了一种基于改进隐马尔可夫模型的网络攻击检测方法。正常的网络行为符合一定的语法规则,异常的行为会偏离正常的语法规则。通过对正常行为样本的学习得到的基于隐马尔可夫模型的语法可以根据网络行为和语法的符合程度有效地检测正常行为和攻击行为。在基于现实数据的实验测试中,得到了比较好的检测性能。

入侵检测系统研究现状及发展趋势

入侵检测系统 (IDS)可以对系统或网络资源进行实时检测 ,及时发现闯入系统或网络的入侵者 ,也可预防合法用户对资源的误操作 ;它是 PDR(Protection Detection Response)安全模型的一个重要组成部分。本文主要从攻击检测方法、国内外研究状况等方面总结了入侵检测技术的研究现状 ,并结合自己的研究成果 。

基于权能转换模型的攻击场景推理、假设与预测

为了自动地从大量低级的入侵检测告警信息中构建出更高层次的攻击场景,并在一定程度上预测即将发生的攻击,提出了一种基于权能转换模型的实时告警信息相关性分析的方法。通过对推理依据的高度抽象,权能转换模型极大地降低了攻击场景构建过程的复杂度。在DARPA2000测试数据集上的测试实验结果表明,提出的方法是可行的、有效的。

基于MLL-AT的网络攻击建模方法研究

研究了攻击树建模攻击的方法,主要研究目的是如何有效地用攻击树建模和表示多阶段网络攻击。对传统攻击树进行扩充和改进,重新定义了攻击节点,量化了叶子节点的攻击风险,提出了一种用MLL-AT(多级分层攻击树)建模攻击的思想和方法,并给出了一种基于攻击树的MLL-ATDL攻击描述语言。改进后的攻击树能更准确地建模攻击,尤其是表示多阶段网络攻击,并可以用于评估系统风险,区分不同攻击序列对系统的不同安全威胁程度。

基于FPN的模糊攻击图模型及生成算法研究

以模糊Petri网(Fuzzy Petri net,FPN)理论为基础,定义了一种面向检测的新型网络攻击模型FPAN,提出了FPAN的生成算法,并通过实验验证了算法的正确性,该模型比攻击树(Attack Tree)更能够反映各个步骤之间的关系,可重用性也更强,具有较好的实用性。

煤矿企业工业控制系统入侵检测算法

针对现有煤矿企业工业控制系统入侵检测算法未考虑防御因素影响、实现复杂等问题,从攻击进程和防御体系2个方面,提出了一种基于攻防树模型的煤矿企业工业控制系统入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。实例结果表明,该算法能有效检测煤矿企业工业控制系统入侵概率,提高入侵检测的准确性。

基于贝叶斯理论的入侵检测评测方法研究

提出一种基于贝叶斯理论的入侵检测系统(IDS)评测方法,设计并建立了一套较完善的入侵检测系统评测体系.确立了用于评测IDS的4个重要指标:功能指标、性能指标、安全性指标和用户可用性指标.量化分析了一些主要测试指标,并利用概率树模拟入侵及检测过程.结果表明,该方法能在系统的检测率和误报率间找到最佳的阈值平衡点.

改进的安全协议逻辑系统及评估技术

改进了Blanchet安全协议一阶逻辑系统并建立了用于评估攻击者攻击耗费的攻击树模型,明确了系统和模型中涉及的一些关键性概念和命题。改进的系统能够将逻辑推导转换成易于理解的攻击过程。建立的攻击树模型具有以下特点:能够形象直观地描述攻击者对一个协议进行攻击的行为;能够对不同方法所耗费的资源进行相对比较;基于树状结构,便于计算机实现搜索、存储。

基于PCA和LOGIT模型的网络入侵检测方法

针对高维度网络数据进行多类攻击行为检测的需求,提出一种基于PCA和Logit模型的网络入侵检测方法,通过PCA对网络数据降维、简化数据集和多项式Logit模型实现对不同攻击行为的识别并判别其类型。实验结果表明,方法在网络入侵识别上具有较理想的效果。

基于空间推理的车联网虚假消息检测方法

车联网中内部敌手发送伪造的紧急消息,声称虚假的交通事故、拥堵等紧急事件,误导车辆做出错误反应,对系统可靠性和交通安全造成威胁。提出一种空间推理的分布式检测方法,位于现场上、下游位置的车辆通过车载传感器测量实时交通参数,基于C4.5决策树建立空间推理模型,对交通参数进行分类,评价现场实际交通状态。实验结果表明,该方法的检测率和误检率均优于现有的基于心跳消息的检测方法,获得了更强的抗合谋攻击性能。

基于Hadoop的大数据平台风险监测系统研究

随着云计算大数据技术的发展,传统的安全监测技术无法满足不间断服务的应用需求。本文所设计系统基于一种检测模型,实现对大数据平台风险进行检测,系统模型可防止主机管理环境下的入侵检测保护系统分布式DDoS攻击。模型设计过程中使用主成分分析和线性判别分析元启发式算法,被称为是Ant Lion优化,通过神经网络实现特征选择,实现对云服务器分类和配置。系统测试结果显示该模型对基于云环境的大数据平台的安全风险预测有较好的性能。

分布式网络性能智能监测系统的设计与实现

设计并实现了一种分布式网络性能智能监测系统。系统由很多分布式的客户端组成,可以监测跨交换机域网络。系统同时将神经网络算法引入到流量分析,形成了智能流量分析功能。最后提出了一种基于Hash表的可视化的入侵检测机制,可以简单直观实时地反应网络入侵。