一种基于概率转移的Cyber攻击场景感知推理技术

态势感知是实现网络空间指挥与控制的重要基础之一,它强调的是如何从局部、琐碎、分散的信息中,分析、识别网络空间中当前正在发生的攻击行为及其属性,形成高层态势知识,以辅助指挥员决策.针对Cyber态势感知中攻击场景感知推理这一难题,本文提出了一种基于概率转移的Cyber攻击场景感知推理技术.该技术基于滑动窗口对传感器生成的原始告警流进行聚类分析,通过挖掘各个相关性类簇推理生成当前网络空间中正在发生的攻击场景,利用马尔科夫链对攻击场景进行形式化表示形成网络空间中的安全态势.基于Zeus僵尸网络的实验,验证了该技术的可行性和先进性.

2023年国外网络空间安全管理举措概览

近年来,随着俄乌冲突的爆发、巴以冲突的猝然发生,全球网络空间安全态势更加复杂紧张。ChatGPT安全、太空安全、分布式拒绝服务攻击等问题呈现新的变化,严重危及国家关键基础设施安全。对此,全球各主要国家从网络安全顶层设计、标准指南战略文件、机构管理与优化、网络安全研发投入、国际合作等方面采取积极应对措施,以建设更具弹性的网络空间安全能力。

基于双曲率黎曼流体的网络攻击检测模型

基于深度学习的网络攻击检测方法以其强大的特征表示及提取能力得到了迅速发展。然而,传统欧氏空间中的深度学习网络攻击检测模型无法有效捕获具有复杂调用关系的网络拓扑结构。为高效建模网络攻击图中潜在的数据模式,提高网络攻击检测的准确性,提出一种基于双曲率黎曼流体的网络攻击检测模型。与现有方法不同的是,该模型将传统欧氏空间中的网络攻击检测模型迁移到异质化非欧式表示空间中,利用曲率黎曼几何空间所具备的大规模层次性和环形图结构模式建模能力,获取高质量的攻击图表示向量,进而提高网络攻击检测准确性。实验结果表明,基于双曲率黎曼流体的网络攻击检测模型Precision、Recall、F1-score分别为0.963、0.964、0.964,能够对网络攻击行为进行有效分析与检测。

计及攻击损益的跨空间连锁故障选择排序方法

为了揭示电网信息物理系统(power grid cyber-physical systems,PGCPS)中由信息攻击引发跨空间连锁故障的演化过程及爆发可能性,从攻击者视角提出了一种基于攻击损益原则的跨空间连锁故障选择排序方法。首先,分析攻击者在此类故障演化过程中的推动作用,构建故障演化过程的有向攻击图,将此类故障抽象为攻击路径;进而,综合考虑攻击代价与攻击收益等因素,提出各攻击路径的攻击损益值计算方法,并探讨不同条件下攻击者对各攻击路径的倾向性选择排序,以推断不同跨空间连锁故障爆发的可能性;最后,在基于CEPRI-36节点的PGCPS仿真环境中,模拟攻击者对各类跨空间连锁故障的倾向性选择并予以仿真验证。

考虑攻击损益的电网CPS场站级跨空间连锁故障早期预警方法

为了准确检测由网络攻击引发的各种跨空间连锁故障,提出了一种考虑攻击损益的场站级跨空间连锁故障早期预警方法。首先,根据跨空间连锁故障演化机理讨论了故障早期预警的工作原理,建立故障早期预警的数学模型;进而,提出误用检测与异常检测融合的场站级跨空间连锁故障检测方法;最后,在基于CEPRI-36节点的电网信息物理系统仿真环境中,模拟网络攻击引发的跨空间连锁故障并利用所提方法给予早期预警,验证了所提方法的有效性。

网络空间进攻机理初步研究

网络空间进攻机理的主要内容是:态势感知、控流入网、综合施效、破网毁体。态势感知主要是从物理设施层、电磁信号层、数据信息层和心理认知层四个层面,获取网络空间相关部署、活动与信息;控流入网主要是控制电磁能量流、电子信号流、数据信息流进入敌方网络空间;综合施效主要是综合运用电磁信号层能量压制、数据信息层漏洞利用、心理认知层情绪诱导、物理设施层实体毁伤四种杀伤效应,达成对网络空间的控制权;破网毁体主要是通过断链、破网、毁体三个递进升级的行动,瘫痪其作战体系和战争支撑体系。

基于POF的网络窃听攻击移动目标防御方法

网络窃听攻击是网络通信安全的重大威胁,它具有隐蔽性和无干扰性的特点,很难通过传统的流量特征识别的被动防御方法检测到。而现有的路径加密和动态地址等方法只能混淆网络协议的部分字段,不能形成全面的防护。提出一种基于协议无感知转发(POF,protocol-oblivious forwarding)技术的移动目标防御(MTD,moving target defense)方法,通过私有协议分组随机化策略和动态路径欺骗分组随机丢弃策略,大大提高攻击者实施网络窃听的难度,保障网络通信过程的隐私性。通过实验验证和理论分析证明了该方法的有效性。

基于改进攻击图的电力信息物理系统跨空间连锁故障危害评估

为了准确评估各类跨空间连锁故障对电力信息物理系统的危害性,提出一种基于改进攻击图的量化评估方法。首先,对攻击图算法进行改进,提出攻击图顶点的脆弱性因子概念并推导其计算公式,使其适用于量化评估;其次,将电力信息物理系统涵盖的网络攻击、电力二次设备故障和暂态稳定节点扰动等各类安全风险抽象成改进攻击图的顶点,建立各顶点之间的因果逻辑关系,以辨明跨空间连锁故障的所有类别,进而计算各顶点的脆弱性因子,实现对各类跨空间连锁故障危害的定量评估;最后基于110 k V智能变电站仿真环境搭建了局部电力信息物理系统模型,仿真了多种跨空间连锁故障并评估其危害,验证了该量化评估方法的有效性。

网络空间安全靶场设计研究

我国网络空间安全形势严峻,网络空间安全靶场能够极大提升国内网络空间安全能力.研究了国内外网络空间安全靶场发展情况,并提出一种由"一池五域":虚拟资源池、攻击域、防守域、仿真域、动态安全防护域和实训域组成,涵盖网络空间安全攻防对抗、安全测评、科研创新和人才培训五大功能的靶场建设思路.网络空间靶场模型的提出对国家网络空间靶场建设具有启发意义.

基于EBLOF算法的攻击者IP分析系统及应用

为了在多源、异构、海量的网络威胁入侵告警日志中快速准确定位到高优先级、亟需处理的攻击者IP并构建其特征,缓解安全分析人员的告警疲劳,提高安全运营效率,提出一种基于集成学习的局部异常因子(ensemble based local outlier factor,EBLOF)算法的攻击者IP分析系统。一方面,该系统通过提取和归并范式化的网络安全告警日志,从攻击者IP的属性维度和攻击行为维度构建特征工程,并借鉴集成学习的思路和传统异常检测算法LOF,构建了鲁棒的EBLOF算法模型,进而发现高威胁的攻击者IP。另一方面,该系统针对机器学习模型难以在线更新的问题,通过批量实时学习技术构建了一套在线学习的架构,从系统架构层面而非算法层面确保模型能够在线更新。将本文提出的算法模型在公共异常检测数据集ODD上开展模型的训练,并对模型的检测效果进行实验验证。实验结果表明,本文模型在不同数据分布下相比原始LOF模型具有更好的鲁棒性。将本文所提的系统应用在真实攻防场景中,通过与安全分析人员进行检出对比分析,验证了所提系统的有效性和可行性。

以平行仿真技术为核心的网络安全蜜罐技术路线

网络安全蜜罐技术以平行仿真技术为核心,通过构造与现实网络系统相对应的场景和访问环境,综合利用虚拟化、云计算、大数据分析、攻防对抗、行为仿真等技术,研发能够进行细粒度场景仿真、支持资源虚实结合、能够模拟仿真各类高逼真的典型网络场景,对攻击者具有强烈诱导和欺骗能力,在其不知情的情况下发现其攻击行为并留存其攻击证据。在真实系统身边构建一个平行仿真的伴生环境--蜜罐,实现高甜度诱捕、零误报发现、高处置防御,为防御体系构建一个全新的优势维度。

外层空间网络攻击的法律定性问题探究

近年来,随着网络技术和外空科技的快速发展,被应用于对外空基础设施进行破坏和对相关情报进行窃取的外层空间网络攻击开始出现,对外层空间和国际社会的和平与安全构成了严重威胁。《网络行动国际法塔林手册2. 0版》虽然制定了若干得以适用于外层空间网络攻击的国际法规则,但由于适用于网络行动的国际法规则本身固有的不确定性客观存在,并无法对包括外层空间网络攻击在内的网络行动进行确定的、强制的法律规制,因此,对外层空间网络攻击做出明确的法律定性,是对这一网络行动进行有效的法律规制的前提。