一种基于Snort规则的NIDS测试程序设计

入侵检测系统是解决网络安全问题的有效手段，而入侵检测系统能否达到设计要求也是我们十分关注的问题。介绍了一种基于Snort规则的NIDS测试程序设计，给出了设计的原理及其实现的过程。此程序通过解析Snort规则来构造攻击特征报文，发送到网络上被NIDS检测到并报警，从而测试和评估NIDS的承受能力。     

攻击图和HMM结合的网络安全风险评估方法研究

为了解决传统网络安全风险评估不能有效评价网络安全风险动态变化的缺点,根据网络安全的特性,提出了攻击图和隐马尔可夫模型(HMM)相结合的网络安全风险评估方法.采用攻击图生成网络攻击路径,从复杂度和防御能力等方面量化攻击威胁等级,利用隐马尔可夫模型计算攻击路径的攻击成功率,结合网络资产的重要程度确定网络安全风险值.通过实例分析表明,该方法能够提高网络安全风险评估的准确性,能够有效地对网络安全状况进行分析,具有较高的实用性.     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

基于隐马尔可夫模型的网络动态风险评估

网络信息的广泛传播导致在传播的过程中出现大量的隐患,对网路安全构成很大的威胁,实时有效的对网络进行动态风险评估变得十分必要。在隐马尔可夫模型的基础上借助于攻击威胁度及遗传算法,并借鉴风险量化的概念对风险评估算法进行了改进,实时有效地提高了评估的可靠性。此外,通过理论分析加以试验检验了此改进方法的时效性。     

基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

自适应安全分析和监测系统机理分析

对探测具有低信噪比特征的恐怖分子活动问题,其中包括"恶性的"或("恐怖分子活动")交易和嘈杂的("良性的")交易,提出了以隐马尔可夫模型和动态贝叶斯网络为基础的自适应安全分析和监测系统,用于帮助情报人员识别恐怖威胁,预测恐怖分子的可能活动.作为一种以交易为基础的分析工具,类似于有噪声背景的目标跟踪问题,将一系列在现实交易中可疑的人、地方和事情作为数据输入,利用隐马尔可夫模型,在前置变量法和时序似然比探测算法的基础上,提供描述恐怖分子网络节点状态的部分(不完整)观测数据的软性证据;构建分层贝叶斯网络,软性证据以可能性信息形式从隐马尔可夫模型传送到贝叶斯网络进行信息融合,用于升级贝叶斯网络的推理.和反恐网络模型相结合,自适应安全分析和监测系统收集、共享、识别信息,并且评价和预测恐怖分子网络的状态,为抑制可能的恐怖威胁给出可行性建议.     

基于隐马尔可夫模型的Web网页预取

为了缓解网页访问延时的问题，提出了一种基于隐马尔可夫模型的网页预取方法。该方法借助隐马尔可夫模型，挖掘蕴涵在用户访问路径中的信息需求概念，以此进行预取页面的评价，最终实现基于语义的网页预取，实验结果表明，该方法具有较好的预取准确度。     

一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

基于模拟退火算法与隐马尔可夫模型的Web信息抽取

典型隐马尔可夫模型对初始参数非常敏感,采用随机参数训练隐马尔可夫模型时常陷入局部最优,应用于W eb信息抽取时效果不佳.文中提出基于模拟退火算法与隐马尔可夫模型的W eb信息抽取算法.通过实验比较选择最佳的模拟退火算法参数,结合Baum-W elch算法优化隐马尔可夫模型并应用于W eb信息抽取.实验结果表明新算法在信息抽取的精确率和召回率都有明显的提高.     

用动态贝叶斯网络构建协同过滤推荐的新方法

提出了一种基于动态贝叶斯网络的隐马尔可夫协同过滤推荐的新方法。基于隐马尔可夫模型的协同过滤方法模拟用户在浏览网页时的行为,根据用户浏览网页时的行为建立最近邻集合。在基于隐马尔可夫协同过滤推荐技术的基础上,构造基于DBN的推荐模型。当有新类型的数据加入时,用此模型来更新推荐模型。实验表明,此方法具有较高的推荐质量。     

面向智能变电站的威胁与风险评价模型研究与实现

针对传统入侵检测系统在资源受限的工业网络中部署时效率和稳定性表现不足的问题,首先提出了面向智能变电站的入侵检测系统,以及工业设备安全风险评估方法,建立了针对智能变电站结构的威胁风险评价模型,引入基于灰色模型的网络脆弱性节点主动预测方法用以平衡威胁来源的权重;其次提出基于信息安全三维度风险值计算算法,引入模糊一致判断矩阵进行风险值参数计算,最终实现可以直观判断攻击对系统的影响范围和程度的风险评价.通过相关实验,系统在部署环境中满足被动性、低负荷、实时性以及可靠性要求的同时,能够有效地检测工业网络面临的入侵威胁.     

高级持续性威胁中攻击特征的分析与检测

针对高级持续性威胁的检测问题, 提出一种基于网络连接特征属性的检测方法. 通过数据采集、 特征提取、 异常检测和实时报警4个步骤, 选取网络连接的12种特征属性, 应用机器学习方法分析属性特征数据集, 建立高级持续性威胁攻击检测模型. 实验结果表明, 该方法对于高级持续性威胁攻击检测性能良好, 检测率较高, 误报率较低.     

一种基于贝叶斯网络的威胁估计方法

为有效处理地面战场威胁估计问题,提出了一种基于贝叶斯网络的威胁估计方法。根据专家知识建立贝叶斯网络模型,通过匹配算法实现态势估计记录与贝叶斯网络中态势节点的匹配,并根据证据可信度及先验概率动态实现态势节点的概率赋值,利用Pearl消息传播算法计算威胁等级节点各取值的概率值,最终获得威胁等级决策。针对一个简化的贝叶斯网络模型,采用该方法进行了不同先验概率及态势下威胁等级的仿真评估,所得结论与人工判定结论基本吻合,表明该方法可有效地应用于地面战场威胁估计领域。     

基于HMM和自组织映射的网络入侵检测算法

随着网络入侵多样化的发展,传统的防火墙、数据加密等防御方法已经很难保证系统和网络资源的安全,为此,设计了基于隐形马尔科夫模型HMM和自组织映射SOM的网络入侵检测方法.首先建立了自组织映射-HMM的双层入侵检测模型,采用样本数据训练SOM网,然后将测试数据输入SOM模型获得观察序列对应的攻击类别的后验概率,将此后验概率用于训练HMM模型获得概率初始分布和状态转移概率等各参数.最后,通过比较测试数据在各模型下发生概率的大小来获取对应的攻击类别.仿真实验表明本研究方法能有效实现网络入侵检测,较经典的HMM方法以及改进的神经网络方法,具有较高的检测率和较低的误报率,同时具有较少的检测时间.     

基于CHMM的TE过程在线故障检测

随着工业过程的规模和复杂程度的增加,对于过程安全性和可靠性的要求进一步提高.为了准确及时地检测设备故障,提出了一种基于连续隐马尔可夫模型(CHMM)的在线故障检测方法.采用主元分析(PCA)方法对过程变量数据进行特征提取,利用变长度滑动窗口技术跟踪动态数据,并提出了一个新的实时统计量作为在线故障检测的量化指标,结合实时阈值实现了CHMM的在线故障检测.将该方法应用于田纳西-伊斯曼(TE)化工过程,并与基于PCA和动态主元分析(DPCA)方法的故障检测结果进行比较,能够较准确地检测到故障,验证了该方法的有效性.     

一种面向任务的网络风险评估模型

针对网络业务安全风险评估问题,提出了一种基于STRIDE威胁建模和隐式马尔科夫模型理论的STRIDE HMM风险评测方法,该方法以网络业务为切入点,给出了任务描述模型、任务资产模型、任务风险评估模型的构建方法及其联系。任务描述模型给出了任务阶段划分及相应的资产集、漏洞集和威胁集;任务资产模型给出了任务各阶段所依赖的资产集合,在此基础上采用隐式马尔科夫模型方法给出了资产安全状态量化计算方法;任务风险评估模型按照资产分类集合的结果,采用聚合分析方法给出了任务风险值计算方法,进而实现面向网络业务的风险评测。为了验证提出方法的有效性,采用TMT威胁建模工具典型web应用给出的资产、漏洞、威胁示例,利用提出的模型和方法对该示例进行了仿真验证,实验结果表明：该方法可为面向任务的安全计划制定和调度提供决策支持。     

Stackelberg博弈模型的电力系统可靠性网络安全保险策略

为了评估网络风险并且长期规划保险费用,提出了一种基于Stackelberg博弈模型的电力系统可靠性网络安全保险策略。首先引入Stackelberg安全博弈模型,并将该模型作为在每个半马尔可夫过程中跨目标变电站分配防御资源的最佳随机分配机制。然后采用序贯蒙特卡罗模拟方法对潜在网络攻击入侵造成的损失进行了可靠性分析,提出了第三方保险公司的精算保险原则,从而评估网络安全威胁造成的潜在供电中断的影响,并将脆弱性指标纳入长期可靠性评估。最后通过案例结果分析可知提出的保险策略有效地解决了不同电力公司损失的依赖性问题,并且能够有效处理安全投资与保险费节约之间的关系。     

Web应用威胁建模与定量评估

为有效地对Web应用威胁进行评估,分析了Web应用威胁现状,定义了Web应用威胁模型,提出了一种利用攻击图对Web应用进行威胁建模和定量评估的方法。描述了攻击图建模过程,并给出其生成算法。研究了利用攻击图对Web威胁进行量化评估的分析方法。通过一个典型的Web应用网络环境,对攻击图生成算法和Web威胁评估方法进行了验证。对Web应用进行量化威胁评估的结果,有效揭示了web应用面临的各种可能的威胁隐患和攻击路径,对有效抵御风险具有重要的意义。