一种抗CPS控制层欺骗攻击的算法

信息物理系统(CPS)在原本的工控系统中加入了计算单元,使攻击者能够通过对该网络进行攻击。本文考虑攻击者通过恶意篡改信道中传输的传感器测量数据,使计算单元无法根据测量值对物理环境做出正确决策。通过改进针对CPS控制层欺骗攻击的卡尔曼滤波器算法,使改进后的算法对多种类型的欺骗攻击都有较好的检测性能,并能在一定程度上恢复被篡改的数据。本文使用改进算法对田纳西伊斯曼过程中反应釜内的压强测量值进行攻击检测,并与原算法进行比较,通过实验可以验证改进后算法对偏差型和几何型攻击的检测和恢复效果明显优于原算法。     

基于IP欺骗攻击的状态分析法研究

提出了一种能够在网络中检测并防范IP欺骗攻击的方法．通过获取网络结点的工作状态，分析网络中出现的异常活动，给出了因攻击而引起的网络状态的迁移过程．通过预测分析，及时检测出已经存在的IP欺骗攻击；通过回溯分析，试图找到发起攻击的攻击者．将状态分析法运用于入侵检测，可增强网络抵御IP欺骗攻击的能力．     

无线传感器网络节点定位中一种检测欺骗攻击的方法

为了防御欺骗攻击、保障传感器节点定位的有效性和可靠性,分析、总结了欺骗攻击所固有的薄弱环节,在此基础上,提出一种检测欺骗攻击的算法。检测节点通过核对与被检测节点之间信号传播时间和所损耗的功率是否相对应,来判断是否存在检测攻击。推导了信号所传播时间和损耗功率的对应关系,并使用OPNET Modeler实现算法仿真,仿真实验证明该算法可以有效的检测出攻击节点,提高定位的精度。     

基于潜在数据挖掘的小样本数据库对抗攻击防御算法

为了降低小样本数据库欺骗率,提升小样本数据库的攻击防御效果,设计了一种基于潜在数据挖掘的小样本数据库对抗攻击的防御算法(潜在数据挖掘的防御算法).采用改进的Apriori算法,通过频繁属性值集的工作过程获取准确的强关联规则优势,并从小样本数据库中挖掘潜在数据对抗攻击,同时优化候选集寻找频繁集的过程,然后利用关联分析检测对抗攻击,并通过可信度调度控制访问速率来防止产生恶意会话,实现小样本数据库对抗攻击防御.实验结果表明,潜在数据挖掘的防御算法可有效防御小样本数据库遭受的多种类型攻击,降低攻击产生的数据库欺骗率,保障小样本数据库服务器利用率的稳定性.     

基于综合评分的DDoS检测分析报告系统

针对分布式拒绝服务攻击所采用的攻击方式多变这一问题,设计了综合评分算法,可以综合使用多个异常检测算法,综合评估以识别攻击.因现有的分布式拒绝服务攻击检测方法难以给出异常流量的具体特征,设计了Apriori-Geo-AS算法和端口分布分类的Kolmogorov-Smirnov检验算法,通过改进Apriori算法,能够更有效地提取攻击源的主要来源地址、端口和地理位置信息;通过和理想端口分布进行Kolmogorov-Smirnov检验,能够进一步判断出攻击者的端口使用模式.实验结果表明,异常检测算法正常时段的误报率低于0.2%,通过对清华大学校园网的网络攻击进行分析验证了本系统攻击分析部分的有效性.     

无线局域网安全问题及其检测技术

介绍了无线局域网的安全机制，分析了无线局域网中存在的一些安全问题，总结了无线局域网的安全检测技术．并在无线捕包解码的基础上，分析无线局域网的故障检测以及MAC地址欺骗，身份认证欺骗，AP关联表数据溢出攻击和Deauthentication攻击的检测方法。     

基于小波分析的无线传感网实时异常检测算法

异常检测技术能够检测到未知攻击,对于保障无线传感器网络安全具有重要意义.当前的异常检测技术实时性差,误报率高且计算量大,因此,无法直接应用在无线传感器网络中.鉴于此,提出基于小波分析的实时无线传感网异常检测(Wavelet Analysis-Based Real-time Anomaly Detection,WARAD)算法.在整个检测过程中,WARAD算法采用了逆向获取实时网络流量,然后通过对小尺度区间使用小波系数方差法计算Hurst值,从而提高异常检测的实时性、准确率,并降低求解Hurst值的运算复杂度.最后,在MeshIDE平台上实现了基于WARAD算法的异常检测系统,实验结果表明此算法极大地提高了无线传感网环境下异常检测的实时性,并降低了异常检测的误报率和漏报率.     

基于主动弹性防御策略的网络控制系统零动态攻击检测

研究了一种适用于零动态攻击的网络控制系统（NCSs）的弹性控制策略,基于控制输入和测量数据设计的隐式虚假数据注入攻击.当网络化控制系统的控制信号受到网络攻击时,根据被动模型的故障检测和隔离方案,发现在攻击过程中,对设备状态变量的零动态攻击的结果是不可检测的,但在攻击结束后会变得明显.对此,利用广义似然比检测器的主动版本给出的信息在线更新卡尔曼滤波器,设计了一种具有快速恢复攻击端后闭环系统行为能力的弹性线性二次高斯控制器.实验结果显示,所提算法明显具有更高的攻击检测质量,并具有更佳的计算效率和内存利用效率,验证了算法有效性.     

基于802.1x协议的校园网ARP欺骗防御

针对校园网等局域网络中,利用网络协议中的基础协议--ARP协议使用漏洞的ARP欺骗攻击,提出定期更新客户端主机ARP列表和利用对802.1x协议的认证功能进行适当扩展,设计客户端异常流量检测模块的防御措施,并用实验方法验证对ARP欺骗攻击防御效果.     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

欺骗攻击下基于集员估计的网络化系统跟踪控制

针对在统计特性未知欺骗攻击下,线性时变参数网络化控制系统（NCS）容易出现跟踪偏差的问题,提出了一种基于集员估计的控制策略,实现了系统状态对参考状态的有效跟踪.与卡尔曼估计等方法相比,无需提前知道攻击的统计特性,利用一种新型的集员估计方法,将传感器到控制器通道和控制器到执行器通道遭受的欺骗攻击建模为未知但有界（UBB）的信号,其中系统真实状态和估计状态都存在于估计集中.该方法提高了估计的准确性,并扩大了适用范围.采用Lyapunov函数,给出了误差闭环系统稳定的充分条件和基于线性矩阵不等式的估计器和控制器的求解算法,并使用凸优化方法获得最佳的估计集.用数值仿真验证所提出方法的可行性.     

遭受执行器攻击的工控系统输出反馈滑模控制

针对工业控制系统存在测量噪声及外界执行器攻击问题,提出一种基于无偏状态估计的输出反馈离散滑模控制方法。在执行器攻击存在的情况下,构造等效滑模控制律。由于攻击信号与系统状态未知,通过引入无偏状态观测器从遭受噪声干扰的传感测量数据中获得系统真实状态的最小方差无偏估计量。在此基础上,利用一步延时攻击估计得到攻击信号的近似估计值,使所设计的鲁棒滑模控制律得以实现。给出了在此控制律作用下滑模面的收敛性分析及闭环系统最终有界稳定的证明。数值仿真实验结果验证了面向执行器攻击的无偏状态估计器的有效性,也表明与传统滑模控制方法相比,提出的输出反馈滑模控制方法对执行器攻击具有更强的抑制力,能够有效提高系统的鲁棒性能。     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

校园网主动防御体系模型

针对目前日益严重的校园网络安全问题。提出了一套有效的主动防御安全模型。该模型采用了入侵检测与诱骗技术,利用蜜罐技术提取攻击行为特征库,通过XML消息传递机制．实现了一个完整的主动防御体系模型,并对涉及的关键技术做了探讨。     

基于遗传算法的蜜罐系统

入侵诱骗系统作为一种网络安全工具,其价值在于被扫描、攻击和入侵时,通过创建一个高度可控的攻击环境,从而捕获尽可能多的入侵信息.基于这些信息,分析入侵行为,预防更多的恶意破坏,从而更有效的保护网络.介绍一种基于遗传算法的蜜罐系统,其关键技术包括隐蔽的数据捕捉和基于遗传算法的行为分析技术.实验证明,该系统能有效捕捉恶意行为,防御多种新型攻击.     

基于校园网ARP欺骗分析与防范研究

校园网在运行过程中,ARP欺骗是最常见的一种病毒攻击方法,直接的后果就是造成用户网网络不稳定或网络中断。本文就当前校园网用户受ARP欺骗的原理及现象作出剖析,并提出对ARP病毒攻击时的多种解决方案。     

实施转发式GNSS欺骗干扰的选星方法研究

在现代电子战的背景下,转发式GNSS欺骗干扰已经成为一种重要的干扰方式,通过研究实施转发式GNSS欺骗干扰的选星方法,可以提高转发式欺骗干扰的干扰能力.基于转发式欺骗干扰的实现原理,提出了一种基于常用GNSS定位选星方法和卫星对位置精度因子（position dilution of precision,PDOP）的贡献值选择被转发卫星的选星方法,基于利用最小二乘算法的伪距绝对定位方法进行仿真,模拟了接收机在静态和动态条件下受到单颗卫星转发式欺骗干扰的情况.仿真结果表明,本文提出的被转发卫星选择算法分别有87.42%和100%的概率给出理论上最优的选星结果.      

基于服务器安全的入侵检测系统在Linux系统上实现

为防止黑客入侵,提出一种在Linux环境下实现网络入侵检测系统的实现方法.此系统由嗅探器、分析器和处理器组成.程序用C语言实现.针对网络层与传输层的IP攻击、ICMP攻击、UDP攻击、TCP攻击特征和数据报做了详细的分析;在网络入侵检测的实现上,使用IP重组预处理和模式匹配相结合的方法,提升了系统检测网络攻击行为的能力,两种检测方法成为有效的互补.     

一种基于蜜罐技术的入侵诱骗模型的研究与建立

入侵诱骗技术变被动防守为主动防御,其中诱骗环境是真实系统的替身,是整个入侵诱骗系统的核心.本文在入侵检测技术的基础上构建了一个基于蜜罐技术的入侵诱骗系统模型,并且给出了基于有限自动机技术的虚拟服务的设计方法.在这里我们构建了了这样一种诱骗网络,它可以诱惑攻击者,使他们将时间和资源都花费在攻击诱骗陷阱上,从而保护工作系统免于攻击.     

一种扩展的ARP协议设计

ARP(Address Resolution Protocol)协议是实现IP地址到MAC地址映射的协议。由于传统的ARP协议缺乏完整性检查与认证,导致ARP欺骗攻击相当盛行。文章分析了传统的ARP协议存在的缺陷和安全隐患,提出了新的ARP协议的设计方法,即S-ARP协议。S-ARP是对传统的ARP协议的一种扩展。S-ARP协议通过过滤、分析发送和接收数据包,能有效地防御ARP欺骗攻击。