攻击检测

摘要： 目的 为了提高网络安全风险溯源识别和检测能力,提出基于攻防微分博弈的网络安全风险溯源识别方法 .方法 采用网络安全风险大数据博弈均衡调度的方法 ,识别和跟踪检测网络安全风险信息,结合微分方程,建立网络安全风险溯源的目标函数;采用平衡度测量和博弈均衡控制的方法 ,控制网络安全风险的模糊性,提取网络安全风险模糊信息管理参数,通过微分参数的最优解集分析的方法 建立攻防微分博弈模型,采用规则性约束参数模型构造的方法 ,构建网络安全风险的溯源跟踪参数辨识模型,在不同的风险等级中实现网络安全风险的溯源识别和攻防博弈.结果 仿真结果 表明,其风险辨识精度最高可达0.998,攻击信息识别能力较强,功率谱密度较稳定.结论 采用该方法 实现网络安全风险识别的溯源能力较强,对网络安全风险评估的准确性较高,网络攻击检测概率较高.

摘要： 以太坊是第二代区块链平台的典型代表,其最大特点是能够通过智能合约来支持功能丰富的分布式应用。另外,为了提高交易验证效率,以太坊使用了本地数据库来存储账户状态,并基于区块头内的状态树根保证状态数据的完整性。但是研究工作表明,本地数据库存在被篡改的安全隐患,且攻击者可以基于被篡改的账户状态发出非法交易,从而牟取不正当利益。简要描述了这类针对本地状态数据库的安全漏洞,并分析了攻击成功的前提条件;在此基础上,与工作量证明共识机制下两种常见的安全威胁进行了对比,发现在攻击者控制相同挖矿算力的条件下,基于状态数据库的攻击带来的安全风险更高,攻击成功概率趋近于100%。为应对存在的安全威胁,提出了一套切实可行的攻击检测与防御方案,并在以太坊源码的基础上加入了二次验证与数据恢复过程。通过单机多线程的实验测试评估了所提方案的可行性与复杂度。实验结果表明:改进后的以太坊系统具备了针对状态数据库篡改的容错能力,且该方案同样适用于超级账本等其他基于本地数据库进行交易验证的区块链平台。此外,通过统计二次验证的时间和哈希计算次数,证明了所提方案带来的时间与计算开销并不显著,对现有系统的性能影响不大,具有良好的适用性。

摘要： Cisco IOS(Internetwork Operating System)作为Cisco路由器的专用操作系统,其由于硬件条件限制,在设计时更加注重性能而忽视了系统安全,导致无法有效检测面向返回地址编程(Return-Oriented Programming,ROP)的攻击。针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够对面向Cisco IOS的ROP攻击进行有效检测,并对ROP攻击代码进行捕获。通过分析现有针对ROP攻击的防护机制的优缺点,在紧凑型影子内存防护思想的基础上,将传统的影子内存存储模式改造为基于哈希的内存查找模式,增加了返回地址内存指针的记录作为哈希查找的索引,提高了影子内存查找效率,同时能够抵御由于内存泄露导致的影子内存篡改。在Dynamips虚拟化平台的基础上设计实现了CROPDS系统,对所提方法进行了有效验证。与现有方法对比,所提方法在通用性和性能上均有提升,并能够捕获到攻击执行的shellcode。

摘要： 低速率拒绝服务(LDoS)攻击是一种拒绝服务(DoS)攻击改进形式,因其攻击平均速率低、隐蔽性强,使得检测LDoS攻击成为难点。针对上述难点,提出了一种在软件定义网络(SDN)的架构下,基于加权均值漂移-K均值算法(WMS-Kmeans)的LDoS攻击检测方法。首先,通过获取OpenFlow交换机的流表信息,分析并提取出SDN环境下LDoS攻击流量的六元组特征;然后,利用平均绝对值百分比误差作为均值漂移聚类中欧氏距离的权值,以此产生的簇心作为K-Means的初始中心对流表进行聚类,从而实现LDoS攻击的检测。实验结果表明:在SDN环境下,所提方法对LDoS攻击具有较好的检测性能,平均检测率达到99.29%,平均误警率和平均漏警率分别为1.97%和0.69%。

摘要： 目前的用电信息采集系统攻击检测技术准确率较低、召回率较差。为解决上述问题,提出了基于模糊Petri网的用电信息采集系统攻击检测技术。通过监测系统所有活动,自动采集数据,完成数据的控制和分析,并通过构建基于模糊Petri网的用电信息采集系统攻击检测模型和K均值聚类算法检测系统攻击。实验结果表明,基于模糊Petri网的用电信息采集系统攻击检测技术能够有效提高检测准确率、提升召回率,对于电力领域的发展具有积极作用。

摘要： 推荐系统能够有效缓解互联网的迅猛发展带来的信息过载问题,但欺诈攻击的存在制约了推荐系统的健康发展,因此如何准确、高效地检测欺诈攻击是推荐系统安全领域的重要问题。已有检测方法往往依赖专家知识人工提取检测特征或基于深度学习自动获取某一视角下的检测特征,在此基础上通过硬分类找出攻击用户,导致检测性能不佳。因此,本文同时考虑多视角下的特征自动提取,引入模糊决策,提出了一种基于CNN和犹豫模糊集的欺诈攻击检测方法(简称CNN-HFS)。首先,对每个用户分别从评分值、评分偏好和评分时间视角抽取3个行为矩阵,利用双三次插值法对3个矩阵进行缩放得到对应的密集评分矩阵、密集偏好矩阵和密集时间矩阵;然后,将每个用户任意视角下的缩放矩阵视为一个图像,在3个不同视角下分别训练CNN,并计算任意用户在每个视角下属于攻击用户类的隶属度;最后,引入模糊犹豫集对多视角下的检测结果进行综合决策,根据决策结果识别出攻击用户。为了验证CNN-HFS的有效性,选取SVM-TIA、CoDetector、CNN-SAD、SDAEs-PCA、CNN-R、CNN-P和CNN-T作为对比方法,在MovieLens 1M和Amazon数据集上对精确率、召回率和F1-measure值3个评价指标进行实验评估。实验结果表明,本文所提方法在3个评价指标上明显优于其他7种对比方法,可以获得更高的检测性能。

摘要： 跨站脚本攻击作为Web攻击中最常见的类型之一,直接威胁到用户隐私安全和服务器安全。研究一种准确、高效的模型检测识别跨站脚本攻击具有极其重要的科研意义和实用价值。为此,提出一种基于深度学习检测跨站脚本攻击的新方法。该方法使用Word2Vec提取样本具有语义信息的词向量表示,并基于LSTM深度学习算法自动化提取跨站脚本攻击的深层次特征。实验结果表明,相比于之前常用的XSS攻击检测方法,基于深度学习的XSS检测模型在实际数据集中的准确率达到99.5%,召回率达到97.9%,这表明该方法能够有效识别XSS攻击。

摘要： 虚假数据注入攻击(FDIA)是一种以破坏电力数据完整性与可用性为目的的隐蔽攻击,特点是由攻击者精心设计的攻击向量可以绕过电力系统常规数据检测,因此其检测方法对电力系统的稳定运行具有重要意义。提出了一种基于残差的方法来检测系统是否遭受攻击,保留了系统原有的加权最小二乘估计(WLS),引入了一个额外的扩展卡尔曼滤波(EKF)。由于扩展卡尔曼滤波器的递归特点,在达到新的稳定值前会有一个较长的过程,利用这个过程中两估计器的残差超越所给定的阈值来判断系统是否遭受攻击。在IEEE14节点的仿真证明了检测方法对FDIA的有效性。

摘要： 低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点。现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法。模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入口处收集流量并提取其流特征信息,得到多类型低速率DDoS攻击数据集;从统计阈值和特征工程的角度,分别分析了不同类型低速率DDoS攻击的特征,得到了40维的低速率DDoS攻击有效特征集;基于该有效特征集采用CNN-RF混合深度学习算法进行离线训练,并对比该算法与LSTM-LightGBM和LSTM-RF算法的性能;在网关处部署CNN-RF检测模型,实现了多类型低速率DDoS攻击的在线检测,并使用新定义的错误拦截率和恶意流量检测率指标进行了性能评估。结果显示,在120 s的时间窗口下,所提方法能够在线检测出4种类型的低速率DDoS攻击,包括Slow Headers攻击、Slow Body攻击、Slow Read攻击和Shrew攻击,错误拦截率达到11.03%,恶意流量检测率达到96.22%。结果表明,所提方法能够显著降低网络入口处的低速率DDoS攻击流量强度,并在实际环境中部署和应用。

摘要： 基于双向的门控循环单元(Bidirectional Gated Recurrent Unit,BiGRU)网络能够解决传统RNN模型存在的梯度消失或梯度爆炸问题,文中提出了一种基于Renyi熵和BiGRU算法实现SDN(Software Defined Network)环境下的DDoS攻击检测方法,首先应用Renyi熵进行异常流量检测,检测划分为正常、异常两种结果,检测为异常的流量将应用BiGRU(bi-gatedrecurrentunit,BiGRU)算法进行攻击检测;然后利用交换机收集流表信息,提取了6个特征向量作为攻击检测的特征向量,最后通过Mininet模拟SDN的网络拓扑结构,基于控制器OpenDaylight完成检测。实验结果表明:相比SVM和BPNN神经网络检测算法,所提检测方案的检测准确率和识别率更高,有较好的综合检测能力。

摘要： 针对电力物联网建设中精准时间协议(PTP)容易受到攻击影响,以及为克服传统以太网精确度不足的问题,提出基于马尔可夫逻辑树和系统脆性分析搭建了智慧变电站攻击检测与恢复模型.首先分析攻击模型,分为威胁模型、攻击树和延迟攻击模型,判断不同的攻击模型各自对时间同步方案造成的影响.然后基于马尔可夫树和系统的脆性分析对系统出现的偏差进行分类判断,构建了攻击检测和恢复模型.最后通过实验验证了所提方案在理想情况和实际工程模拟角度的有效性.实验结果表明所提研究模型具有更小的计算误差和更加广泛的使用范围,理想模型的检测和恢复指标可以达到97％.对比传统攻击检测和恢复方案,时钟偏移平均减少了14.25％,同步误差平均减少了35.43％.

摘要： 针对ZigBee网络中虫洞攻击破坏网络拓扑、路由发现和资源分配等问题,在定义虫洞节点、显式和隐式虫洞节点的基础上,提出一种虫洞攻击检测方案,通过判断邻居关系与通信半径是否匹配标记虫洞节点,并在此基础上,设计虫洞节点类型识别流程.安全性分析及实验结果表明,方案在有效检测虫洞攻击的同时具有较小的计算开销.

摘要： 随着信息技术的飞速发展,Web服务器具有很高的价值,很容易受到攻击.因此Web服务器中产生的访问日志具有很高的利用价值.在传统的Web日志异常检测中,通常依靠手工制定关键字搜索和正则表达式来进行匹配,但由于日志系统数据量庞大,攻击类型多种多样,黑客技能不断提高,这使得传统的检测方法在精度和效率上存在明显不足.针对以上问题,提出了一种从HTTP请求的URI中提取特征向量来区分异常攻击行为的方法.同时基于请求URI的特征向量,采用随机森林分类器来对网络攻击的类型进行检测,并支持多攻击类型分类.基于来自工业界的真实web日志对所提出模型进行验证,并与朴素贝叶斯分类器、决策树分类器以及随机梯度分类器进行了实验对比,结果表明:随机森林分类器在基于Web日志的攻击类型检测上具有更高的精度和召回率,同时在新的测试日志数据上也有较好的分类效果.

摘要： SQL注入攻击是网站常见的安全缺陷.为此,基于隐马尔可夫模型提出一种新的SQL注入检测方法.通过对SQL语句进行分词解析获取特征,结合隐马尔可夫模型和相似度距离算法,从而识别出真正的非法SQL语句.实验表明,该模型对于非法SQL语句的识别是简单有效的.

摘要： 为了提高工业网络安全检测能力,针对现阶段对于工业控制系统的攻击和特点,对工业控制网络中攻击检测的根源和难点进行了深入分析,并提出基于因子加权算法的工业控制系统态势感知方法,构建工业网络环境下的基于加权算法的的工业控制系统入侵检测方法,充分考虑了多信息源与多层次异构信息融合,从整体动态上展示出网络当前安全状况,准确地反映了网络安全态势进行网络安全态势的特征信息提取,然后采用因子加权算法对提取的入侵信息流进行相关性检测,实现安全态势预测和准确感知.仿真实验表明,该方法安全态势预测的精度较高,计算量小,具有较好的应用价值.

摘要： 近年来,基于内存的攻击手段日益增多,包括无文件攻击、内存Webshell、缓冲区溢出等,这些新的攻击手段可以轻松绕过现有的安全检测机制,给现有安全防护体系带来了极大挑战.当前的主机环境、云环境或终端环境在内存防护层面均处于“裸奔”状态,需要新的技术手段来应对,同时需要建立程序运行时的安全保障能力,不断提升主动防护能力,尽量减少在攻击完成后再采取安全措施的“亡羊补牢”局面,通过研究发现,上述的高级威胁攻击在基于API监控的检测方法上蛛丝马迹甚少,但是最终会在内存中“展现”和执行,所以内存成为所有威胁的汇聚点.在冯·诺依曼计算机体系结构中,任何数据都需要经过CPU进行运算、都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全防护可以有效防护所有威胁.

摘要： 近年来,基于内存的攻击手段日益增多,包括无文件攻击、内存Webshell、缓冲区溢出等,这些新的攻击手段可以轻松绕过现有的安全检测机制,给现有安全防护体系带来了极大挑战.当前的主机环境、云环境或终端环境在内存防护层面均处于“裸奔”状态,需要新的技术手段来应对,同时需要建立程序运行时的安全保障能力,不断提升主动防护能力,尽量减少在攻击完成后再采取安全措施的“亡羊补牢”局面,通过研究发现,上述的高级威胁攻击在基于API监控的检测方法上蛛丝马迹甚少,但是最终会在内存中“展现”和执行,所以内存成为所有威胁的汇聚点.在冯·诺依曼计算机体系结构中,任何数据都需要经过CPU进行运算、都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全防护可以有效防护所有威胁.

摘要： 近年来,基于内存的攻击手段日益增多,包括无文件攻击、内存Webshell、缓冲区溢出等,这些新的攻击手段可以轻松绕过现有的安全检测机制,给现有安全防护体系带来了极大挑战.当前的主机环境、云环境或终端环境在内存防护层面均处于“裸奔”状态,需要新的技术手段来应对,同时需要建立程序运行时的安全保障能力,不断提升主动防护能力,尽量减少在攻击完成后再采取安全措施的“亡羊补牢”局面,通过研究发现,上述的高级威胁攻击在基于API监控的检测方法上蛛丝马迹甚少,但是最终会在内存中“展现”和执行,所以内存成为所有威胁的汇聚点.在冯·诺依曼计算机体系结构中,任何数据都需要经过CPU进行运算、都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全防护可以有效防护所有威胁.

摘要： 近年来,基于内存的攻击手段日益增多,包括无文件攻击、内存Webshell、缓冲区溢出等,这些新的攻击手段可以轻松绕过现有的安全检测机制,给现有安全防护体系带来了极大挑战.当前的主机环境、云环境或终端环境在内存防护层面均处于“裸奔”状态,需要新的技术手段来应对,同时需要建立程序运行时的安全保障能力,不断提升主动防护能力,尽量减少在攻击完成后再采取安全措施的“亡羊补牢”局面,通过研究发现,上述的高级威胁攻击在基于API监控的检测方法上蛛丝马迹甚少,但是最终会在内存中“展现”和执行,所以内存成为所有威胁的汇聚点.在冯·诺依曼计算机体系结构中,任何数据都需要经过CPU进行运算、都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全防护可以有效防护所有威胁.

摘要： 随着网络技术的快速发展,安全问题也随着网络空间的资产数量增多和种类越发复杂变得越来越严峻,这对网络安全主管部门提出了新的挑战.神州灵云NetSensor网络全流量分析解决方案采用了自主研发的基于多核处理器的网络协议分析专利技术,达到业界较高的抓包处理性能,同时采用业界唯一的网络流量+网络安全统一架构,全面支持云原生,创造性地将全尺寸数据包的分析能力应用于实时流量安全检测和回溯审计领域,使解决方案同时具备了网络应用流量分析和网络安全分析的能力,为保障用户的网络安全提供最原始的全量数据.

摘要： 选择部(312)从针对相互不同的类别的多个单类别分类器(313)中，选择针对如下类别的单类别分类器，该类别是通过针对输入数据的多类别分类，将所述输入数据分类到的类别。选择出的单类别分类器执行针对所述输入数据的单类别分类，计算得分。判定部(314)根据计算出的得分，判定针对所述输入数据的所述多类别分类的结果是否是由对抗样本攻击造成的错误结果。

摘要： 相关计算部(21)从传感器融合部(12a)接收作为传感器数据的磁数据和加速度数据，计算相关值。攻击判定部(22)从相关计算部(21)取得相关值，从传感器融合部(12)取得在传感器融合的过程中计算出的重力向量的误差和地磁向量的误差作为误差数据。攻击判定部(22)对相关值与对应于相关值的阈值进行比较，对误差数据与对应于误差数据的阈值进行比较，由此，判定是否存在对倾斜传感器模块(1a)的攻击。

摘要： 特征检测部(110)通过将利用MEMS传感器(200)检测到的传感器数据作为时序数据的波形来处理，从而从传感器传感器数据的波形生成相互不同的检测结果(11)至检测结果(16)这6种检测结果作为波形的特征。攻击判定部(120)基于检测结果(11)至检测结果(16)，判定有无对MEMS传感器(200)的攻击。

摘要： 本发明的攻击/异常检测装置具有：命令提取部，其从存储在命令存储区域中的包含命令目的地和到达顺序的信息在内的正常制造命令的集合和实际制造命令的集合中，分别提取具有与新接收到的实际制造命令中包含的命令目的地相同的命令目的地的元素；以及检测部，其按照提取出的两个元素的到达顺序对命令内容进行比较，由此检测攻击/异常。

摘要： 针对多个事件存储事件阶段信息，所述事件阶段信息存储有在进行针对信息系统的攻击的过程中由信息系统观测的事件、事件前阶段和事件后阶段。接收通知已由信息系统观测到的观测事件的观测事件通知信息。检索记述有通过观测事件通知信息通知的观测事件的事件阶段信息，并检索记述有与检索出的事件阶段信息的事件前阶段对应的事件后阶段、或者与检索出的事件阶段信息的事件后阶段对应的事件前阶段的事件阶段信息，在检索出的事件阶段信息的事件是无法观测的不可观测事件的情况下，视作已观测到不可观测事件，并利用依存关系连接观测事件和不可观测事件来生成事件队列。

摘要： 模型生成部(112)根据对监视对象进行计测而得到的多个计测值，生成表示监视对象的不同状态的计测值的状态模型。统合部(114)根据在得到多个计测值的时段内由监视对象进行了通信的多个通信数据，生成表示监视对象的不同状态的通信信息的检测规则。攻击检测部(115)使用状态模型和检测规则判定新的通信数据是否是攻击数据。

摘要： 在攻击检测装置(200)中，白名单存储部(242)按照每个系统状态，对应地存储有白名单(209)，白名单(209)定义了在系统状态下被许可的系统信息。状态估计部(210)根据在服务器装置(300)与设备(400)之间通信的通信数据(601)，估计控制系统(700)的当前的系统状态。攻击判定部(220)从白名单存储部(242)取得与当前的系统状态对应的白名单(209)，根据所取得的白名单(209)和当前的系统状态下的系统信息判定是否检测到攻击。

摘要： 攻击检测装置(1)具有：分组收集部(11)，其对从使用者终端(5)向服务提供服务器(4)发送的分组进行收集；头部信息取得部(12)，其从分组取得头部信息；以及攻击检测部(14)，其使用头部信息来判别各会话是否为攻击会话，攻击检测部(14)针对每个会话，对所收集的任意分组的窗口尺寸与其他分组的窗口尺寸进行比较，在比较结果满足规定的第1条件的情况下，将该会话检测为攻击会话。

摘要： 本申请公开了一种基于攻击检测模型的攻击检测方法及装置、介质、设备，涉及网络安全领域，主要目的在于改善现有使用机器学习算法进行攻击行为检测时，由于训练样本数量以及特征选取数量少，导致攻击检测结果准确率低，误报率高的问题。包括：获取目标用户的操作行为数据；基于已完成模型训练的攻击检测模型对操作数据进行分类处理，得到分类结果，其中，攻击检测模型为基于支持向量机算法构建的，并基于训练样本和脚本语言特征完成模型训练的，训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成，脚本语言特征是基于攻击样本进行提取的；若分类结果为攻击行为，则输出攻击警告，并拦截目标用户的所有操作行为所产生的数据。

摘要： 攻击检测方法是检测对在移动体内部收发的传感器数据的攻击的攻击检测方法，包括：基于表示传感器数据的传感器值的偏差的统计值、以及表示传感器值的变化的时机的移动体的事件信息中的至少一方，决定包含采样间隔和采样时间的采样方针的步骤(S101)；基于采样间隔和采样时间生成包含从传感器数据提取出的2个以上的传感器值、和第一以及第二顺序信息的采样数据的步骤(S102)；算出表示评价对象数据的异常的程度的第一异常得分、以及、表示评价对象数据的异常的程度的第二异常得分，基于所算出的第一异常得分和第二异常得分，判定评价对象数据是否是受到攻击的数据，输出判定结果的步骤(S103)。