CN114401113B - 基于安全本体建模的网络安防策略ai自主防御方法及*** - Google Patents

基于安全本体建模的网络安防策略ai自主防御方法及*** Download PDF

Info

Publication number
CN114401113B
CN114401113B CN202111545237.4A CN202111545237A CN114401113B CN 114401113 B CN114401113 B CN 114401113B CN 202111545237 A CN202111545237 A CN 202111545237A CN 114401113 B CN114401113 B CN 114401113B
Authority
CN
China
Prior art keywords
security
defense
attack
strategy
planning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111545237.4A
Other languages
English (en)
Other versions
CN114401113A (zh
Inventor
刘盈泽
郭渊博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202111545237.4A priority Critical patent/CN114401113B/zh
Publication of CN114401113A publication Critical patent/CN114401113A/zh
Application granted granted Critical
Publication of CN114401113B publication Critical patent/CN114401113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络信息安全技术领域,特别涉及一种基于安全本体建模的网络安防策略AI自主防御方法及***,通过整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案,在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。本发明在计算资源高约束、资产环境动态条件下,利用有限理性与AI规划实现自主防御,可在攻击早期为主动防御提供高效预警。

Description

基于安全本体建模的网络安防策略AI自主防御方法及***
技术领域
本发明属于网络信息安全技术领域,特别涉及一种基于安全本体建模的网络安防策略AI自主防御方法及***。
背景技术
网络空间的攻击对企业与组织机构威胁极大,表现为攻击门槛低、攻击时间随机且短促,减少损失的关键在于高效预警并快速实施有针对性的安全防御措施。传统网络安防体系通常与网络信息***同步建设,难以适应攻击方法与行为的快速演化,在应对高度自动化与智能化的攻击时,这种相对静态的安全防御模式局限性尤为明显。总体表现为防御被动、预警低效,在网络安防场景的有限时间、认知与信息条件下,安全防御的效能难以保证。
建立攻防安全知识与威胁情报体系是实施主动防御的信息基础。当前安防技术已开始进入智能化时代,安防策略推理需要建立形式化、规范化的知识表达。契合具体安防场景的知识整合必不可少,如何无缝衔接安防现象涉及的通用知识、场景领域知识等异质的知识集合,构建完整、易用的安全知识体系是其中的难点。在安全知识体系中建立安全属性及其间关系的准确定义,可为安全防御提供可靠的理论依据。安全预警是网络安全主动防御的前奏,是实施安防方案的依据。预警旨在尽早检测到网络攻击,在资产遭受实质损害前预警,以便采取优化的安全防御策略手段。如何在攻击发起阶段就能进行高效检测是关键。较理想的设计应在漏洞扫描等攻击发起的最初阶段,就能根据网络流量等基础数据进行分析捕捉。因此,捕捉网络流量并深度分析原始数据包信息对安全预警至关重要。安全防御措施的最终生效有赖于生成合适的防御策略并高效执行。为了在入侵行为对***造成实质伤害之前就阻碍入侵的影响,需要构建有针对性的弹性防御体系,采取主动防御的方式执行合适的防御策略,避免、转移、降低信息***面临的风险。防御策略的规划首先需要确定资产所需安全手段,在此基础上推荐合适的防御策略。因此,必须明确资产功能的安全属性,针对不同恶意目标衡量防御策略的重要性是前提,如何根据资产现存的风险因素推荐优化的防御策略是关键。考虑安防场景中时间、认知与信息条件高度有限呈常态化,如何在计算资源高约束、资产环境动态条件下实施主动智能化防御是问题解决的另一关键所在。
发明内容
针对防御被动、预警低效,且在网络安防场景的有限时间、认知与信息条件下安全防御的效能难以保证等的问题,本发明提供一种基于安全本体建模的网络安防策略AI自主防御方法及***,在计算资源高约束、资产环境动态条件下,利用有限理性与AI规划实现自主防御,可在攻击早期为主动防御提供高效预警,便于实际场景应用。
按照本发明所提供的设计方案,一种基于安全本体建模的网络安防策略AI自主防御方法,包含如下内容:
整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;
实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;
在时间、认知和信息的有限理性的范围内,根据防御策略并通过搜索树来生成网络安防候选规划方案;
在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,所述安全本体包含:基于网络流量用于攻击预警的安全本体和攻击图增强用于防御策略选取的安全本体,其中,用于攻击预警的安全本体包含:用于描述网络流量数据包信息的概念集合,用于描述网络流量概念集合中每个概念相应属性的属性集合,及用于描述网络流量中数据包信息概念间关系的关系集合;用于防御策略选取的安全本体包含:用于描述风险分析要素通用知识、领域专有知识及漏洞前置和后置条件的概念集合,用于描述概念集合中每个概念相应属性的属性集合,及用于从攻防视角描述概念间致因关联的关系集合。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,所述网络流量数据包信息至少包含:网络会话、包传输、握手、重置、协议、目的和源IP、及目的和源端口。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,攻击预警检测中,分析网络流量信息,查询所有源端口与目的端口对,通过查询同一源端口将数据包发送到封闭端口的次数,若该次数超过预设阈值,则判定存在端口扫描攻击;通过查询同一源主机IP发送数据包到目标主机IP的次数,若该次数超过设定阈值,则判定存在***扫描攻击。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,通过日志分析确定检测出的预警攻击资产功能,确定相关安全属性、恶意目标及防御策略类型,其中,安全属性包含机密性、完整性、可用性、鉴别性、可控性及不可否认性,与安全属性相对应的恶意目标分为暴露、修改、销毁及伪装,防御策略类型包含预防、监测及恢复,防御策略重要性分为表示最高优先级且为需要防御策略类型的关键标识和表示最低优先级且为不需要防御策略类型的非关键标识;根据资产功能,通过衡量各防御策略类型在不同恶意目标下的重要性来确定所需安全手段。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,生成安防规划方案时,通过引入时间、认知与信息的有限性,在有限理性的范围内,建立搜索树,获取所有可以满足目标状态的候选规划方案;并自主防御中,在有限理性的约束下,根据防御策略权重选择最高效用的规划方案,其中,通过检查状态的时间计数及认知深度是否超过各自限制来判断时间有限和认知有限,信息有限包括未知或错误假定的资产状态、目标命题以及可用有限防御策略。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,根据防御策略权重选择最高效用的规划方案,首先,根据公式
Figure BDA0003415684680000021
来计算从开始到第k个防御策略cmx的规划效用,其中,/>
Figure BDA0003415684680000022
为防御策略的效用,该效用等效于根据入度及与前一个防御策略的相关性来分配的每个时间步中计算的对应防御策略权重/>
Figure BDA0003415684680000023
通过遍历所有时间步下的规划效用,选取最高效用的规划方案。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,将选择的最高效用规划方案作为初始规划方案,在方案执行期间,通过监控并分析每个时间步下的方案执行过程中的日志数据来检测资产是否遭受新攻击,针对资产遭受新攻击的情况下重新规划方案,以执行当下最优的防御策略方案。
作为本发明基于安全本体建模的网络安防策略AI自主防御方法,进一步地,针对资产遭受新攻击情形,检查与新攻击相关的防御策略是否执行,针对未执行的情形,推后与新攻击无关的防御策略,将与新攻击相关的防御策略通过构建搜索树来利用搜索树来选取最优规划方案并执行。
进一步地,本发明还提供一种基于安全本体建模的网络安防策略AI自主防御***,包含:本体建模模块、策略选取模块、方案规划模块和自主防御模块,其中,
本体建模模块,用于整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;
策略选取模块,用于实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;
方案规划模块,用于在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案;
自主防御模块,用于在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。
本发明的有益效果:
本发明通过对多源异构安全知识形式化、规范化表达来建立安全本体模型,为防御策略推理提供安全知识图谱,同时利用安全本体也为扫描攻击检测提供便利,可在攻击早期为主动防御提供高效预警;并可在计算资源高约束、资产环境动态条件下,利用有限理性与AI规划实现主动智能化的自主防御,提高网络安全,便于实际场景应用。
附图说明:
图1为实施例中基于安全本体建模的网络安防策略AI自主防御方法流程示意;
图2为实施例中AG-PDO组成与关系示意;
图3为实施例中NTO组成与关系示意;
图4为实施例中攻击预警与防御策略规划流程示意;
图5为实施例中防御策略入度示意;
图6为实施例中从时间步t=0开始的搜索树示意;
图7为实施例中安防场景的网络拓扑结构示意;
图8为实施例中Neo4j平台的可视化AG-PDO实例示意;
图9为实施例中Neo4j平台的可视化NTO实例示意;
图10为实施例中包传输属性示意;
图11为实施例中同一源将数据包发送到封闭端口的次数示意;
图12为实施例中源端口、目标端口通信次数示意;
图13为实施例中资产所需防御策略示意;
图14为实施例中从时间步t=0开始具有BR的第一个搜索树选择规划P1作为初始规划方案的流程示意;
图15为实施例中重新规划后的第二个搜索树,从时间步t=2开始选择规划P1∪11的流程示意;
图16为实施例中重新规划后的第三个搜索树,从时间步t=3开始选择子规划P12并产生结果为O1∪11∪12的最终规划P1∪11∪12的流程示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
本发明实施例,提供一种基于安全本体建模的网络安防策略AI自主防御方法,参见图1所示,包含如下内容:
S101、整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;
S102、实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;
S103、在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案;
S104、在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。
在整合多源异构知识方面,本体具有不可替代的优势。领域本体可以表达为一个五元集合:
O={C,A,R,I,M} (1)
其中,C为特定领域的概念集合;A为概念的属性集合;R为A中概念间的关系集合;I为实例集合;M为实例I与概念C间的映射关系集合。
根据本体的特点及五元集合表达方式,面向防御策略推荐的安全本体,为防御策略选择构建适应性强的情报基础,同时为攻击预警提供知识的形式化表达。安全本体,有利于智能代理实施推理、执行安防策略。通过对多源异构安全知识形式化、规范化表达来建立安全本体模型,为防御策略推理提供安全知识图谱,同时利用安全本体也为扫描攻击检测提供便利,可在攻击早期为主动防御提供高效预警。
作为本发明实施例中基于安全本体建模的网络安防策略AI自主防御方法,进一步地,所述安全本体包含:基于网络流量用于攻击预警的安全本体和攻击图增强用于防御策略选取的安全本体,其中,用于攻击预警的安全本体包含:用于描述网络流量数据包信息的概念集合,用于描述网络流量概念集合中每个概念相应属性的属性集合,及用于描述网络流量中数据包信息概念间关系的关系集合;用于防御策略选取的安全本体包含:用于描述风险分析要素通用知识、领域专有知识及漏洞前置和后置条件的概念集合,用于描述概念集合中每个概念相应属性的属性集合,及用于从攻防视角描述概念间致因关联的关系集合。进一步地,所述网络流量数据包信息至少包含:网络会话、包传输、握手、重置、协议、目的和源IP、及目的和源端口。
为达成实现自适应于资产安全信息的防御策略推荐,安全本体设计需同时考虑攻击实施的过程与防御响应的需求。只有构建覆盖双方交互生命周期的知识体系,才能为防御策略推荐必须的知识推理打好基础。在攻击实施方面,攻击发起要成功利用漏洞,需要满足一定的前置条件,比如可到达、可访问等;攻击发生后会产生一定的后置条件,增加新的风险因素。为保证防御策略结果推断的可靠性,安全本体需要充分表达漏洞的前置条件与后置条件信息。在防御响应方面,首先必须定义风险分析模型中的资产、威胁、风险、漏洞等核心要素的通用知识;其次必须明确定义安全需求、防御策略相关的特定知识;同时,必须注意安防交互的场景,即领域/企业架构特定领域知识的完备表达。
最近问题域本体(Problem Domain Ontology,PDO)技术在表达由大量异质组件构成的技术***方面崭露头角,尤其适合表达安全需求的理解与推荐。本案实施例中,可借鉴PDO的知识表达思想,将上述安全知识体系涉及到的通用安全知识显性表达,而将专有知识隐性表达,既涵括通用安全模型的要件、又便于安防场景强相关知识的自适应扩展。
根据以上分析的安全本体的特点,构建攻击图增强的安全本体AG(AttackGraph)-PDO,融攻击图、通用知识及特定领域知识于一体,其内容可描述如下:
攻击图增强的安全本体AG-PDO={SC,SA,SR},其中:概念集合为SC={sc1,sc2,…,scn};SA={sa1,sa2,…,san}为属性集合;SR={sr1,sr2,…,srn}为概念间的关系集合。
如图2所示的AG-PDO中SC、SA、及SR等集合示意。AG-PDO中主要的概念SC不仅包括资产、威胁、风险、漏洞、安全需求、防御策略等显性通用知识,还包括***/领域的架构等隐性的领域专有知识,以及漏洞的前置条件及后置条件。每个概念都包含了相应的属性SA,即字符属性、描述属性、布尔属性等。概念关系SR中,从攻击实施的视角,通过AG-PDO可表达满足一定前置条件的漏洞能够被威胁利用,造成风险因素并产生相应的后置条件,然后导致新风险因素增加;反之,从防御响应的视角,目标为减少存在于资产的风险因素,通过AG-PDO表达针对资产安全需求推导安全手段,推荐并实施适合安全手段实施的防御策略,通过减少风险因素使恶意目标无法达成,完成一次有效安全防御。
作为本发明实施例中基于安全本体建模的网络安防策略AI自主防御方法,进一步地,攻击预警检测中,分析网络流量信息,查询所有源端口与目的端口对,通过查询同一源端口将数据包发送到封闭端口的次数,若该次数超过预设阈值,则判定存在端口扫描攻击;通过查询同一源主机IP发送数据包到目标主机IP的次数,若该次数超过设定阈值,则判定存在***扫描攻击。进一步地,通过日志分析确定检测出的预警攻击资产功能,确定相关安全属性、恶意目标及防御策略类型,其中,安全属性包含机密性、完整性、可用性、鉴别性、可控性及不可否认性,与安全属性相对应的恶意目标分为暴露、修改、销毁及伪装,防御策略类型包含预防、监测及恢复,防御策略重要性分为表示最高优先级且为需要防御策略类型的关键标识和表示最低优先级且为不需要防御策略类型的非关键标识;根据资产功能,通过衡量各防御策略类型在不同恶意目标下的重要性来确定所需安全手段。
主动防御机制也需要攻击预警的支持,其首要任务是整合信息并支持风险查询分析,安全本体设计时同时考虑为早期预警的实施提供便利。
首先,考虑攻击预警的信息支撑:数据包的特定属性(例如内部或外部IP地址等)暗示了攻击者的特定意图(外部IP针对特定内部IP发起扫描攻击),因此收集实时网络流量并整合原始数据包的信息将能提供关键信息支撑。
然后,考虑攻击预警的阶段选择:侦察是完整攻击链的首要阶段,攻击者主要通过扫描攻击收集目标信息,查找安全性较弱或已知漏洞的服务,以便实施后续的恶意攻击。因而通过检测扫描攻击,可以在攻击发起的早期预警,以便尽早采取安全防御策略手段,有效降低安全漏洞被利用的可能性。
根据以上分析的早期攻击预警需要的信息特点,构建基于网络流量的本体(Network Traffic-based Ontology,NTO),结构如图3所示,作为整个安全本体的重要组成部分,对数据包的信息及信息间的关系进行形式化表达。基于网络流量的本体定义如下:
定义:基于网络流量的本体NTO={NC,NA,NR},其中:NC={nc1,nc2,…,ncn}为概念集合;NA={na1,na2,…,nan}为属性集合;NR={nr1,nr2,…,nrn}为概念间的关系集合。
图3描述了NTO的NC、NA、及NR等集合。NTO中主要的概念NC包括网络会话、网络流量、包传输、握手、重置、协议、目的及源(IP、端口)等。每个概念都包含了相应的属性NA,即字符属性、描述属性、布尔属性等。概念关系NR中,包传输属于网络会话,是其原子元素。网络会话完成与否,取决于源节点与目标节点之间有无实际数据包交换。在数据交换之前,根据协议类型确定是否需要握手。数据包在握手序列中的作用可以通过SYN、ACK以及RES三个布尔数据属性来捕获。需要注意的是,当SYN为真、ACK为假、RES为假时,无法判断该数据包是代表握手的第一阶段还是扫描攻击的一部分。因此,需要通过评估两个节点之间正在进行的交换的数据包(即会话)的属性,判断是否受到扫描攻击。在两实际数据包传输及数据交换之后,通常重置会话。此外,所有数据包赋予被抓取的顺序。本案实施例中,不使用具体的时间戳,从防御者角度网络事件发生的顺序比时间戳更有意义。
安全本体为网络安防中的攻击预警与防御策略规划提供了依据。如图4所示,显示了智能代理自主实施攻击预警与防御策略规划过程。检测攻击并发出攻击预警;根据资产所需安全手段推荐防御策略,据此生成规划方案并执行规划,以完成对防御策略AI自主规划并监控安全状态。
NTO驱动的早期预警工作模式可设计包括两部分:1)首先构建存储预警需要的原始数据包信息,2)然后攻击预警通过查询NTO并分析统计信息,实时检测扫描攻击提供攻击预警。换言之,通过NTO实例获取攻击预警相关的网络流量信息,其中NC与NA包含着原始数据包的字段及属性,NR中建立的实体间关系极大地方便查询预警所需的统计信息。
为了对攻击行为实施早期预警,首先分析网络流量信息,查询NTO中的所有源端口与目的端口对,衡量网络流量。在早期侦察阶段攻击者主要通过扫描攻击收集目标信息,特别是端口扫描,通过发送一组消息检测网络节点上是否存在开放端口。因此,查询NTO中同一源将数据包发送到封闭端口的次数,如果同一源多次将数据包发送到封闭端口,则判明存在端口扫描攻击。除端口扫描外,***扫描可以通过识别主机安装的操作***类型及开放网络服务类型,以选择不同的渗透攻击代码及配置实施针对性攻击。常见的方法是通过主动发包,多次试探推断操作***类型。因此,查询NTO中源主机发送数据包到目标主机的次数。如果目标主机多次收到同一源主机发送的数据包,且源主机也多次向其他主机发送数据包,则表明存在***扫描攻击的可能性较大。如上所述,通过实时网络流量的NTO实例驱动,分析原始数据包的字段信息及统计信息,为快速判断是否存在扫描攻击提供支持,实现早期攻击预警。
在通过攻击预警检测到攻击后,需要推荐并执行防御策略,从而保护资产安全。获得防御策略是规划执行的前奏。AG-PDO驱动的防御策略推荐包括两部分:1)融合防御策略推荐所需通用知识、领域专有知识、前置条件及后置条件信息,2)根据资产所需安全手段进行风险评估,支持查询推荐可行的防御策略。换言之,通过AG-PDO实例获取防御策略推荐相关的安全信息,其中SC与SA包含着通用知识、领域专有知识、前置条件、后置条件以及具有的属性,SR中各实体的关系用于查询资产所需的防御策略。
表1.资产所需安全手段计算矩阵示例
Figure BDA0003415684680000081
表1显示了如何使用日志数据确定资产所需安全手段。首先,通过日志分析确定资产的功能,比如存储数据等;然后,针对资产的功能,确定相关安全属性、恶意目标及防御策略的类型,然后才能推断所需安全手段。
安全属性一般包括机密性(Co)、完整性(In)、可用性(Av)以及鉴别性(Au)、可控性与不可否认性,为简化起见,可只考虑前四种。与这些安全属性相对应,破坏性的恶意目标分别为暴露(E)、修改(M)、销毁(Dt)及伪装(F)。防御策略类型包括预防(P)、监测(D)、恢复(R),其重要性则以关键(C)或非关键(N)衡量。C是最高优先级,表示需要的防御策略类型;N是最低优先级,也就是不需要的防御策略类型。本案实施例中,根据资产的功能,衡量各防御策略类型在不同恶意目标下的重要性,最终确定所需的安全手段。
通过评估资产的风险,由AG-PDO实例推荐防御策略以满足资产所需的安全手段。首先评估资产平台及安全配置存在漏洞的可能性,如果有,则通过表1获得当前资产所需的安全手段。通过查询AG-PDO实例中的关系,得到危害资产安全的威胁、可被利用的漏洞及恶意目标;然后,获取当前已有的防御策略,分析是否存在风险因素(未采取防御策略防御的恶意目标);最后,针对资产现存的风险因素推荐所需防御策略类型,查询AG-PDO获取可行的防御策略。
作为本发明实施例中基于安全本体建模的网络安防策略AI自主防御方法,进一步地,生成安防规划方案时,通过引入时间、认知与信息的有限性,在有限理性的范围内,建立搜索树,获取所有可以满足目标状态的候选规划方案;并在自主防御中,在有限理性的约束下,根据防御策略权重选择最高效用的规划方案,其中,通过检查状态的时间计数及认知深度是否超过各自限制来判断时间有限和认知有限,信息有限包括未知或错误假定的资产状态、目标命题以及可用有限防御策略。进一步地,将选择的最高效用规划方案作为初始规划方案,在方案执行期间,通过监控并分析每个时间步下的方案执行过程中的日志数据来检测资产是否遭受新攻击,针对资产遭受新攻击的情况下重新规划方案,以执行当下最优的防御策略方案。进一步地,针对资产遭受新攻击情形,检查与新攻击相关的防御策略是否执行,针对未执行的情形,推后与新攻击无关的防御策略,将与新攻击相关的防御策略通过构建搜索树来利用搜索树来选取最优规划方案并执行。
在大规模安防场景下,自动化防御策略布控成为必然趋势。AI规划可以通过执行一系列防御策略,从初始状态到达目标状态,实现安全目标。本案实施例中,可基于经典AI规划语言STRIPS来实现防御策略规划机制。STRIPS在规划中假定存储空间无限制、可用基本知识无限制,但常规安防场景下时间、认知与信息其实均高度受限。本案实施例中,考虑到有限理性(Bounded Rationality,BR)方法在支撑网络防御策略选择的优势,通过引入时间、认知与信息的有限,在有限理性的范围内进行安防规划,实现STRIPS的有限理性拓展STRIPS-BR,支持防御策略的自动化实施。
STRIPS-BR首先可定义有限理性中的三个约束:时间有限、认知有限与信息有限。其中,时间有限BR-A(T)及认知有限BR-A(C)分别可以通过检查状态的时间计数及认知深度是否已超过各自的限制进行判断;信息有限BR-A(I)包括未知的或错误假定的资产状态S-BR、目标命题G-BR以及可用的有限防御策略CM-BR。
根据这些信息建立搜索树,获取所有可以满足目标状态的规划方案。为了确定效用最高的规划方案,定义
Figure BDA0003415684680000091
为从开始到第k个防御策略的规划效用,如公式(2)所示。其中/>
Figure BDA0003415684680000092
是防御策略/>
Figure BDA0003415684680000093
的效用,等效于根据入度及与前一个防御策略的相关性分配的权重/>
Figure BDA0003415684680000094
Figure BDA0003415684680000095
在生成规划期间,依靠每个防御策略的权重
Figure BDA0003415684680000096
计算规划的效用,权重可以在每个时间步计算为:/>
Figure BDA0003415684680000097
其中,in-degree指防御策略/>
Figure BDA0003415684680000098
的入度;α是一个相关因子,代表当前防御策略/>
Figure BDA0003415684680000099
与前一个防御策略的相关度。图5给出了一个计算每个防御策略入度的例子。DIn、Pin与RIn分别表示资产所需的防御策略类型。CM1、CM2与CM3表示待执行的防御策略,其中CM1属于DIn、PIn,CM2属于PIn,CM3属于RIn。由于CM1与Din及PIn都相关,因此其入度值记为2。同理,CM2与CM3入度值都为1。
获得每个防御策略的入度后,在每个时间步进行计算
Figure BDA00034156846800000910
如图6所示。当前防御策略与前一个防御策略不相关(不属于同一个防御策略类型)时,设定相关因子α=0;当前防御策略与前一个防御策略相关(属于同一个防御策略类型)时,设定相关因子α=0.2。需要在有限理性的约束下根据防御策略的权重选择最高效益的规划方案。假设BR-A(T)=15,BR-A(C)=2,则有足够的时间遍历所有的可能性,并且可以根据当前时间步t及t+1计算各个部分规划的/>
Figure BDA0003415684680000101
选择当下最高效用的一个或多个规划方案作为候选方案,再移动到下一个时间步。随着时间步的增加获得在最后一个时间步时具有最高效用的规划方案,若是有多个规划方案的效用都相同,则选择首先执行较高权重防御策略的规划方案。例如图6中,时间步t=0时,计算所有规划从时间步t=0至时间步t=2的效用。此时规划/>
Figure BDA0003415684680000102
与/>
Figure BDA0003415684680000103
的效用,即/>
Figure BDA0003415684680000104
与/>
Figure BDA0003415684680000105
最高,为3.2,选择规划P1与P3作为候选规划。当时间步t=1时,此时规划/>
Figure BDA0003415684680000106
的效用/>
Figure BDA0003415684680000107
规划/>
Figure BDA0003415684680000108
的效用/>
Figure BDA0003415684680000109
二者总体的效用相同。因为规划P1首先执行权重较高的规划,所以选择P1作为初始规划方案。
STRIPS-BR通过引入时间、认知与信息的有限约束,可以在有限理性的范围内进行安防规划,并选择效用最高的规划作为初始规划方案。
获得初始规划方案后,实施该规划方案。执行方案期间,资产可能仍会遭受新的攻击。因此,智能代理会在每个时间步t监控并分析日志数据,以确定是否有必要重新规划。
当资产受到新的攻击时,由于资产所需安全手段不会因此发生改变,所以新的攻击只会影响防御策略执行的顺序。若与新攻击有关的防御策略未执行,则立即推后与攻击无关的防御策略。对与攻击相关的未执行防御策略构建搜索树,实施具有最高效用的防御策略方案。然后对推后的防御策略构建搜索树,选择最优规划方案并执行。若已经执行了与新攻击有关的防御策略,新的攻击则不会对规划产生任何影响。
通过监控方案的执行过程,可以在资产遭受新攻击的情况下重新规划,执行当下最优的防御方案。
进一步地,基于上述的方法,本发明实施例还提供一种基于安全本体建模的网络安防策略AI自主防御***,包含:本体建模模块、策略选取模块、方案规划模块和自主防御模块,其中,
本体建模模块,用于整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;
规划策略选取模块,用于实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;
方案规划模块,用于在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案;
自主防御模块,用于在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。
为验证本案方案有效性,下面结合实例对本案方案做进一步解释说明:
安防场景的网络拓扑如图7所示,分为172和198两个网段,针对图中标有IP地址的部分PC端(部分运行Windows7及WindowsXP***)进行实验。
根据与安全相关的通用知识、与领域相关的知识及攻击图的前置后置条件信息,构建全面的面向防御策略推荐的本体AG-PDO,Neo4j实例化后安全知识图谱如图8所示,以网络中用来存放日志数据的资产为例,展示与之相关的信息及关系。不同颜色的节点代表不同类型的实体,包括资产、威胁、风险、漏洞、安全需求、防御策略、架构、前置条件等。前置条件被定义为具有访问权限(可到达、可访问),后置条件指利用满足前置条件的漏洞后带来的新风险因素。此例中平台Windows7及WindowsXP有存在风险的可能性,需要推荐防御策略。资产日志数据具有数据误用风险,会达成日志数据修改的恶意目标。该风险因素是由威胁CAPEC-268(审计日志操作)利用漏洞CWE-440(违反预期行为)导致的。CWE-440的前置条件指的需要具备访问权限(即图中的0),后置条件指的是导致数据误用风险。威胁CAPEC-268驱动安全需求SR-11-6-2(日志及备份***),并由此推荐安全措施FIM(文件完整性检测)降低数据误用风险。
根据不同时间窗口下抓取到的数据包信息构建面向攻击预警的网络流量本体NTO,Neo4j实例化后如图9所示。不同颜色的节点代表不同类型的实体,包括网络流量、包传输、IP、端口及握手等。节点间的连线体现了节点之间的关系,其中,“has_member”及“member_of”为逆关系表示网络流量和包传输的关系,“has_handshake”表示包传输是否需要握手并提供“ACK”、“SYN”及“RESET”取值等。包传输具有的属性如图10所示,包含被抓取的顺序“order”、源节点IP“srcNode”、目的节点IP“dstNode”、源端口“srcP”、目的端口“dstP”、帧长“has_frame_len”及协议“use_protocol”。网络流量本体NTO收集了实时网络流量,提供了原始数据包字段及统计信息,为实时攻击预警提供信息支撑。
与传统安防技术相比,本案实施例方案中的AG-PDO提高了安全知识的覆盖面,为推荐防御策略提供了更全面、精确的信息。
扫描攻击是攻击者采取恶意活动的前序,基于扫描攻击的检测针对端口扫描及***扫描两方面,可以在资产受到实质伤害前发出安全预警。为了检测端口扫描,首先收集网络事件数据集中的所有源端口与目标端口对,衡量网络流量。然后查询同一源将数据包发送到封闭端口的次数。如果存在多次尝试与封闭的端口进行通信,则表明可能存在端口扫描攻击。如图11所示,结果表明IP为“172.31.50.226”及“192.168.75.132”的源主机多次向封闭端口发送数据包,即存在端口扫描攻击。为了检测***扫描,需要统计源主机将数据包发送到目标主机的次数。如果目标主机多次收到同一源主机发送的数据包,且源主机多次向其他主机发送数据包,则认为存在***扫描的可能性比较大,如图12所示。其中,端口139多次向多个窗口发送数据包,认为存在***扫描攻击的可能性(端口0代表不含端口信息,可忽略)。实验结果显示根据原始数据包的字段及统计信息,可以在无需破解包内容访问涉密信息的前提下快速捕捉扫描攻击,使在资产受到实质伤害前进行主动防御成为可能。
检测到攻击后,首先根据资产所需安全手段获得防御策略;然后,得到防御策略规划方案并执行方案中的防御策略组合;最后,在执行过程中监控日志并在发现新的攻击时重新规划,直到所有防御策略执行完毕。首先利用表1分析日志明确资产所需安全手段,DIn、PIn及RIn。然后通过风险评估查询AG-PDO推荐防御策略,如图13所示。共有三个防御策略待执行,日志完整性监测(FIM)属于完整性检测(DIn)与完整性预防(PIn),疫苗剂(VA)属于完整性预防(PIn),同步日志数据(SLD)属于完整性恢复(RIn)。获得推荐的资产防御策略后,通过AI规划确定最佳防御策略执行方案。
在时间步t=0的“开始”节点开始规划,如图14所示。假设认知有限约束BR-A(C)=3,代理可以向前看三步。在时间步t=1,2,3时,每个防御策略会将代理转移到一个新的状态。每个规划会导致一个具有实际目标顺序rank(si)的结果Ox。当BR-A(T)=12时,无法得到搜索树中超过前12个状态的状态,因此不考虑最后两条路径。然后将在的权重
Figure BDA0003415684680000121
相加获得每个规划的效用,选择具有最高效用的规划方案。此时存在多个同样效用的规划方案,选择最先执行较高效用的规划P1。它的实际顺序是{FIM,VA,SLD}。
确定规划方案后,在时间步t=1执行FIM,在时间步t=2时,代理对方案进行监控并对日志进行分析,发现攻击者尝试篡改数据,触发重新规划。发现新的攻击时立即停止执行P1,并通过AG-PDO寻找现有待执行防御策略中与此攻击相关的防御策略SLD,并推迟剩余的防御策略VA。对与此攻击有关的防御策略SLD进行规划,规划方案P11如图15所示。如果有更多规划方案,代理将计算所有规划的效用并选择具有最高效用的规划方案。从时间步t=2开始,代理执行结果为O11的规划P11。可通过将部分执行的规划
Figure BDA0003415684680000122
与新规划P11结合起来得到P1∪11。这个新规划的实际顺序为O1∪11,在t=3时rank(si)为{SLD}。在新顺序中,目标VA被推迟,并且不包括在结果O1∪11中。
在执行新规划P1∪11期间,代理会先尝试满足其先决条件。当先决条件满足时,代理在时间步时t=2执行防御策略SLD,成功执行规划P1∪11获得结果O1∪11。达成新规划的目标SLD后,为剩余的防御策略VA构建一个新的搜索树,VA在时间步t=3被添加执行。图16显示了通过新规划P12产生的最终规划P1∪11∪12。在时间步t=3执行后,所有目标均已实现。最终的实际防御策略顺序是{FIM,SLD,VA},可以看出其结果O1∪11∪12与没有重新规划的P1顺序不同。
此例表明,本案实施例中AI规划的防御策略实施方案可以针对资产所需安全手段获得针对性防御策略,得到最佳规划方案,并在方案的执行过程中根据环境变化重新规划,直到所有防御策略执行完毕,实现安全目标。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法和/或***,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法和/或***,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (4)

1.一种基于安全本体建模的网络安防策略AI自主防御方法,其特征在于,包含如下内容:
整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;所述安全本体包含:基于网络流量用于攻击预警的安全本体和攻击图增强用于防御策略选取的安全本体,其中,用于攻击预警的安全本体包含:用于描述网络流量数据包信息的概念集合,用于描述网络流量概念集合中每个概念相应属性的属性集合,及用于描述网络流量中数据包信息概念间关系的关系集合;用于防御策略选取的安全本体包含:用于描述风险分析要素通用知识、领域专有知识及漏洞前置和后置条件的概念集合,用于描述概念集合中每个概念相应属性的属性集合,及用于从攻防视角描述概念间致因关联的关系集合;通用知识要素至少包含:资产、威胁、风险、漏洞、安全需求及防御策略,领域专有知识要素至少包含:领域架构;
实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案;在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御;通过日志分析确定检测出的预警攻击资产功能,确定相关安全属性、恶意目标及防御策略类型,其中,安全属性包含机密性、完整性、可用性、鉴别性、可控性及不可否认性,与安全属性相对应的恶意目标分为暴露、修改、销毁及伪装,防御策略类型包含预防、监测及恢复,防御策略重要性分为表示最高优先级且为需要防御策略类型的关键标识和表示最低优先级且为不需要防御策略类型的非关键标识;根据资产功能,通过衡量各防御策略类型在不同恶意目标下的重要性来确定所需安全手段;生成安防规划方案时,通过引入时间、认知与信息的有限性,在有限理性的范围内,建立搜索树,获取所有可以满足目标状态的候选规划方案;并在自主防御中,在有限理性的约束下,根据防御策略权重选择最高效用的规划方案,其中,通过检查状态的时间计数及认知深度是否超过各自限制来判断时间有限和认知有限,信息有限包括未知或错误假定的资产状态、目标命题以及可用有限防御策略;根据防御策略权重选择最高效用的规划方案,首先,根据公式
Figure FDA0004175423600000011
来计算从开始到第k个防御策略cmx的规划效用,其中,/>
Figure FDA0004175423600000012
为防御策略的效用,该效用等效于根据入度及与前一个防御策略的相关性来分配的每个时间步中计算的对应防御策略权重/>
Figure FDA0004175423600000013
通过遍历所有时间步下的规划效用,选取最高效用的规划方案;将选择的最高效用规划方案作为初始规划方案,在方案执行期间,通过监控并分析每个时间步下的方案执行过程中的日志数据来检测资产是否遭受新攻击,针对资产遭受新攻击的情况下重新规划方案,以执行当下最优的防御策略方案;针对资产遭受新攻击情形,检查与新攻击相关的防御策略是否执行,针对未执行的情形,推后与新攻击无关的防御策略,将与新攻击相关的防御策略通过构建搜索树来利用搜索树来选取最优规划方案并执行。
2.根据权利要求1所述的基于安全本体建模的网络安防策略AI自主防御方法,其特征在于,所述网络流量数据包信息至少包含:网络会话、包传输、握手、重置、协议、目的和源IP、及目的和源端口。
3.根据权利要求1所述的基于安全本体建模的网络安防策略AI自主防御方法,其特征在于,攻击预警检测中,分析网络流量信息,查询所有源端口与目的端口对,通过查询同一源端口将数据包发送到封闭端口的次数,若该次数超过预设阈值,则判定存在端口扫描攻击;通过查询同一源主机IP发送数据包到目标主机IP的次数,若该次数超过设定阈值,则判定存在***扫描攻击。
4.一种基于安全本体建模的网络安防策略AI自主防御***,其特征在于,基于权利要求1所述的方法实现,包含:本体建模模块、策略选取模块、方案规划模块和自主防御模块,其中,
本体建模模块,用于整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体;
策略选取模块,用于实时收集网络数据流量,基于安全本体对网络数据流量进行攻击预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略;
方案规划模块,用于在时间、认知和信息的有限理性的范围内,根据防御策略并利用搜索树来生成网络安防候选规划方案;
自主防御模块,用于在候选规划方案中选取最优规划方案并通过方案执行来实现自主防御。
CN202111545237.4A 2021-12-16 2021-12-16 基于安全本体建模的网络安防策略ai自主防御方法及*** Active CN114401113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111545237.4A CN114401113B (zh) 2021-12-16 2021-12-16 基于安全本体建模的网络安防策略ai自主防御方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111545237.4A CN114401113B (zh) 2021-12-16 2021-12-16 基于安全本体建模的网络安防策略ai自主防御方法及***

Publications (2)

Publication Number Publication Date
CN114401113A CN114401113A (zh) 2022-04-26
CN114401113B true CN114401113B (zh) 2023-06-27

Family

ID=81226264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111545237.4A Active CN114401113B (zh) 2021-12-16 2021-12-16 基于安全本体建模的网络安防策略ai自主防御方法及***

Country Status (1)

Country Link
CN (1) CN114401113B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115396314B (zh) * 2022-08-26 2024-04-26 湖北天融信网络安全技术有限公司 获得防护策略集合、报文检测的方法、装置、***及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及***
CN110602047A (zh) * 2019-08-14 2019-12-20 中国人民解放军战略支援部队信息工程大学 面向网络攻防的多步攻击动态防御决策选取方法及***
CN113240116A (zh) * 2021-07-12 2021-08-10 深圳市永达电子信息股份有限公司 基于类脑平台的智慧防火云***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10931739B2 (en) * 2019-03-28 2021-02-23 Wipro Limited Method and system for generating strategy and roadmap for end-to-end information technology infrastructure cloud implementation
US11645176B2 (en) * 2020-03-20 2023-05-09 Uncommonx Inc Generation of a protection evaluation regarding a system aspect of a system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及***
CN110602047A (zh) * 2019-08-14 2019-12-20 中国人民解放军战略支援部队信息工程大学 面向网络攻防的多步攻击动态防御决策选取方法及***
CN113240116A (zh) * 2021-07-12 2021-08-10 深圳市永达电子信息股份有限公司 基于类脑平台的智慧防火云***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Intelligent cyber defense system using artificial neural network and immune system techniques;Komar, M et al;《In Proceedings of the International Conference on Information and Communication Technologies in Education, Research, and Industrial Applications》;全文 *
智慧校园网络安全等级保护问题研究与对策;翟永刚;李金亮;;中国信息技术教育(第20期);全文 *

Also Published As

Publication number Publication date
CN114401113A (zh) 2022-04-26

Similar Documents

Publication Publication Date Title
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
Wang et al. Security risk analysis of enterprise networks using probabilistic attack graphs
Roy et al. Scalable optimal countermeasure selection using implicit enumeration on attack countermeasure trees
Pamula et al. A weakest-adversary security metric for network configuration security analysis
US8516575B2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
Kotenko et al. The ontology of metrics for security evaluation and decision support in SIEM systems
Ou et al. Quantitative security risk assessment of enterprise networks
Li et al. DAPV: Diagnosing anomalies in MANETs routing with provenance and verification
CN109347847A (zh) 一种智慧城市信息安全保障***
CN114401113B (zh) 基于安全本体建模的网络安防策略ai自主防御方法及***
CN112769797A (zh) 一种闭源电力工控***的安全防御***及防御方法
Ayrour et al. Modelling cyber-attacks: a survey study
Cheetancheri et al. A distributed host-based worm detection system
Gritzalis et al. Formal analysis for robust anti-SPIT protection using model checking
CN112398857A (zh) 防火墙测试方法、装置、计算机设备和存储介质
Li et al. Service security analysis based on i*: An approach from the attacker viewpoint
Johansson Countermeasures Against Coordinated Cyber-Attacks Towards Power Grid Systems: A systematic literature study
Shahriari et al. Vulnerability analysis of networks to detect multiphase attacks using the actor-based language Rebeca
Couretas Cyber security and defense for analysis and targeting
Setyawan et al. Web services security and threats: A systematic literature review
Liu et al. Intrusion diagnosis and prediction with expert system
Chakraborty et al. Hybrid adversarial defense: Merging honeypots and traditional security methods
Thakore A quantitative methodology for evaluating and deploying security monitors
Siraj et al. Alert correlation with abstract incident modeling in a multi-sensor environment
Lakhdhar et al. An approach to a graph-based active cyber defense model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant