基于警报关联的威胁行为检测技术综述

基于警报关联的网络威胁行为检测技术因其与网络上大量部署的安全产品耦合,且能充分挖掘异常事件之间的关联关系以提供场景还原证据,正成为复杂威胁行为检测的研究热点。从威胁行为和网络安全环境的特点出发,引出威胁行为检测的应用需求和分类,介绍基于警报关联的威胁行为检测的基本概念和系统模型;重点论述作为模型核心的警报关联方法,并分类介绍了各类典型算法的基本原理和特点,包括基于因果逻辑的方法、基于场景的方法、基于相似性的方法和基于数据挖掘的方法;并结合实例介绍了威胁行为检测系统的三种典型结构,即集中式结构、层次式结构和分布式结构;基于当前研究现状,提出了对未来研究趋势的一些认识。     

警报关联图：一种网络脆弱性量化评估的新方法

作为一种基于模型的脆弱性分析技术,攻击图能够识别网络中存在的脆弱性和它们之间的相互关系,分析出可能的攻击路径和潜在威胁.论文在攻击图的基础上提出了警报关联图的概念,利用攻击图中蕴含的脆弱性先验知识,将实时IDS警报信息映射到攻击路径,动态反映攻击进程和攻击者意图.在此基础上提出了一种基于警报关联图的网络脆弱性量化评估方法,通过计算警报关联边的权值对网络脆弱性进行动态分析,这种方法结合了静态的网络脆弱性先验知识和动态变化的攻击者意图,能有效反映网络脆弱性在动态攻击情况下的变化.     

基于隐马尔可夫模型的IDS程序行为异常检测

提出一种新的基于隐马尔可夫模型的程序行为异常检测方法,此方法利用系统调用序列,并基于隐马尔可夫模型来描述程序行为,根据程序行为模式的出现频率对其进行分类,并将行为模式类型同隐马尔可夫模型的状态联系在一起。由于各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的序列匹配方法,与传统的Baum Welch算法相比,训练时间有较大幅度的降低。考虑到模型中状态的特殊含义以及程序行为的特点,将加窗平滑后的状态序列出现概率作为判决依据。实验表明,此方法具有很高的检测准确性,其检测效率也优于同类方法。     

基于威胁路径的报警关联分析方法

大量的误报大大降低了现有网络入侵检测系统的实用性,利用报警日志之间的逻辑关系是降低误报率的方法之一。提出了威胁路径的概念,在此基础上提出了基于因果关系的关联分析方法。利用网络的背景信息,发掘报警日志记录之间的逻辑关系,进一步提高报警的准确性,降低误报率。经实验验证,该方法可有效降低网络入侵检测系统误报率,并可用于辅助分析网络入侵过程。     

网络舆情中一种基于OLDA的在线话题演化方法

研究网络舆情分析中话题演化方法.首先分析网络舆情信息的特点;在此基础上,建立网络舆情信息模型,基于话题模型抽象描述文本内容的隐含语义,进而建立文本流在时间序列上的关联模型;进一步,提出基于OLDA的话题演化方法,针对舆情信息的特点,建立不同时间片话题间的关联.实验结果表明,该方法能够有效检测话题演化,为网络舆情分析提供了有效途径.     

基于主成分分析的储运过程管道堵塞故障检测

针对现代储运过程典型的管道堵塞故障,分析了其对过程监控参数的影响;采用基于主成分分析的故障检测方法,构建了故障检测流程和检测模型;以储运过程典型仿真系统为研究对象,建立了主成分模型;通过模拟不同程度的管道堵塞故障,进行了管道堵塞故障检测的仿真应用研究,获得了管道堵塞故障统计量控制图.实验结果表明了基于主成分分析的故障检测方法的有效性和正确性.     

通信设备及其网络仿真训练模型的分析

根据通信设备及其网络的特点和通信业务训练的要求 ,提出了层次化结构的仿真训练模型 ,并提供和分析了各层建模方法和编程技术。然后介绍了通信设备及其网络仿真训练系统的典型实例 ,结果表明 :该模型对于建立通信设备及其网络仿真训练系统具有易于代码开发、易于理解、易于维护管理、易于系统功能扩展的特点。     

网络入侵检测系统（NIDS）的研究

自动检测网络入侵是入侵检测系统的最基本的要求。本文从分析网络入侵开始 ,详细分析了网络入侵检测技术 ,给出了目前入侵检测系统的分类 ,并在此基础上给出了一个通用的网络入侵检测系统的模型     

基于动态行为监测的木马检测系统设计

首先介绍了特洛伊木马的基本概念及常用的木马检测方法,然后在分析传统的基于静态特征的木马检测技术缺点的基础上,结合基于动态行为监测的木马检测思想,研究以木马植入、隐蔽和恶意操作所需资源的控制和动态可疑行为监测相结合的隐藏木马检测技术,并提出了基于动态行为监测的木马检测系统的基本框架,给出了动态行为监测的相关策略和可疑行为的分析与判定的方法。     

基于视频的运动目标检测算法的比较与分析

帧差法和背景差分法是目前常用的基于视频的运动目标检测方法。首先从帧差法和背景差分法中选取了几种具有代表性的算法;然后针对典型场景条件对这些方法进行了实验测试,并利用实验结果对算法进行了定性和定量的比较和分析。实验结果表明,ViBe算法、码本模型、混合高斯模型、自适应混合高斯模型、中值滤波和自适应背景建模具有较好的检测效果,但任何一种方法都有其局限性。     

基于多变元网络的Cyber作战建模方法

Cyberspace是近年出现的一个新概念,分析了Cyberspace的概念及特性,提出Cyberspace层次概念模型,在此基础上,提出基于多变元网络的Cyber作战建模方法,认为Cyber作战建模可以分为对战争系统静态结构建模和交战行为动态交互建模,并对应分别建立了Cyberspace战争系统的多变元网络模型和Cyber作战交战行为的多变元网络演化模型,最后运用所建立的模型对一个典型Cyber战进行了分析.     

镜头表面附着雨滴的检测和去除方法综述

视觉系统是自主无人系统的重要组成部分,附着在相机镜头表面的雨滴会在图像中产生伪影,造成图像质量退化,进而显著影响视觉系统的性能。为此全面深入地调研了近年来附着雨滴的检测和去除方法,凝练了附着雨滴检测和去除问题的本质,并总结了现有方法中使用的雨滴成像模型;从基于模型、基于数据驱动和基于摄像系统三个方向分类梳理了不同的技术方法;从网络架构和损失函数两个方面详细概述了深度网络模型的发展;汇总了现有文献中公开的附着雨滴数据集,并通过实验结果对部分算法的性能进行比较;讨论了检测和去除附着雨滴任务中存在的主要问题,并对该领域未来可能的发展方向进行了展望。     

低空复杂场景红外弱小目标快速精准检测

针对低空复杂场景下红外弱小动目标检测难度大、虚警率高等问题,面向探测系统中高帧频图像实时处理应用需求,提出基于全卷积网络的弱小目标精准检测方法和基于现场可编程逻辑门阵列(field programmable gate array, FPGA)的低时延并行处理方法。采用轻量化全卷积网络对红外图像中弱小目标进行空域检测,对相邻图像帧疑似目标进行时域轨迹关联以进一步降低虚警率。实验结果表明:上述方法相比于五种传统方法在检测率和虚警率性能方面均有显著提升,并在单片FPGA上完成100 Hz图像实时处理,处理时延低于1.8 ms,实现低空复杂场景弱小目标高精度高鲁棒快速实时检测。     

基于贝叶斯网络的空中目标威胁估计方法研究

针对当前威胁估计中存在的问题,提出了基于贝叶斯网络的空中目标威胁估计方法。文章从威胁估计的概念出发,构建了基于贝叶斯网络的威胁估计功能框架,在对输入的防空作战事件进行分类定义的基础上,给出了事件关联在贝叶斯网络中的实现方法,同时对模型的建立步骤进行了说明。文中提出的威胁估计方法在融合了目标威胁先验信息的基础上,通过战场观测到的不确定信息进行推理,其结果具有很强的可信性,相应的建模思路可为威胁估计系统的构建提供有益的参考。文章的最后以一个示例说明了方法的有效性。     

决策树报文分类算法

报文分类是网络的基本功能,研究人员在过去二十年提出了众多解决方案,其中决策树报文分类算法由于吞吐量高、适用于多字段、可流水线化等特点受到了广泛关注和深入研究。本文介绍了决策树算法最新研究成果,阐述了决策树报文分类算法的几何意义、常用技术和测试基准,从节点切割技术和规则集分组技术两个维度对决策树算法进行了系统分析和归纳。针对两类常用的决策树构建技术介绍了其中的典型算法,对比了各种典型算法的设计思路和特点,分析了它们的适用场景。总结并展望了决策树算法的下一步研究方向。     

基于背景差的运动目标检测方法比较分析*

背景差是常用的运动目标检测方法,其基本思想是通过视频帧与背景参考图像的差分实现运动目标检测。背景差法的核心是背景模型的构造。首先介绍基于背景差的运动目标检测方法的关键步骤:预处理、背景建模、背景差分、后处理;其次介绍几种典型的单背景和多背景模型;然后利用自适应背景模型、中值滤波、卡尔曼滤波、混合高斯模型等进行运动目标检测,并从速度、存储开销、准确率等方面对这些方法进行了分析比较。实验结果表明,单背景模型具有更快的检测速度,而多背景模型的检测准确度更高。     

灰色关联投影法的威胁排序算法

威胁评估与排序是作战系统和C4I系统必须具备的重要功能.结合多指标决策理论和灰色系统理论,提出了基于多指标决策灰色关联投影法的威胁排序算法.首先通过建立灰色关联判断矩阵将威胁排序转化为多指标决策问题;其次为缩小极端值的影响提出了基于信息熵的威胁指标权重算法;最后从矢量投影角度应用灰色关联投影值进行威胁排序;并分别研究了分辨系数和指标权重对威胁排序的影响.通过现代防空作战实例验证了算法的有效性和工程实用性.     

Ad Hoc网络黑洞攻击仿真研究

黑洞攻击是一种典型的针对无线自组织(Ad Hoc)网络的攻击,也是Ad Hoc网络面临的主要安全威胁之一.为实现对黑洞攻击的仿真研究,基于黑洞攻击原理,在AODV路由协议的基础上,利用OPNET网络仿真平台,建立了Ad Hoc网络黑洞攻击仿真模型,搭建了不同攻击强度下的仿真场景.仿真结果表明:该模型能够较为准确地模拟各...     

基于Multi-Agent的武器装备虚拟维修训练系统

提出了一种基于Multi-Agent的虚拟维修训练系统(VMTS)结构框架,整个系统分别由主控Agent、仿真Agent、和接口Agent3个具有交互作用的Agent组成,从而将虚拟维修训练系统的开发转化为一个多Agent系统的设计与开发.基于多Agent的框架结构可实现受训者的智能模型及虚拟训练场景中虚拟物体的行为模型,从而可以提高VMTS的健壮性和可重用性.基于Agent的概念模型实现了Agent之间的交互和协作,并介绍了主控Agent和仿真Agent的具体实现方法.     

基于扩展标记变迁模型的时钟同步协议正确性验证

时钟同步协议是时间触发网络的一个重要组成部分，是时间触发网络实时性和确定性的关键。本文基于扩展标记变迁模型对时钟同步协议进行建模，基于模型检测方法对协议是否满足正确性属性进行验证。验证结果证明了在不同启动场景下时钟同步网络协议的正确性，也表明了扩展标记变迁模型对于协议验证的有效性。