基于信号博弈的网络主动防御研究

针对现有被动防御方式难以有效确保军事信息网络安全的问题,从信号伪装的角度对军事信息网络的主动防御进行研究,提出了一种最优伪装信号选取方法。在分析军事信息网络攻防对抗的基础上,基于信号博弈理论对网络攻防过程进行建模;提出了网络攻防收益量化方法;在精炼贝叶斯纳什均衡分析的基础上,设计了最优伪装信号的选取算法。通过实验验证了方法的合理性和可行性,为军事信息网络安全防御提供了一种新的思路。     

北斗战场通信网络身份认证方法

为了提高战场通信网络的安全性,基于北斗卫星导航系统("BeiDou"navigation satellite system,BDS)所提供的高质量的定位、授时以及短报文通信功能,提出了一种基于"北斗"的战场通信网络身份认证方案。该方案利用"北斗"高精度的授时功能实现整个网络中时钟的精确同步,将该时钟信息作为时间戳值加入到身份认证过程中以抵抗重放攻击;同时将节点从"北斗"获得的位置信息也加入到身份认证信息中,解决了战场中我方节点被俘获所带来的安全问题,结合传统的随机数以及证书加密,实现了通信双方多因素双向认证。通过对方案进行安全性分析和SVO逻辑分析可知,该方案能够抵抗常见的攻击方式,并且不存在安全漏洞,适合应用到战场通信网络。     

针对HTTPS协议网站精细化指纹攻击方法

当前网站采用HTTPS协议加密,对其实施监管与审查仅能识别站点,而不能进一步精细化识别子页面,针对这一问题,提出了一种针对HTTPS协议加密站点在使用内容分发网络(Content Distribute Network,CDN)分发资源情况下的精细化指纹攻击方法。首先利用CDN分发过程中将用户重定向到就近镜像服务器产生的域名系统(Domain Name System,DNS)查询序列作为页面指纹,然后使用支持向量机(Support Vector Machine,SVM)模型进行页面识别,最后采用在Internet中收集的数据集进行验证。结果表明:该方法获得了93%的站点子页面识别率,能有效精细化识别HTTPS加密站点的子页面。     

一种基于虚拟私钥的OpenSSL与CSP交互方案

针对日益增长的网络信息安全问题,从传输层安全着手,提出了一种基于虚拟私钥的开放式安全套接层(Open Secure Sockets Layer,OpenSSL)与加密服务提供商(Cryptographic Service Provider,CSP)的交互方案,并依托逻辑语言形式化分析交互部分的安全性与合理性。该方案在首次注册提交私钥之后,严格遵循私钥不可出设备的要求,借助一种虚拟私钥的设计,在需要传递私钥时全部使用虚拟私钥,避免产生真实私钥的副本,确保真实私钥的唯一性,从而提高了安全性。同时,该方案将虚拟私钥保存在OpenSSL中,将真实私钥保存在CSP中,安全地实现了"私钥两地保存",能够最大限度地减少对OpenSSL的修改。较小的工作量能够有效降低出现漏洞的风险,也提高了方案的通用性。     

基于贝叶斯攻击图的网络安全风险评估方法

针对当前基于攻击图的网络安全风险评估方法在评估过程中考虑网络实际运行情况不全面的问题,提出了一种基于贝叶斯攻击图的网络安全风险评估方法。首先,基于贝叶斯攻击图对目标网络进行了建模;其次,结合攻击意图和原子攻击的特性,利用先验概率对属性节点的静态风险进行了评估;最后,运用贝叶斯推理方法中的后验概率对静态风险评估攻击图进行了动态更新,实现了对目标网络的动态风险评估。通过试验分析验证了该方法的可行性,可为实施网络安全防护策略提供依据。