网络边缘实体行为与多态攻击自防御关键技术研究

网络攻击的多态性与分布性是安全防御的新挑战,现有的方法不足以抵御这类攻击。本课题首次为安全强度最低的网络边缘实体提出一种基于行为的防御方法,应用隐半马尔科夫过程研究边缘实体的各种网络交互行为的时空特性,包括:网络行为、应用行为与系统内部行为。利用模型评估实体行为演变中的变异程度与变异点,实现对已知的与未知的多态攻击行为的检测,对可疑行为采用虚拟机技术及优先级排队方法化解入侵/攻击对实体与中间网络的影响。具体而言,研究利用隐半马尔科夫理论为不同实体行为建立数学模型的方法;研究实体行为对模型参数的影响,通过模型研究各种实体行为的外部特征与内部驱动机制;研究利用统一行为模型防御多态攻击行为的通用方法;研究通用网络防御性能测试方法。本课题的研究成果与方法不但可以实现多态入侵与攻击的主动防御,还可以为下一代网络的安全研究提供理论参考。

本项目围绕网络边缘实体的安全问题，研究了与之相关的各种网络交互行为的时空特性及数学建模方法，主要包括：网络与系统行为、行为评估与自防御方案、测试方案。本研究通过数学模型刻画各种复杂网络行为过程的内部驱动机制，从而为有效检测与抵御潜在的安全威胁提供有意义的参考。目前，该项目已经取得的代表性研究成果有以下六个方面：（1）提出一种基于双层隐半马尔科夫模型的新方法用于描述复杂、多态的网络行为过程；（2）提出高效的方法实现应用层已知与未知协议的特征提取、流量分类及逆向协议行为推断；（3）提出一种强度无关、内容无关的方法检测与响应具有深度隐蔽性的分布式拒绝服务攻击行为，并提出了针对应用层的异常检测方法与实时主动防御系统；（4）基于隐马尔科夫模型实现系统内部行为的动态描述并应用于异常检测；（5）应用复杂网的社团理论实现网络负载与传输性能的优化；（6）对网络安全态势与网络安全策略的基础理论问题进行了深入的研究。本项目的执行结果与原定的研究计划相比，研究内容已全部完成，研究目标也已达到。与上述成果相关的部分学术论文已发表（或被录用）于国内外一级的学术期刊。