一、案例分析——黑客攻击Solaris系统DNS服务(论文文献综述)
张茜玥[1](2021)在《基于DNS时空特征的APT恶意域检测方法研究》文中研究指明网络与科技的高速发展,方便了人们日常的生活工作,但与此同时,部分网络攻击带来的安全问题也越来越多,其中高级持续威胁攻击已成为网络安全最大的威胁之一。高级持续威胁(APT)是指某些组织对特定对象展开的持续有效的攻击活动。这些黑客组织具有较高的专业技术水平,且有足够的资源展开长期攻击。这种攻击不易被察觉,具有极强的针对性,且能绕过常见的安全策略,如防病毒、入侵检测系统等各种主流安全检测技术。现有有效的方法是通过分析C&C通信期间生成的恶意行为来检测恶意软件。但是,APT恶意软件通常采用低流量攻击模式,在每个攻击步骤中都会混入大量正常流量,以避免病毒检查和查杀。因此,传统的恶意软件检测方法较难及时发现APT恶意软件。但是由于大多数APT攻击都使用DNS来定期定位恶意软件的C&C服务器以进行信息传输,此行为将会在网络流和DNS日志中留下一些记录,这为我们提供了识别APT恶意域的机会。因此本文基于DNS检测恶意流量的相关研究,深入研究APT恶意域攻击特点,提出了一种基于DNS的时间特征和空间特征的检测方法。该检测方法将DNS的请求时间转化为字符串来进行流量的预处理,通过基于后缀树的字符串周期检测算法,提取DNS时间戳的周期置信度作为时间特征;再根据DNS数据包中域名以及服务器IP地址之间的关系生成DNS关联映射图,利用改良后的置信传播算法根据域名知识集,计算未知域名的恶意概率作为空间特征;将两种置信度整合为该域名的特征向量选取LightGBM算法对其进行训练检测。最后,本文采用Contagio等公开数据集以及本人收集的流量组成数据集,对本文提出的检测方法进行检测评估。实验结果显示,本文提出的检测方法与其他方法相比准确率和召回率上都有一定的提高,检测准确率达到96.6%,召回率达到97.2%;而且本文的方法能够处理由于数据包有效载荷独立而导致的加密和混淆流量。
贾卓生[2](2021)在《基于域名服务日志分析的主动防御架构及关键技术研究》文中指出随着互联网技术的普及和迅速发展,网络安全问题越来越突出,从个人信息盗取、隐私泄露,到危害社会和国家安全,无处不在。为此,政府和相关单位投入巨大的人力和财力开展网络安全检测与防御方面的研究。如何通过检测分析自动感知网络中存在的安全隐患,对网络信息系统进行研判,准确定位故障点,精准反映各个系统的安全风险值,形成网络安全主动防御体系,成为研究的热点问题。网络安全的研究虽然已经取得了一定的阶段性进展,但在关键技术手段和准确度上仍需要不断完善。目前在企业网中通过安装入侵防御、漏洞扫描、用户行为管理、数据安全审计等设备进行安全分析和防御,但因处理量大、误报率高,在实际环境中往往旁路部署,难以提高防御能力。在面对越来越大的网络流量和分布式内容分发网络以及加密协议的普遍采用,全流量网络安全检测方法难以有效地识别网络攻击行为,也增加了企业和用户隐私数据被窃取的风险。基于日志数据进行安全攻击检测方法往往采用单个设备或系统的日志,数据粒度不够精细,分析滞后,检测效果难以保证,也缺乏与现有网络安全防御设备的反馈和联动机制,且随着数据的不断累积,需要关联分析的数据量越来越大,极大地影响分析效率。针对这些问题,本文提出利用互联网中最基础的域名服务日志数据进行分析挖掘,构建基于知识图谱的网络行为指纹特征库模型,通过聚类分析研究网络攻击行为特征检测算法,检测网络安全风险和网络攻击隐患。并采用网络计费日志作为辅助的细粒度分析和验证手段,进一步提高检测精确度。提出利用域名服务器构建具有主动防御功能的智能域名体系架构,建立事前干预的安全防护体系,在用户和系统无感知的情况下,主动阻止危害网络安全的攻击行为,增强网络安全管理和防御能力。论文主要内容如下:1、构建基于域名服务的主动防御体系架构。在分析网络日志的采集方式、格式类型、数据映射与清洗基础上,研究了域名数据的统计分类方法,以及域名服务面临的解析过程安全、体系安全和网络威胁。对域名集进行统计聚类挖掘,分析域名解析过程中分布式内容分发网络加速和动态地址带来的安全检测问题,在此基础上,提出了一个基于智能域名服务的主动防御体系架构。2、提出一种构建域名指纹图谱的方法。建立基于知识图谱的域名指纹图谱特征库模型,对生成的指纹模型数据特征值进行关联和聚类分析。定义了安全检测分析中各种域名指纹标准数据集合,包括:可供智能域名系统进行安全防御的动态黑白名单集;基于知识图谱的用户访问行为指纹集;采用图神经网络有向图和无向图生成的域名解析指纹集。给出了指纹集建立、生成、存储、比对和可视化分析的方法,并对指纹检测算法进行了实验验证和分析。针对域名服务日志数据粒度不够精细的问题,采用网络计费日志作为辅助的细粒度分析和验证手段,提高检测准确度。3、提出一种网站、用户、操作系统和常用应用软件的正常域名访问行为指纹检测分析方法。通过用户查询行为的合集还原网站所有活跃域名链接,形成网站活跃域名指纹图谱,提出了基于C4.5决策树算法的网站域名指纹特征检测分析方法。通过用户网络访问行为形成用户访问域名特征指纹图谱,在分析用户的固定、变化、异常三种行为模式的基础上,提出了基于粗糙聚类算法FCM的用户访问行为检测分析方法。通过操作系统和常用应用软件域名请求形成特征指纹图谱,提出了操作系统和常用应用软件行为的检测分析方法。实验验证了方法的可行性和有效性。4、提出一种网络攻击行为指纹图谱的检测分析方法。在分析网络攻击行为的基础上,针对典型攻击行为指纹特征,采用隐狄利克雷LDA概率图模型方法进行估值计算,提出了一种基于一阶同质马尔科夫链FHM行为转移概率算法的改进方法,来检测网络攻击行为,提高了对攻击行为的预测和预防能力。以挖矿病毒攻击和网页暗链攻击为例,对该检测分析方法进行了验证。5、实现了一个基于域名服务的网络安全主动防御系统。通过域名日志安全分析系统与智能域名服务器联动,实现网络主动防御。并通过网络代理服务器把可能产生安全问题的流量导向蜜罐系统进行分析和阻断。通过与动态主机配置协议服务器日志的综合分析,实现适应动态地址变化的域名分析系统,满足物联网和IPv6等动态IP地址网络环境下的安全分析和防御。在系统间建立相互反馈机制,验证了检测和预防效果。本文通过对域名服务日志的分析,提出基于域名访问行为指纹图谱的安全检测分析方法,设计并实现了一个网络安全检测与主动防御系统,能够实施闭环控制和统一的威胁管控,并在实际网络环境中得到应用。
闫广华[3](2020)在《利用机器学习与深度学习发现APT攻击中的可疑行为》文中研究说明根据卡巴斯基实验室的研究报告,高级持续性威胁(Advanced Persistent Threat,APT)依旧是2019年计算机安全领域的一个重大威胁。来自不同国家的攻击团体在全球范围内对金融,军事,外交,电信和供电公司,政治家和活动家的计算机系统进行攻击。这种攻击以其高级和难以检测的特点,在比较大的时间跨度里,对目标渗透,攻击,潜伏,扩散,窃取信息。由于其流量低,攻击时间长的,攻击方法多样并且实时在进化特点,具有一定检测难度。做为一种人为定制的复杂攻击过程,APT攻击对现有的网络安全存在极大的危害。其整个攻击的过程非常隐蔽,在长时间跨度下只产生极少量的攻击行为,并混杂在大量的正常活动中。由于域名系统协议(Domain Name System,DNS)在APT中的作用,通过不同攻击阶段产生的DNS异常活动可生成可疑的恶意域名列表,可用于帮助发现APT攻击。但是,该领域内还存在着若干挑战,如(1)检测方法需要面对长时间大跨度的日志数据;(2)较少的攻击样本数据限制监督学习的应用;(3)已有方法没有考虑响应报文与请求报文之间的关系。为了解决需要面对长时间大跨度的日志数据的问题,本文提出一种基于无监督机器学习的检测APT攻击中可疑域名的框架AULD(APT Unsupervised Learning Detection framework),从大量的DNS请求数据中,抽取出基于主机、域名和时间的10种特征,进行聚类分析,输出可疑的域名列表,可以用于后续的APT攻击分析。利用吉林大学校园网中采集的1,584,225,274条DNS请求记录进行实验验证框架的正确性,实验结果表明提出的框架可以有效的检测出APT攻击中的可疑域名。为了解决请求报文和响应报文联系体现不明确的问题,本文将DNS响应报文的特征和响应报文与请求报文的关系的特征赋予请求报文,通过分析以请求报文为主体来得到以往可能没有得到的可疑的DNS请求记录。采用深度学习的方法对DNS请求记录进行分析,算法根据计算出的可疑值对待检测的DNS行为进行威胁评估。利用吉林大学校园网中收集的包含4,907,147,146条DNS请求记录的数据加入仿真攻击数据来验证框架的有效性与正确性,实验结果表明:我们的方法在检测DNS可疑行为上达到了平均准确率约97.6%,反正例率FP(False Positive Rate)约为2.3%,召回率(Recall)约为96.8%,提出的框架可以有效地检测到APT中的隐蔽可疑DNS行为。本文从以上两个方向对通过DNS行为针对APT攻击的检测进行研究并提出了相关的检测方案,分别通过无监督学习方法和深度学习方法对DNS行为进行评估,为网络环境的安全性提升做出了努力。通过实验,我们证明了本文的工作可用于帮助发现可疑的DNS行为。
刘森,张书维,侯玉洁[4](2020)在《3D打印技术专业“三教”改革探索》文中提出根据国家对职业教育深化改革的最新要求,解读当前"三教"改革对于职教教育紧迫性和必要性,本文以3D打印技术专业为切入点,深层次分析3D打印技术专业在教师、教材、教法("三教")改革时所面临的实际问题,并对"三教"改革的一些具体方案可行性和实际效果进行了探讨。
李明[5](2020)在《基于DNS请求序列检测APT攻击》文中认为在信息安全领域,高级持续性威胁(APT,Advanced Persistent Threat)已经越来越受到重视,这种威胁形式已经成为一种重要网络威胁。APT攻击主要是有针对性地入侵某些组织机构的内部网络,目的是实施破坏活动或窃取机密数据。其攻击涉及的目标领域广泛,包括军事、政治、科研、金融、工业控制等。攻击者为达到破坏或窃取的目的,制定高度针对的入侵方案,会对受害的机构或企业,甚至国家造成巨大损失。APT攻击不仅针对性强、目的性明确,而且不易被检测。达到最终目的前,APT活动会长期隐蔽地潜伏在目标网络系统中。它们使自己藏匿于合法的活动或流量中,在目标系统中不断提升自己的权限,这使得检测工作异常困难。随着震惊世界的“极光事件”、“震网”等APT案例频出,全世界的政府部门、安全厂商,以及科研机构对APT的关注与研究逐渐增加。卡巴斯基、火眼等安全厂商每年提供大量源于APT真实案例的技术报告。学术界也对APT攻击进行了全方位研究,为APT攻击划分生命周期,并在其各个阶段提出防御策略与检测方法。由于DNS日志可以记录下APT活动向外部发出的请求,所以基于DNS日志分析来检测恶意域名,从而帮助检测APT成为热点领域。但是现有方法存在的问题在于,域名特征并不普遍适用并且容易被规避,攻击者可以根据公开发表的检测方法调整域名生成策略,使检测方法失效;可用的恶意样本数量有限,快速变化的恶意域名集也会降低建立图检测方法的有效性。而且APT攻击的长期潜伏导致APT活动在时间上的规律被多数方法忽略。通过研究大量真实APT案例的技术报告,我们发现APT攻击体现在DNS日志系统上的时间规律很多,不应被忽略。所以我们需要分析每个主机发出的DNS请求序列,探究其时间规律来识别受到感染的主机。为了解决现有方法的局限,本文提出来自不同角度的检测方法。本文的关注角度从攻击者针对的主体——主机出发,而不再去关注域名本身易被规避的特征。本文对大量APT报告中提到的主机发出的DNS请求序列时间规律做出总结并提出假设。本文提出的检测方法基于这些假设,通过将前提假设量化为特征向量,以无监督学习方式找出疑似受到感染的主机。检测方法的具体步骤包括数据获取与预处理,特征提取,生成可疑列表。我们在20万主机数量级的真实大型校园网络数据集和来自4TU.ResearchData的公共数据集中加入源于大量技术报告的仿真攻击数据并进行了实验,并对方法中的个别特征进行了有效性验证。此外,我们使用相同数据集与相关工作进行了对比实验。实验结果验证了我们的方法的有效性和性能,以及现有方法的局限性。在方法的可行性方面,我们也给予充分考虑,保证方法高度可用,可移植性与扩展性强。方法可以独立完成受感染主机的检测,也可以结合其他方法使用,可作为完整防御体系的重要补充。
姚橹[6](2019)在《基于数据挖掘的僵尸网络行为学分析》文中研究说明目前以僵尸网络为载体的各种网络攻击活动是互联网所面临的最为严重的安全威胁之一。由于僵尸网络不断演化且僵尸网络行为学上的相关研究尚不完善,如何将行为学上的一些问题应用于僵尸网络研究,且将操纵者的心理结合分析僵尸网络的未来趋势等仍是一项持续而有挑战性的问题。针对以上问题,本文开展对僵尸网络行为学的分析研究。主要工作包含两个方面:在空间方面,提出基于Apriori算法的僵尸网络传播行为研究,设计四层哈希存储结构并将传播行为分为扫描行为和渗透行为。在扫描行为中,基于Apriori算法的僵尸网络控制器挖掘算法,将流数据过滤,按照扫描流模式生成模型设计实时脚印计算算法分析僵尸网络脚印增长行为;在渗透行为中,使用Apriori算法的渗透行为挖掘,分析僵尸网络指令控制行为。实验表明,上述方法能够高效工作,准确定位数据流中的僵尸网络流数据,且为行为学分析提供准确的模型图。在时间方面,提出基于ARIMA时间序列模型的僵尸网络通信活动行为研究,使用控制器归并算法和傅里叶变换将预处理过的流数据做进一步聚类,并将通信活动行为分为周期行为和隐蔽性行为。在周期行为中,使用ARIMA模型的僵尸网络通信周期挖掘算法,对僵尸网络活动做出预判;在隐蔽性行为中,通过三角拟合公式预判僵尸网络周期性传播规律,分析僵尸网络在增长情况下的隐蔽性特征。实验表明,此方法的预测模型可精准定位僵尸网络未来通信趋势,提供更准确的行为学分析方法。
郭威[7](2019)在《分布式存储系统拟态化架构与关键技术研究》文中进行了进一步梳理为了满足大数据背景下不断增长的数据应用需求,存储系统正在由传统的集中式架构向分布式架构演进,原有职能任务被解耦拆分为元数据服务和数据服务两部分,极大的提升了系统的横向扩展能力、并行服务能力和容灾容错能力。然而,在以云数据中心为代表的集中化服务模式下,分布式存储系统的数据安全却面临着前所未有的挑战,主要原因有:元数据节点存在单点故障缺陷、数据节点全面布防困难、泛在化的漏洞后门无法彻查、以及开放共享模型加剧了安全隐患。对此,研究者前期提出了一系列防护方法,包括:引入传统防御手段、设计新的安全架构、开发自主可控或可信的硬件平台、数据加密等等,但都存在一定的局限性,尤其是无法有效应对未知漏洞和后门造成的未知威胁。网络空间拟态防御(Cyberspace Mimic Defense,CMD)是国内提出的一种主动防御理论,针对当前信息系统架构普遍存在的静态、相似、单一“基因缺陷”,通过引入动态(Dynamicity)、异构(Heterogeneity)、冗余(Redundancy)机制对其进行“拟态化”改造,使新的系统对漏洞和后门具备内生的抵御能力。近年来,针对CMD的研究分析和应用测试均取得了很好的效果,从理论和工程层面验证了其有效性和可行性。因此,将CMD的相关思想和机制引入到分布式存储架构中,为其提供对未知漏洞后门的防御能力,能够弥补现有防护方法的局限和不足,从而改善当前数据安全的严峻现状。基于上述考虑,本文依托国家自然科学基金创新研究群体项目“网络空间拟态防御基础理论研究”和面上项目“网络空间拟态安全异构冗余机制研究”,对分布式存储系统的拟态化架构与关键技术展开研究。论文结合大数据Hadoop平台中的分布式文件系统(Hadoop Distributed File System,HDFS)实例,首先提出并实现了一种基于“要地防御”原则的拟态化架构,然后进一步探索了该架构下调度机制的效率与鲁棒性、裁决机制的可信性、以及数据副本的差异化放置问题。主要研究成果如下:1.针对当前分布式存储系统中元数据节点单点故障和数据节点全面布放困难的问题,通过引入拟态防御的DHR模型(Dynamic Heterogeneous Redundancy)及其相关安全机制,从构造上增强系统的对漏洞和后门的防御能力。首先,对分布式存储系统面临的主要威胁和攻击途径进行分析,定位其“核心的薄弱点”,结合防护的代价与有效性提出一种可行的安全构造方法。其次,以大数据存储HDFS为目标对象,设计了一种面向元数据服务的拟态化架构,该架构通过搭建元数据服务DHR结构保护系统核心信息和功能,通过副本的异构化放置保护用户数据。然后,通过对系统的安全性分析,从理论上分析了该架构的安全增益能力。最后,通过对原型系统进行测试验证了CMD对分布式存储系统安全性上的提升,评估了其性能开销影响。2.针对拟态化架构中的元数据服务DHR结构的调度机制,提出了一种基于滑动窗口的调度序列控制方法。首先,我们对DHR结构的反馈调度过程进行建模描述和问题分析,并给出了对应的威胁模型和关注的评价指标。然后,将计算机网络中的滑动窗口机制引入到调度序列控制中,通过设置时间和异常频次的驱动事件,触发窗口进行“滑动”动作,即更新调度控制参数,从而通过不断的调整适应,来协调应对动态变化的内部运行状态和外部攻击环境。最后,通过设置不同的实验场景条件,评估调度序列控制研究的必要性,本文方法的有效性,及其与现有方法的性能对比。结果显示,本文方法能够有效解决CMD调度序列控制中面临的一系列问题,在面对复杂多变的内外部情况时通过自适应调整为DHR结构提供了较好的安全性,运转效率以及鲁棒性。3.针对拟态化架构中的元数据服务DHR结构的裁决机制,分析了基于历史表现的置信度计算方法存在的置信度偏移和欺骗问题,提出了一种置信度计算的修正方法,用于提升裁决机制的可信度。首先,文章关注到基于历史表现的拟态裁决机制中,基于单调统计的置信度评价方式存在的不合理性,通过两个简单的案例描述分析了置信度偏移现象及其恶意利用的置信度欺骗攻击。然后,提出了一种基于Logistic函数的置信度修正方法,该方法考虑外部攻击在时间维度上影响力变化,对不同历史阶段的裁决结果进行分级处理,并且针对“过热”的异常输出类型进行噪声过滤,提升置信度计算过程的合理性。实验评估表明,该方法能够有效缓解置信度偏移及基于其的置信度欺骗所造成的危害,提升了拟态裁决机制的可信性。4.针对分布式存储系统拟态化架构中的数据防护问题,研究了基于异构存储集群的数据副本放置方法。首先,对安全威胁模型与HDFS系统模型进行了描述,从安全性和业务性能两个方面定义了副本放置方法的评价指标。然后,构建了HDFS副本放置问题的规划模型,并提出了一种主目标贪心的随机搜索算法以降低求解的复杂度。该方法通过对节点漏洞与性能上的差异进行量化评分,筛选出目标搜索集合,然后根据实际需求将副本放置在利于存活的节点上,从而提升数据的完整性与可用性。实验结果表明,该方法能够有效降低攻击发生时的数据损坏率,在外部攻击能力提升或集群异构性有限的情况下仍保持较高的安全收益,在面向并行处理任务时具有较高的处理性能。
孙国梓,王纪涛,谷宇[8](2019)在《区块链技术安全威胁分析》文中研究指明区块链安全在区块链技术的研究中是很重要的部分,目前区块链安全事件频频发生,对区块链相关的安全威胁需要提高警惕。文中首先对区块链进行了简要说明,然后详细分析了区块链在算法、共识协议、智能合约、用户使用和网络安全中的安全威胁。并说明了公证人机制、哈希时间锁定和侧链/中继链3种跨链技术存在的安全问题以及区块链本身特性对跨链产生的安全问题。进一步又介绍了区块链在安全领域的应用。再分析了区块链隐私保护中的两种隐私威胁。最后,对区块链各个方面的安全威胁提出了相应的应对策略和未来的研究方向。
潘崇霞[9](2019)在《企业关联情景下的信息系统安全投资策略研究》文中研究表明计算机信息系统的广泛运用既让企业的工作效率和管理水平大幅提升,也让企业面临越来越复杂和严峻的信息系统安全问题。同时,网络化时代企业信息系统不再是信息孤岛,与外部环境存在着各种类型的关联,企业信息系统安全及其投资策略不仅需要考虑内部因素,还需要考虑外部环境中各种关联因素的影响。为此,本文综合考虑企业自身、黑客和企业间关联等多方面的因素,运用信息系统安全管理、博弈论等基础理论和方法,采用案例分析与建模分析相结合的方法,研究企业多种关联情景下的信息系统安全投资策略,以帮助企业提高信息系统安全投资策略的科学性与合理性。首先,论文研究了企业间安全信息共享关联下的信息系统安全投资策略。一是综合考虑黑客攻击方式和企业决策者的风险偏好,研究了信息共享下风险厌恶型企业信息安全投资策略。研究发现:(1)两个信息共享的企业,最优信息系统安全投资一定随着各自共享系数的增加而增加,与黑客的攻击方式和企业的风险偏好均无关。(2)黑客随机攻击且企业极度厌恶风险时,企业的最优信息系统安全投资随着风险厌恶水平的增加而增加,随着投资效率的增大而减少。(3)黑客攻击方式直接影响着企业最优信息系统安全投资决策。二是研究了信息共享企业信息系统并联时的安全投资策略。研究结论主要有:(1)无论什么情形下,最优信息系统安全投资总是随着黑客攻击概率、信息共享水平和系统价值单调递增。且两企业系统的稳定性相互独立,与两企业之间的信息共享无关。(2)信息共享的两个企业类型的异同影响着企业信息系统安全的投资策略。(3)信息共享的两个企业中,信息系统中并联部件的数量和企业对外联接度影响着企业最优信息安全投资。其次,研究了预算约束下关联企业信息系统安全投资策略。一是针对关联企业,研究综合考虑预算约束、黑客攻击方式及其偏好情况下的信息系统安全投资策略。研究结论主要有:(1)与黑客的攻击方式无关,信息系统连接情况下,企业的最优信息系统安全投资预算总额一定存在最小值,只是最小值的取值随黑客攻击偏好的不同有所不同。(2)黑客不同攻击方式下,企业信息系统安全投资与企业的对外联接度间表现出不同的变化关系,且不同攻击方式下安全投资和投资分配与最优信息系统安全投资预算总额之间的关系也不相同。二是针对关联企业,研究综合考虑预算约束和企业信息系统安全防御能力情况下的信息系统安全投资策略。研究发现:(1)当企业防御黑客随机攻击的水平较高而防御定向攻击的水平较低时,在网络对外联接度取值较大时,信息系统安全投资总额存在最小值,在网络对外联接度取值较小时,信息系统安全投资总额存在最大值。(2)企业在不同攻击方式上的最优安全投资与企业网络对外联接度间有不同的关联变化关系。(3)当企业防御黑客定向攻击的水平较高而防御随机攻击的水平较低时,用于防御定向攻击的投资额应随着安全投资总额的增大而增大,但用于防御定向攻击的投资分配应随着安全投资总额的增大而减小。接着,讨论了安全服务外包关联下信息系统安全投资策略。一是研究了考虑黑客攻击情形下企业信息系统安全外包管理模式的选择。研究发现:(1)在企业与安全服务外包提供商(即managed security service provider,简称MSSP)合作管理时,合作效率并不是越高越好。(2)当企业与MSSP的合作效率较高时,黑客最大期望效用随着入侵概率的增大而增大,随着企业与MSSP合作效率的增大而减小;当企业与MSSP的合作效率较低时,黑客最大期望效用随着入侵概率的增大而减小,随着合作效率的增大而增大。二是分别针对两个和多个关联企业构建博弈模型,同时考虑外包中企业间信息系统风险的关联性和投资外部性,研究它们对企业信息系统安全投资策略的影响。研究认为:(1)两个企业关联情况下,考虑投资正外部性和负外部性时都存在一个均衡点,这个均衡点与外部性影响系数、间接入侵系数和黑客对两个企业的直接入侵概率有关。(2)多个企业关联情况下,在投资为正外部性影响时存在一个均衡点,这个均衡点与外部性影响系数、间接入侵系数、已投资企业个数和未投资企业个数有关;在投资为负外部性影响时不存在均衡点,企业的投资水平总是随着安全投资企业个数的增加而增加。再有,研究了随机攻击和定向攻击下多个关联企业与多个黑客演化博弈下的信息系统安全投资策略。研究结论主要有:(1)黑客随机攻击和定向攻击情形下,企业与黑客的演化稳定状态均出现六种情况。(2)黑客随机攻击情形下,当黑客采取入侵策略且企业采取不进行安全投资策略时,企业可以在估计黑客攻击概率的基础上,通过调整网络对外联接度、潜在损失和安全投资效率关系的方法来达到降低成本的目的,以改变对企业不利的稳定状态。(3)黑客定向攻击情形下,当黑客采取入侵策略且企业采取不进行安全投资策略时,企业可以通过提高安全投资效率、减小入侵潜在损失、减小企业系统的网络对外联接度的方式来达到减小安全投资的目的,以改变对企业不利的稳定状态。(4)当最终的演化稳定状态为黑客采取入侵策略和企业群体采取不投资策略的情况下,表现为企业成本过高;当最终的演化稳定状态为企业采取安全投资策略和黑客采取不入侵策略时,表现为黑客攻击成本过高。最后,论文总结了相关研究结论及其对信息系统安全投资带来的管理启示,归纳了论文的主要创新点,提出了未来可以研究的问题。
孙健[10](2019)在《基于行为分析的APT攻击检测研究》文中研究表明近年来,一种新的网络攻击方式——APT(高级持续型渗透攻击)因为其特殊性和高危性逐步受到网络安全从业者的关注。高级持续型渗透攻击由于其颠覆传统病毒的特性,传统的检测方式难以方便的检测其存在和运行,而现有的检测方式有往往伴随着计算资源和时间资源的消耗。因此,基于动态监测APT病毒的目的,本文采用了行为分析的检测方法,结合MapReduce编程方式和支持向量机算法,构建了一种新的APT攻击检测模型。在APT攻击检测模型的构建中,主要分为以下三个步骤。首先,综合利用各种方法获取足量的APT病毒样本并搭建网络攻击测试平台。其次,利用SVM算法和MapReduce编程模型提炼行为模型。将得到的病毒样本于测试平台中运行,得到大量的行为报告数据,并与大量的纯净数据、安全行为数据一同使用Hadoop集群进行分析运算,生成训练集。最后,构建合适的测试集进行行为检测模型的功能检验,利用横向对比的方式验证使用Hadoop集群和SVM算法所带来的性能优化,并利用测试集得出检测模型的误报率和漏报率,与其他检测方法进行横向比对。在使用测试集对检测模型的检测实验中,得出该模型检测APT病毒的漏报率和误报率分别为7.62%和8.62%,远低于使用朴素贝叶斯分类器的检测模型的12.96%和13.22%,亦远低于基于关键词的判断方法的17.32%和53.12%。本模型的平均检测时间为262秒,远低于基于大数据的检测方法的1985秒。根据对照实验的结果显示,本文所构建的APT检测模型具有较好的检测APT病毒的能力,拥有较低的误报率和漏报率,而且拥有较低的时间成本,拥有一定的研究和实用价值。
二、案例分析——黑客攻击Solaris系统DNS服务(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、案例分析——黑客攻击Solaris系统DNS服务(论文提纲范文)
(1)基于DNS时空特征的APT恶意域检测方法研究(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究工作的背景与意义 |
1.2 国内外研究历史与现状 |
1.2.1 基于黑名单的检测方法 |
1.2.2 基于统计特征匹配的检测方法 |
1.2.3 基于图分析的检测方法 |
1.2.4 基于机器学习的检测方法 |
1.3 本文的主要研究内容与创新 |
1.4 本论文的结构安排 |
1.5 本章小结 |
第二章 APT网络攻击的相关研究 |
2.1 APT攻击概述 |
2.1.1 APT攻击简介 |
2.1.2 APT攻击主要特征 |
2.1.3 APT攻击生命周期 |
2.1.4 APT攻击案例 |
2.1.5 APT攻击常见防御技术 |
2.2 C&C通信 |
2.2.1 C&C通信简介 |
2.2.2 APT与C&C通信 |
2.2.3 C&C通信与恶意域 |
2.3 本章小结 |
第三章 基于DNS时空特征的APT恶意域检测方法研究 |
3.1 检测方法的总体流程 |
3.2 流量的收集与获取 |
3.2.1 获取流量 |
3.2.2 黑白名单过滤 |
3.3 数据预处理 |
3.3.1 DNS时间戳与字符串转换 |
3.3.1.1 获取时间间隔 |
3.3.1.2 时间间隔与字符串的转化 |
3.3.2 DNS域名与IP映射图的获取 |
3.4 周期检测 |
3.4.1 构建后缀树 |
3.4.2 获取候选周期 |
3.4.3 获取周期置信度 |
3.5 图分析检测 |
3.5.1 马尔可夫随机场 |
3.5.2 因子图 |
3.5.3 置信传播算法 |
3.5.4 初始设置和停止条件 |
3.6 训练分类 |
3.7 本章小结 |
第四章 APT攻击检测原型系统的设计与实现 |
4.1 系统设计目标 |
4.1.1 设计难点 |
4.1.2 设计目标 |
4.2 系统总体框架设计 |
4.3 网络部署 |
4.4 系统模块设计与实现 |
4.4.1 数据收集模块 |
4.4.2 数据过滤模块 |
4.4.3 数据预处理模块 |
4.4.4 周期检测模块 |
4.4.5 图分析模块 |
4.4.6 分类检测模块 |
4.5 本章小结 |
第五章 方法评估与测试 |
5.1 实验环境 |
5.2 实验数据集 |
5.3 基于DNS时空特征的检测方法实验与分析 |
5.3.1 评估标准 |
5.3.2 实验结果分析 |
5.4 系统测试 |
5.4.1 流量获取测试 |
5.4.2 系统运行测试 |
5.5 本章小结 |
第六章 全文总结与展望 |
6.1 工作总结 |
6.2 工作展望 |
致谢 |
参考文献 |
攻读硕士学位期间取得的成果 |
(2)基于域名服务日志分析的主动防御架构及关键技术研究(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
1 绪论 |
1.1 研究背景意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 研究现状及进展 |
1.3 研究内容与论文结构 |
1.3.1 研究方法 |
1.3.2 研究内容 |
1.3.3 研究成果 |
1.3.4 论文结构安排 |
2 基于域名服务日志分析的主动防御架构 |
2.1 引言 |
2.2 域名服务 |
2.2.1 域名系统 |
2.2.2 域名解析过程的安全分析 |
2.2.3 智能域名服务 |
2.2.4 域名服务面临的安全威胁 |
2.2.5 域名服务器体系安全 |
2.3 域名服务日志分析主动防御架构 |
2.3.1 域名服务日志采集 |
2.3.2 域名服务和计费日志格式 |
2.3.3 数据清洗与映射 |
2.4 基于知识图谱的域名服务日志主动防御检测 |
2.5 本章小结 |
3 域名指纹图谱生成与分析 |
3.1 引言 |
3.2 域名名单数据集合 |
3.3 域名指纹标准库生成 |
3.3.1 数据集合定义 |
3.3.2 指纹数据集合建立 |
3.3.3 指纹图谱的生成 |
3.3.4 指纹图谱的存储 |
3.3.5 指纹图谱的比对 |
3.3.6 指纹图谱的可视化 |
3.4 域名指纹图谱的分析 |
3.5 实验与结果分析 |
3.6 本章小结 |
4 正常访问行为的域名指纹图谱检测分析 |
4.1 引言 |
4.2 网站域名特征指纹分析 |
4.2.1 网站域名指纹特征 |
4.2.2 基于决策树的网页域名指纹检测分析 |
4.3 用户行为特征指纹分析 |
4.3.1 用户域名解析行为指纹特征 |
4.3.2 基于粗糙聚类的用户访问行为指纹检测分析 |
4.4 操作系统和常用应用软件特征指纹分析 |
4.5 实验与结果分析 |
4.6 本章小结 |
5 网络攻击行为域名指纹图谱检测分析 |
5.1 引言 |
5.2 网络攻击行为分析方法 |
5.2.1 网络攻击典型方法 |
5.2.2 网络攻击行为检测 |
5.3 基于马尔科夫链的网络攻击行为转移概率指纹分类算法 |
5.4 算法实验与结果分析 |
5.4.1 网络攻击行为检测分析 |
5.4.2 常见攻击行为指纹检测分析 |
5.5 网络攻击行为检测实例 |
5.6 本章小结 |
6 基于域名服务的主动防御系统的实现 |
6.1 引言 |
6.2 网络攻击行为防御 |
6.3 代理服务器和蜜罐分析与阻断 |
6.4 动态地址联动防御 |
6.5 本章小结 |
7 总结与展望 |
7.1 工作总结 |
7.2 未来工作展望 |
参考文献 |
作者简历及攻读博士学位期间取得的研究成果 |
学位论文数据集 |
(3)利用机器学习与深度学习发现APT攻击中的可疑行为(论文提纲范文)
摘要 |
ABSTRACT |
第1章 绪论 |
1.1 研究背景 |
1.1.1 高级持续性威胁 |
1.1.2 生命周期 |
1.1.3 攻击案例 |
1.2 研究动机 |
1.3 本文工作 |
1.4 论文结构 |
第2章 相关工作 |
2.1 对于APT攻击周期进行的研究 |
2.2 对于APT的检测的相关研究 |
2.3 研究方法讨论 |
第3章 使用无监督学习在大型数据下对 DNS 恶意行为检测 |
3.1 问题描述 |
3.2 检测框架 |
3.2.1 数据采集 |
3.2.2 数据预处理 |
3.3 特征提取 |
3.4 聚类算法 |
3.5 实验 |
3.5.1 实验环境 |
3.5.2 数据集描述 |
3.5.3 实验结果 |
3.5.4 同类工作对比 |
3.5.5 内部网络问题 |
3.6 实验总结 |
第4章 使用深度学习结合DNS请求与响应活动发现APT可疑行为 |
4.1 问题描述 |
4.2 检测框架 |
4.3 特征分析 |
4.4 评估算法 |
4.5 实验 |
4.5.1 实验数据 |
4.5.2 实验数据分析 |
4.5.3 实验结果 |
4.5.4 同类工作对比 |
4.6 实验总结 |
第5章 总结与展望 |
5.1 总结 |
5.2 展望 |
参考文献 |
作者简介及在学期间所取得的科研成果 |
致谢 |
(4)3D打印技术专业“三教”改革探索(论文提纲范文)
引言 |
1 3D打印技术专业“三教”面临的突出问题 |
1.1 师资团队的教学素养相对偏差 |
1.2 3D打印技术专业教材不成体系,资源匮乏 |
1.3 教法难以提升学生参与的主动性 |
2 3D打印技术应用专业“三教”改革措施 |
2.1 通过“名师引领、双元结构、分工协作”的准则塑造团队 |
2.1.1 依托有较强影响力的带头人,有效开发名师所具备的引领示范效果 |
2.1.2 邀请大师授教,提升人才的技术与技能水准 |
2.2 推进“学生主体、育训结合、因材施教”的教材变革 |
2.2.1 设计活页式3D打印教材 |
2.2.2 灵活使用信息化技术,形成立体化的教学 |
2.3 创新推行“三个课堂”教学模式,推进教法改革 |
2.3.1 采取线上、线下的混合式教法 |
2.3.2 构建与推进更具创新性的“三个课堂”模式 |
(5)基于DNS请求序列检测APT攻击(论文提纲范文)
摘要 |
abstract |
第1章 绪论 |
1.1 研究背景简介 |
1.1.1 典型案例 |
1.1.2 特点分析 |
1.2 国内外研究现状 |
1.2.1 全球APT研究 |
1.2.2 APT生命周期 |
1.2.3 检测方案 |
1.3 本文工作 |
1.4 本文结构 |
第2章 相关工作 |
2.1 机器学习方法 |
2.2 建立请求图方法 |
2.3 流量检测方法 |
2.4 本章小结 |
第3章 动机与假设 |
3.1 本文动机 |
3.2 前提假设 |
3.3 本章小结 |
第4章 检测框架 |
4.1 预处理与数据格式 |
4.2 特征提取 |
4.3 无监督学习 |
4.4 本章小结 |
第5章 实验评估 |
5.1 数据获取 |
5.2 实验结果 |
5.3 对比实验 |
5.3.1 公共数据集 |
5.3.2 不同方法 |
5.4 本章小结 |
第6章 总结与展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
作者简介及在学期间所取得的科研成果 |
致谢 |
(6)基于数据挖掘的僵尸网络行为学分析(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 国内外研究现状 |
1.2.1 国内外僵尸网络研究现状 |
1.2.2 国内外行为学研究现状 |
1.3 本文主要章节安排 |
1.4 本章小结 |
第二章 相关知识背景介绍 |
2.1 僵尸网络分类 |
2.1.1 集中式僵尸网络 |
2.1.2 分布式僵尸网络 |
2.2 数据僵尸网络工作机制 |
2.3 僵尸网络性能分析 |
2.4 网络测量相关知识概述 |
2.4.1 主动测量技术 |
2.4.2 被动测量技术 |
2.4.3 抽样测量技术 |
2.4.4 流量行为统计模型研究 |
2.4.5 端至端性能行为的研究 |
2.5 数据挖掘相关背景知识概述 |
2.5.1 时间序列挖掘 |
2.5.2 频繁模式挖掘 |
2.6 本章小结 |
第三章 基于Apriori算法的僵尸网络传播行为研究 |
3.1 引言 |
3.2 相关工作 |
3.2.1 Apriori算法 |
3.2.2 僵尸网络规模 |
3.3 僵尸网络扫描行为研究 |
3.3.1 扫描流模式生成模型 |
3.3.2 僵尸网络存储模型 |
3.3.3 基于Apriori算法的僵尸网络控制器挖掘算法 |
3.3.4 僵尸网络传播增长模式 |
3.4 僵尸网络渗透行为研究 |
3.4.1 渗透流模式生成模型 |
3.4.2 基于Apriori算法的渗透行为挖掘算法 |
3.5 实验分析 |
3.5.1 实验数据源 |
3.5.2 僵尸网络脚印增长行为 |
3.5.3 僵尸网络指令控制行为 |
3.6 本章小结 |
第四章 基于ARIMA模型的僵尸网络通信活动行为研究 |
4.1 引言 |
4.2 ARIMA模型相关工作 |
4.3 僵尸网络周期行为研究 |
4.3.1 僵尸网络控制器归并算法 |
4.3.2 僵尸网络相似性判定 |
4.3.3 基于ARIMA模型的僵尸网络通信周期挖掘算法 |
4.4 僵尸网络隐蔽性行为研究 |
4.5 实验分析 |
4.5.1 相似性判定 |
4.5.2 僵尸网络通信周期行为 |
4.5.3 僵尸网络隐蔽性 |
4.6 本章小结 |
第五章 总结与展望 |
5.1 本文工作总结 |
5.2 未来工作展望 |
参考文献 |
附录1 攻读硕士学位期间撰写的论文 |
附录2 攻读硕士学位期间申请的专利 |
附录3 攻读硕士学位期间参加的科研项目 |
致谢 |
(7)分布式存储系统拟态化架构与关键技术研究(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 课题背景 |
1.1.1 分布式存储系统简介 |
1.1.2 分布式存储系统的安全威胁 |
1.1.3 网络空间拟态防御 |
1.2 研究现状 |
1.2.1 现有数据安全防护手段 |
1.2.2 拟态防御理论的研究与应用 |
1.3 课题提出 |
1.3.1 研究问题 |
1.3.2 研究目的与意义 |
1.4 研究内容 |
1.5 论文结构 |
第二章 面向元数据服务的拟态化架构设计与实现 |
2.1 引言 |
2.2 威胁分析与拟态界选取 |
2.3 面向元数据服务的HDFS拟态化架构设计 |
2.3.1 总体架构与工作流程 |
2.3.2 M-Namenode的异构冗余执行体集合 |
2.3.3 M-Namenode中的裁决机制与调度机制 |
2.3.4 基于H-Datanode集群的数据冗余放置 |
2.4 Mimic-HDFS安全性能分析 |
2.4.1 异构冗余机制 |
2.4.2 动态调度机制 |
2.5 测试与评估 |
2.5.1 测试环境 |
2.5.2 评估结果 |
2.6 本章小结 |
第三章 拟态调度机制的高效性与鲁棒性研究 |
3.1 引言 |
3.2 问题描述与分析 |
3.2.1 基本概念与原则 |
3.2.2 研究动机 |
3.2.3 威胁模型与评价指标 |
3.3 基于滑动窗口模型的调度序列控制方法 |
3.3.1 相关概念与定义 |
3.3.2 模型设计 |
3.3.3 方法分析 |
3.4 实验评估 |
3.4.1 实验设计 |
3.4.2 结果与分析 |
3.4.3 进一步讨论 |
3.5 本章小结 |
第四章 拟态裁决机制的可信性研究 |
4.1 引言 |
4.2 问题描述 |
4.3 基于Logistic函数的置信度修正模型与裁决方法 |
4.3.1 定义与概念 |
4.3.2 运行场景内的置信度修正 |
4.3.3 运行场景间的置信度修正 |
4.3.4 优化的裁决方法 |
4.4 仿真与评估 |
4.4.1 仿真环境 |
4.4.2 评估结果 |
4.5 本章小结 |
第五章 数据副本的安全放置策略 |
5.1 引言 |
5.2 模型与评价指标 |
5.2.1 安全威胁模型 |
5.2.2 存储系统模型 |
5.2.3 本文评价指标 |
5.3 目标问题与算法设计 |
5.3.1 HDFS副本放置问题的规划模型 |
5.3.2 主目标贪心的随机搜索算法 |
5.4 实验评估 |
5.4.1 实验设置 |
5.4.2 数据承载规模对安全性的影响 |
5.4.3 攻击能力对安全性的影响 |
5.4.4 集群异构度对安全性的影响 |
5.4.5 Hadoop任务处理性能 |
5.5 本章小结 |
第六章 结束语 |
6.1 研究内容和创新性 |
6.2 后续工作展望 |
致谢 |
参考文献 |
作者简历 攻读博士学位期间完成的主要工作 |
(8)区块链技术安全威胁分析(论文提纲范文)
1 区块链概述 |
1.1 区块链定义 |
1.2 区块链特性 |
(1) 去中心化 |
(2) 透明性和可溯源性 |
(3) 不可篡改性 |
1.3 区块链体系结构 |
(1) 数据层 |
(2) 网络层 |
(3) 共识层 |
(4) 激励层 |
(5) 合约层 |
(6) 应用层 |
2 区块链主要安全威胁 |
2.1 算法安全威胁 |
(1) 哈希函数 |
(2) 量子计算技术 |
2.2 共识协议安全威胁 |
(1) 双花攻击 |
(2) 自私挖矿 |
(3) 短程攻击 |
(4) 长程攻击 |
(5) 币龄堆积 |
(6) 预计算攻击 |
(7) 女巫攻击 |
2.3 智能合约安全威胁 |
(1) 重入漏洞 |
(2) 整数溢出漏洞 |
(3) tx.origin和msg.sender混淆漏洞 |
(4) 拒绝服务漏洞 |
(5) 关键字过时 |
(6) 未检查返回值漏洞 |
(7) 短地址/参数漏洞 |
(8) 交易顺序依赖 |
(9) 合约构造函数与合约名不一致 |
(10) 时间操作/伪随机 |
2.4 用户使用安全威胁 |
(1) 节点暴露API接口 |
(2) 钱包私钥窃取 |
2.5 网络安全威胁 |
(1) BGP路由广播劫持 |
(2) 伪造数字签名 |
(3) 勒索病毒 |
3 区块链跨链安全 |
3.1 公证人机制安全问题 |
3.2 哈希时间锁定安全问题 |
(1) 恶意节点建立多笔超时交易 |
(2) 资金锁定需维持“热钱包”状态 |
3.3 侧链/中继链安全问题 |
3.4 孤块问题 |
3.5 长程攻击问题 |
3.6 多链数据同步超时问题 |
3.7 区块膨胀问题 |
3.8 故障扩散问题 |
3.9 跨链重放攻击问题 |
3.10 升级兼容性问题 |
4 区块链安全领域应用 |
4.1 区块链应用于数据管理 |
(1) 基于区块链的电子存证系统 |
(2) 基于区块链与智能合约的医疗信息管理体系MedRec |
(3) 基于区块链的无密钥签名架构 |
4.2 区块链应用于物联网 |
(1) 基于区块链的物联网可伸缩管理 |
(2) 基于区块链的边缘计算IIOT架构 |
(3) 物联网+区块链助力食品质量安全保障 |
4.3 区块链应用于域名系统 |
5 区块链隐私保护威胁 |
5.1 大数据推测用户身份 |
(1) 账户地址为出发点 |
(2) 交易为出发点 |
5.2 暴露用户交易金额 |
6 区块链安全研究方向及对策建议 |
6.1 算法安全策略 |
6.2 共识机制安全策略 |
6.3 智能合约安全策略 |
6.4 用户使用安全策略 |
6.5 网络安全策略 |
6.6 跨链安全策略 |
6.7 应用安全策略 |
6.8 区块链取证策略 |
7 结束语 |
(9)企业关联情景下的信息系统安全投资策略研究(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景与意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 国内外相关问题研究现状 |
1.2.1 独立企业信息系统安全投资策略研究 |
1.2.2 关联企业的信息系统安全投资策略研究 |
1.2.3 现有研究现状评述 |
1.3 论文主要内容 |
第二章 企业信息系统安全投资的影响因素和研究问题 |
2.1 信息安全 |
2.1.2 信息安全等级 |
2.1.3 信息安全技术 |
2.2 信息系统安全 |
2.2.1 信息系统和信息系统安全的内涵 |
2.2.2 信息系统安全层次及其可靠性 |
2.2.3 信息系统安全技术体系 |
2.3 企业关联情景下信息系统安全投资策略研究相关概念及问题 |
2.3.1 相关概念界定 |
2.3.2 企业信息系统安全投资策略的主要影响因素 |
2.3.3 企业关联情景下信息系统安全投资策略研究问题 |
2.4 本章小节 |
第三章 企业间安全信息共享情形下信息系统安全投资策略研究 |
3.1 问题提出 |
3.2 信息共享下风险厌恶型企业信息系统安全投资策略研究 |
3.2.1 模型构建 |
3.2.2 随机攻击情形下的信息系统安全投资策略 |
3.2.3 定向攻击情形下的信息系统安全投资策略 |
3.2.4 管理启示 |
3.3 信息共享下企业系统并联时的安全投资策略研究 |
3.3.1 模型构建 |
3.3.2 两个类型不同企业信息共享情形下的信息系统安全投资策略 |
3.3.3 两个相同类型企业信息共享情形下的信息系统安全投资策略 |
3.3.4 管理启示 |
3.4 本章小节 |
第四章 预算约束下关联企业信息系统安全投资策略研究 |
4.1 问题提出 |
4.2 预算约束下考虑黑客攻击方式的关联企业信息系统安全投资策略 |
4.2.1 模型构建 |
4.2.2 最优信息系统安全投资 |
4.2.3 最优信息系统安全投资与投资效率的关系 |
4.2.4 网络对外联接度对最优信息系统安全投资分配的影响 |
4.2.5 最优信息系统安全投资分配与最优信息系统安全投资的关系 |
4.2.6 管理启示 |
4.3 预算约束下考虑防御能力特点的关联企业信息系统安全投资策略 |
4.3.1 模型构建 |
4.3.2 较高随机攻击防御水平时关联企业信息系统安全投资策略 |
4.3.3 较高定向攻击防御水平时关联企业信息系统安全投资策略 |
4.3.4 管理启示 |
4.4 本章小节 |
第五章 安全服务外包关联下信息系统安全投资策略研究 |
5.1 问题提出 |
5.2 考虑黑客攻击下的企业信息系统安全外包模式选择研究 |
5.2.1 模型构建 |
5.2.2 考虑黑客攻击下的企业信息系统安全投资期望效用 |
5.2.3 管理启示 |
5.3 关联性与外部性对信息系统安全管理外包投资策略的影响研究 |
5.3.1 两个企业关联时信息系统安全投资策略 |
5.3.2 多个企业关联时信息系统安全投资策略 |
5.3.3 管理启示 |
5.4 本章小节 |
第六章 多个关联企业对多个黑客演化博弈下的信息系统安全投资策略分析 |
6.1 问题提出 |
6.2 随机攻击下企业信息系统安全投资多对多演化博弈分析 |
6.2.1 模型构建 |
6.2.2 随机攻击下企业与黑客的演化稳定策略分析 |
6.3 定向攻击下信息系统安全投资策略多对多演化博弈分析 |
6.3.1 模型构建 |
6.3.2 定向攻击下企业与黑客的演化稳定策略分析 |
6.4 管理启示 |
6.5 本章小节 |
第七章 结论与展望 |
7.1 论文主要结论和管理启示 |
7.1.1 主要结论 |
7.1.2 管理启示 |
7.2 论文主要创新点 |
7.3 研究展望 |
读博期间学术成果 |
参考文献 |
致谢 |
(10)基于行为分析的APT攻击检测研究(论文提纲范文)
摘要 |
Abstract |
1 绪论 |
1.1 课题背景及研究意义 |
1.2 APT攻击国内外研究现状 |
1.3 研究目标和研究内容 |
1.3.1 研究目标 |
1.3.2 研究内容 |
1.4 论文组织结构 |
2 APT攻击的相关理论和技术综述 |
2.1 APT攻击综述 |
2.1.1 APT攻击的定义和分类 |
2.1.2 APT 攻击机理综述与经典攻击案例研究 |
2.1.3 APT攻击发展趋势和经典检测方法 |
2.2 APT攻击检测模型的相关理论和工具综述 |
2.2.1 Hadoop和 Map Reduce |
2.2.2 实验所需工具软件综述 |
2.3 APT攻击检测模型的相关算法综述 |
2.3.1 支持向量机算法(SVM) |
2.3.2 朴素贝叶斯算法 |
2.3.3 随机森林算法 |
2.4 本章小结 |
3 APT病毒样本获取及测试平台搭建研究 |
3.1 网络攻击测试平台搭建 |
3.2 APT病毒样本获取 |
3.2.1 APT病毒MD5码获取 |
3.2.2 APT病毒样本以及样本信息获取 |
3.3 行为报告获取 |
3.3.1 纯净数据报告获取 |
3.3.2 正常行为报告获取 |
3.3.3 APT病毒行为报告获取 |
3.4 本章小结 |
4 APT攻击检测模型构建研究 |
4.1 SVM检测模型中的原子行为提取研究 |
4.1.1 执行行为 |
4.1.2 文件行为 |
4.1.3 注册表行为 |
4.1.4 进程行为 |
4.1.5 网络行为 |
4.1.6 其他敏感行为 |
4.2 利用Hadoop得出训练集 |
4.3 利用SVM算法得出行为权重模型 |
4.4 本章小结 |
5 检测模型的验证与比较 |
5.1 Hadoop集群在检测模型中的应用分析 |
5.2 测试集数据验证研究与比较 |
5.2.1 测试集的构建过程和效果比较 |
5.2.2 利用生产环境测试集进行测试 |
5.2.3 SVM算法在检测模型中的应用分析 |
5.3 本章小结 |
6 总结和展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
致谢 |
附录 1 攻读硕士学位期间参与项目和发表论文 |
四、案例分析——黑客攻击Solaris系统DNS服务(论文参考文献)
- [1]基于DNS时空特征的APT恶意域检测方法研究[D]. 张茜玥. 电子科技大学, 2021(01)
- [2]基于域名服务日志分析的主动防御架构及关键技术研究[D]. 贾卓生. 北京交通大学, 2021(02)
- [3]利用机器学习与深度学习发现APT攻击中的可疑行为[D]. 闫广华. 吉林大学, 2020(08)
- [4]3D打印技术专业“三教”改革探索[J]. 刘森,张书维,侯玉洁. 数码世界, 2020(04)
- [5]基于DNS请求序列检测APT攻击[D]. 李明. 吉林大学, 2020(08)
- [6]基于数据挖掘的僵尸网络行为学分析[D]. 姚橹. 南京邮电大学, 2019(02)
- [7]分布式存储系统拟态化架构与关键技术研究[D]. 郭威. 战略支援部队信息工程大学, 2019(02)
- [8]区块链技术安全威胁分析[J]. 孙国梓,王纪涛,谷宇. 南京邮电大学学报(自然科学版), 2019(05)
- [9]企业关联情景下的信息系统安全投资策略研究[D]. 潘崇霞. 东南大学, 2019(05)
- [10]基于行为分析的APT攻击检测研究[D]. 孙健. 武汉邮电科学研究院, 2019(11)