網路邊緣實體行為與多態攻擊自防禦關鍵技術研究

網路攻擊的多態性與分布性是安全防禦的新挑戰,現有的方法不足以抵禦這類攻擊。本課題首次為安全強度最低的網路邊緣實體提出一種基於行為的防禦方法,套用隱半馬爾科夫過程研究邊緣實體的各種網路互動行為的時空特性,包括:網路行為、套用行為與系統內部行為。利用模型評估實體行為演變中的變異程度與變異點,實現對已知的與未知的多態攻擊行為的檢測,對可疑行為採用虛擬機技術及優先權排隊方法化解入侵/攻擊對實體與中間網路的影響。具體而言,研究利用隱半馬爾科夫理論為不同實體行為建立數學模型的方法;研究實體行為對模型參數的影響,通過模型研究各種實體行為的外部特徵與內部驅動機制;研究利用統一行為模型防禦多態攻擊行為的通用方法;研究通用網路防禦性能測試方法。本課題的研究成果與方法不但可以實現多態入侵與攻擊的主動防禦,還可以為下一代網路的安全研究提供理論參考。

本項目圍繞網路邊緣實體的安全問題，研究了與之相關的各種網路互動行為的時空特性及數學建模方法，主要包括：網路與系統行為、行為評估與自防禦方案、測試方案。本研究通過數學模型刻畫各種複雜網路行為過程的內部驅動機制，從而為有效檢測與抵禦潛在的安全威脅提供有意義的參考。目前，該項目已經取得的代表性研究成果有以下六個方面：（1）提出一種基於雙層隱半馬爾科夫模型的新方法用於描述複雜、多態的網路行為過程；（2）提出高效的方法實現套用層已知與未知協定的特徵提取、流量分類及逆向協定行為推斷；（3）提出一種強度無關、內容無關的方法檢測與回響具有深度隱蔽性的分散式拒絕服務攻擊行為，並提出了針對套用層的異常檢測方法與實時主動防禦系統；（4）基於隱馬爾科夫模型實現系統內部行為的動態描述並套用於異常檢測；（5）套用複雜網的社團理論實現網路負載與傳輸性能的最佳化；（6）對網路安全態勢與網路安全策略的基礎理論問題進行了深入的研究。本項目的執行結果與原定的研究計畫相比，研究內容已全部完成，研究目標也已達到。與上述成果相關的部分學術論文已發表（或被錄用）於國內外一級的學術期刊。