CN107251519A - 基于网络可控性分析来检测对移动无线网络的攻击的系统和方法 - Google Patents
基于网络可控性分析来检测对移动无线网络的攻击的系统和方法 Download PDFInfo
- Publication number
- CN107251519A CN107251519A CN201680010741.5A CN201680010741A CN107251519A CN 107251519 A CN107251519 A CN 107251519A CN 201680010741 A CN201680010741 A CN 201680010741A CN 107251519 A CN107251519 A CN 107251519A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- controllability
- node
- subindex
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
描述了一种用于检测通信网络上的假信息的攻击的系统。计算针对通信网络的图形表示的网络可控性指标。检测所述网络可控性指标的变化,并且基于检测到的网络可控性指标的变化来检测所述通信网络上的假信息的攻击。
Description
政府许可权
以美国政府合同编号AFRL FA8750-14-C-0017下的政府支持来进行本发明。该政府在本发明中具有特定权利。
相关申请的交叉引用
本申请是2015年3月18日提交的、题名为“System and Method to DetectAttacks on Mobile Wireless Networks Based on Network ControllabilityAnalysis”的美国临时专利申请No.62/135142的非临时专利申请,该美国临时专利申请的全部内容通过引用并入于此。
本申请也是2015年3月18日提交的、题名为“System and Method to DetectAttacks on Mobile Wireless Networks Based on Motif Analysis”的美国临时专利申请No.62/135,136的非临时专利申请,该美国临时专利申请的全部内容通过引用并入于此。
发明背景
(1)技术领域
本发明涉及用于检测对无线网络节点的攻击的系统,并且更具体地说,涉及用于基于网络可控性分析来检测对无线网络节点的攻击的系统。
(2)背景技术
由于移动无线网络拓扑的动态性质,移动无线网络使用基于隐式信任(implicittrust)和共享控制信息的模型构建的协议,这使得它们特别难以抵御假信息的攻击(attacks of misinformation)。用于移动adhoc网络的现有安全解决方案通过异常检测来检测在网络吞吐量统计级(例如,7层网络栈中的第2层和第3层)的攻击。它们寻找协议违规;因此,它们专用于某些协议或已知的攻击签名。另外,目前的网络协议栈保证节点对之间的传输,但是它们不能避免依赖于来自其它节点的信息(即,它们不能避免“网络内部人员”攻击)。受损节点可以发送坏信息以颠覆网络的操作(例如,通过将广告自身作为到达网络中的每个其它节点的最快路由,但是丢弃其得到的每个数据包,称作黑洞攻击)。这种攻击并不违反协议,所以很难以常规技术进行检测。
而且,目前在检测移动无线网络中的行为不端节点方面的研究,仍主要集中于适应和优化集中在网络栈的较低层的行为的常规网络防御策略(参见所以并入的参考文献列表,参考文献编号3-9)。与诸如签名检测、统计异常检测、以及基于规范的检测这样的策略有关的研究已经证明对特定攻击和网络情况有效,但是针对更一般情况的适用性已被证明是难以捉摸的。所缺少的是,对整个网络栈和每个节点上以及整个网络上的应用的更高级别的行为分析。正是这样的观点,网络科学和信息动态学方面的近期研究现在可以通过图论法网络中网络(NoN:network-of-network)模型的形式化和分析来提供(参见参考文献编号10-12)。尽管NoN已被广泛应用于社会网络动态研究,但其针对网络安全的应用,最近才在用于建模NoN中的逻辑和物理网络模的方法有突破性进展之后得到认可(参见参考文献编号13),其中,连通性和动态学根本不同。将这项开创性工作扩展到移动无线网络的具有挑战性的环境,特别是在规模和复杂性的现实世界假设下,尚未加以研究。
因此,对于可以通过分析应用的变化及其与低网络层的相关性而按整体方式检测假信息源的系统来说,存在持续的需求。
发明内容
本发明涉及用于检测对无线网络节点的攻击的系统,并且更具体地说,涉及用于基于网络可控性分析来检测对无线网络节点的攻击的系统。该系统包括:一个或更多个处理器和具有指令的存储器,使得当执行所述指令时,所述一个或更多个处理器执行多个操作。针对包括多个节点的通信网络的表示,计算多个网络可控性指标。检测所述多个网络可控性指标中的变化,使用检测到的变化来检测所述通信网络上的假信息的攻击。
在另一方面,所述表示包括:所述通信网络内的网络拓扑、网络相关性、以及应用相关性。
在另一方面,所述多个网络可控性指标被计算为,在给定时间窗口期间所述通信网络的多个节点之间的通信模式的函数。
在另一方面,给定表示基线行为的网络可控性指标数据的一组示例、以及表示攻击行为的网络可控性指标数据的一组示例,机器学习分类器基于所述基线行为与所述攻击行为之间的差异来确定用于攻击检测的阈值。
在另一方面,每个网络可控性指标被表示为二极管图案面板中的二极管,其中,如根据所述用于攻击检测的阈值所确定的、显示攻击行为的网络可控性指标在所述二极管图案面板中被加亮。
在另一方面,当检测到所述通信网络上的假信息的攻击时,所述系统执行缓减动作。
在另一方面,所述缓减动作包括:将一攻击节点从所述通信网络的其它部分隔离。
在另一方面,所述缓减动作包括:通知所述通信网络中的每一个其它节点,以忽略所述攻击节点发送的任何内容,并且不向所述攻击节点发送任何内容,或者不通过所述攻击节点发送任何内容。
在另一方面,输出表示所述多个网络可控性指标中的每一个网络可控性指标的特征。接着,将每一个特征转换成一值是异常或不异常的二元指示,并且使用所述二元指示来检测所述多个网络可控性指标中的变化。
在另一方面,所述表示是:所述通信网络内的网络拓扑、网络相关性、以及应用相关性的图形表示。
在另一方面,针对在给定时间窗口期间所述通信网络的多个节点之间的通信模式的图形表示来计算所述多个网络可控性指标。
在另一方面,本发明还包括一种用于使处理器执行本文所述操作的方法。
最后,在又一方面,本发明还包括一种计算机程序产品,该计算机程序产品包括:存储在非暂时性计算机可读介质上的计算机可读指令,该计算机可读指令可通过具有处理器的计算机来执行,以使所述处理器执行本文所述的操作。
附图说明
根据下面结合参照附图对本发明各个方面的详细描述,本发明的目的、特征以及优点将更清楚,其中:
图1是描绘根据本公开的一些实施方式的用于检测对无线网络的攻击的系统的组件的框图;
图2是根据本公开的一些实施方式的计算机程序产品的例示图;
图3是根据本公开的一些实施方式的开发网络(Xnet:Exploitation Network)的构造的例示图;
图4A是根据本公开的一些实施方式的利用网络可控性指标的、在25节点基线情形中的攻击检测和归因的结果的例示图;
图4B是根据本公开的一些实施方式的利用网络可控性指标的、在25节点攻击行为情形中的攻击检测和归因的结果的例示图;
图5A是根据本公开的一些实施方式的、使用支持矢量机(SVM)来寻找用于基于网络可控性指标分类攻击行为的阈值的例示图;
图5B是根据本公开的一些实施方式的、SVM学习以在特征超空间中寻找可以将基线性能示例与攻击行为示例分离的平面的例示图;
图6A是根据本公开的一些实施方式的用于基线活动的35个网络指标的二极管图案的例示图;
图6B是根据本公开的一些实施方式的、在超文本传输协议(HTTP)洪泛攻击期间的35个网络指标的二极管图案的例示图;
图7A是根据本公开的一些实施方式的用于基线活动的35个网络指标的二极管图案的例示图;
图7B是根据本公开的一些实施方式的、在全部丢弃(drop-all)攻击期间的35个网络指标的二极管图案的例示图;
图8A是根据本公开的一些实施方式的用于基线活动的35个网络指标的二极管图案的例示图;
图8B是根据本公开的一些实施方式的、在全部重置(reset-all)攻击期间的35个网络指标的二极管图案的例示图;
图9是根据本公开的一些实施方式的、针对基线攻击、全部丢弃攻击、以及全部重置攻击的三个不同层中的35个网络指标的二极管图案的摘要面板的例示图;以及
图10是描绘根据本公开的一些实施方式的Xnet模型的模块之间的关系的例示图。
具体实施方式
本发明涉及用于检测对无线网络节点的攻击的系统,并且更具体地说,涉及用于基于网络可控性分析来检测对无线网络节点的攻击的系统。呈现以下描述以使本领域普通技术人员能够制造和使用本发明并将其并入特定应用的背景中。各种修改例以及不同应用方面的多种用途对于本领域技术人员来说是显而易见的,并且本文定义的一般原理可以应用于广泛的方面。因此,本发明不旨在限于所呈现的方面,而是符合与本文所公开原理和新颖特征相一致的最广范围。
在下面的详细描述中,阐述了许多具体细节,以便提供对本发明的更详尽理解。然而,本领域技术人员应当明白,本发明可以在不必受限于这些具体细节的情况下来实践。在其它情况下,公知结构和装置按框图形式而不是按细节示出,以便避免模糊本发明。
将读者的注意引向与本说明书同时提交的所有文件和文档,并且这些文件和文档可以与本说明书开放以供公众查阅,所有这些文件和文档的内容通过引用并入于此。本说明书中公开的所有功能(包括任何所附权利要求、摘要以及绘图)可以用服务相同、等同或相似目的的另选特征来代替,除非另外加以明确规定。因此,除非另外加以明确规定。所公开的每个特征仅仅是通用系列的等同或相似特征中的一个例子。
而且,权利要求书中没有明确陈述“用于执行指定功能的装置”或“用于执行特定功能的步骤”的任何部件不被解释为如在35U.S.C.Section 112,Paragraph 6中指定的“装置”或“步骤”条款。特别地讲,在本文的权利要求书中使用“…的步骤”或“……的动作”不旨在援引35U.S.C.112,Paragraph 6的规定。
请注意,若使用的话,标记左、右、前、后、顶、底、正、反、顺时针以及逆时针都仅出于方便目的而加以使用,并不旨在暗示任何特定的固定方向。相反的是,它们用于反映物体的各个部分之间的相对位置和/或方向。像这样,随着本发明的改变,上述标记可能会改变它们的取向。
在详细描述本发明之前,首先提供了如在本描述中使用的所并入的参考文献列表。接下来,提供对本发明各个主要方面的描述。最后,提供本发明的具体细节以取得对具体方面的理解。
(1)所并入的参考文献列表
贯穿本申请,并入并引用以下参考文献。为了清楚和方便起见,这些参考文献在此被列为读者的中心资源。下列参考文献通过引用并入于此,就像完全包括在此一样。这些参考文献通过参照如下对应文献参考号而在本申请中加以引用:
1.Y.-Y.Liu、J.-J.Slotine、以及A.-L.Barabási的“Controllability ofcomplex networks,”Nature,vol.473,pp.167–173,2011。
2.Y.-Y.Liu、J.-J.Slotine、以及A.-L.Barabási的“The observability ofcomplex systems,”PNAS,vol.110,no.7,pp.2460–2465,2013。
3.J.-P.Hubaux、L.Buttyán、以及S.Capkun的“The quest for security inmobile ad hoc networks,”in Proceedings of the 2nd ACM international symposiumon Mobile adhoc networking&computing.ACM,2001,pp.146–155。
4.S.Marti、T.J.Giuli、K.Lai、M.Baker等人的“Mitigating routingmisbehavior in mobile ad hoc networks,”in International Conference on MobileComputing and Networking:Proceedings of the 6th annual internationalconference on Mobile computing and networking,vol.6,no.11,2000,pp.255–265。
5.H.Yang、J.Shu、X.Meng、以及S.Lu的“Scan:self-organized network-layersecurity in mobile ad hoc networks,”IEEE Journal on Selected Areas inCommunications,vol.24,no.2,pp.261–273,2006。
6.Y.Zhang和W.Lee的“Security in mobile ad-hoc networks,”in Ad HocNetworks.Springer,2005,pp.249–268。
7.K.Govindan和P.Mohapatra的“Trust computations and trust dynamics inmobile adhoc networks:a survey,”Communications Surveys&Tutorials,IEEE,vol.14,no.2,pp.279–298,2012。
8.A.R.Ismail、以及C.Boyd的“A survey of trust and reputationsystems for online service provision,”Decision support systems,vol.43,no.2,pp.618–644,2007。
9.P.Michiardi和R.Molva的“Core:a collaborative reputation mechanism toenforce node cooperation in mobile ad hoc networks,”in Proceedings of theIFIP TC6/TC11Sixth Joint Working Conference on Communications and MultimediaSecurity:Advanced Communications and Multimedia Security,2002,pp.107–121。
10.S.Noel、M.Elder、S.Jajodia、P.Kalapa、S.O’Hare、以及K.Prole的“Advancesin topological vulnerability analysis,”in Conference For Homeland Security,2009。CATCH’09.Cybersecurity Applications&Technology.IEEE,2009,pp.124–129。
11.T.Karagiannis、K.Papagiannaki、以及M.Faloutsos的“Blinc:multileveltraffic classification in the dark,”in ACM SIGCOMM Computer CommunicationReview,vol.35,no.4.ACM,2005,pp.229–240。
12.S.Noel和S.Jajodia的“Understanding complex network attack graphsthrough clustered adjacency matrices,”in Computer Security ApplicationsConference,21st Annual.IEEE,2005,pp.1-10。
13.M.Kurant和P.Thiran的“Layered complex networks,”Physical reviewletters,vol.96,no.13,p.138701,2006。
14.Borgatti、S和M.Everett的“A graph-theoretic perspective oncentrality,”Social Networks,28(4),2006。
(2)主要方面
本发明具有三个“主要”方面。第一个是用于检测针对无线网络的攻击的系统。该系统通常采用计算机系统操作软件的形式或采用“硬编码”指令集的形式。该系统可以并入提供不同功能的各种各样的装置中。第二个主要方面是通常采用软件的形式的方法,其利用数据处理系统(计算机)进行操作。第三个主要方面是计算机程序产品。该计算机程序产品通常表示存储在诸如光学存储装置(例如,光盘(CD)或数字万用盘(DVD))或诸如软盘或磁带的磁存储装置的非暂时性计算机可读介质上的计算机可读指令。计算机可读介质的其它非限制例包括:硬盘、只读存储器(ROM)、以及闪存型存储器。这些方面将在下面进行更详细描述。
图1中提供了描绘本发明的系统(即,计算机系统100)的示例的框图。计算机系统100被配置成执行与程序或算法相关联的计算、处理、操作和/或功能。在一个方面,本文讨论的某些处理和步骤被实现为,驻留在计算机可读存储器单元内并由计算机系统100的一个或更多个处理器执行的一系列指令(例如,软件程序)。在执行时,这些指令使计算机系统100执行特定动作并展现特定行为,如本文所描述的。
计算机系统100可以包括被配置成传送信息的地址/数据总线102。另外,一个或更多个数据处理单元(如处理器104(或多个处理器)与地址/数据总线102联接。处理器104被配置成处理信息和指令。在一方面,处理器104是微处理器。或者,处理器104可以是不同类型的处理器(如并行处理器),或现场可编程门阵列。
计算机系统100被配置成利用一个或更多个数据存储单元。计算机系统100可以包括与地址/数据总线102联接的易失性存储器单元106(例如,随机存取存储器(“RAM”)、静态RAM、动态RAM等),其中,易失性存储器单元106被配置成存储用于处理器104的信息和指令。计算机系统100还可以包括与地址/数据总线102联接的非易失性存储器单元108(例如,只读存储器(“ROM”)、可编程ROM(“PROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪速存储器等),其中,非易失性存储器单元108被配置成存储用于处理器104的静态信息和指令。另选的是,计算机系统100可以执行从诸如“云”计算中的在线数据存储单元检索的指令。在一方面中,计算机系统100还可以包括与地址/数据总线102联接的一个或更多个接口,如接口110。所述一个或更多个接口被配置成使得计算机系统100能够与其它电子装置和计算机系统连接。由所述一个或更多个接口实现的通信接口可以包括有线(例如,串行电缆、调制解调器、网络适配器等)和/或无线(例如,无线调制解调器、无线网络适配器等)通信技术。
在一个方面,计算机系统100可以包括与地址/数据总线102联接的输入装置112,其中,输入装置112被配置成将信息和命令选择传送至处理器100。根据一个方面,输入装置112是字母数字混编输入装置(如键盘),其可以包括字母数字混编键和/或功能键。另选的是,输入装置112可以是除字母数字混编输入装置之外的其它输入装置。例如,输入装置112可以包括一个或更多个传感器,如用于视频或静止图像的摄像机、麦克风、或神经传感器。其它示例输入装置112可以包括加速度计、GPS传感器或陀螺仪。
在一方面,计算机系统100可以包括与地址/数据总线102联接的光标控制装置114,其中,光标控制装置114被配置成将用户输入信息和/或命令选择传送至处理器100。在一方面,利用诸如鼠标器、轨迹球、轨迹板、光学跟踪装置或触摸屏这样的装置来实现光标控制装置114。前述尽管如此,但在一方面,诸如响应于使用与输入装置112相关联的特殊键和键序列命令,光标控制装置114经由来自输入装置112的输入而被引导和/或激活。在另选方面,光标控制装置114被配置成通过话音命令指引或引导。
在一方面,计算机系统100还可以包括一个或更多个可选计算机可用数据存储装置,如与地址/数据总线102联接的存储装置116。存储装置116被配置成存储信息和/或计算机可执行指令。在一个方面,存储装置116是诸如磁或光盘驱动器(例如,硬盘驱动器(“HDD”)、软盘、光盘只读存储器(“CD-ROM”)、数字万用盘(“DVD”))这样的存储装置。依据一个方面,显示装置118与地址/数据总线102联接,其中,显示装置118被配置成显示视频和/或图形。在一方面,显示装置118可以包括:阴极射线管(“CRT”)、液晶显示器(“LCD”)、场发射显示器(“FED”)、等离子体显示器,或适于显示视频和/或图形图像以及用户可识别的字母数字混编字符的任何其它显示装置。
本文所呈现的计算机系统100是根据一方面的示例计算环境。然而,计算机系统100的非限制例并不严格受限于作为计算机系统。例如,一个方面提供了,计算机系统100表示可以根据本文所述的各个方面使用的一类数据处理分析。此外,还可以实现其它计算系统。实际上,本技术的精神和范围不限于任何单一数据处理环境。因此,在一方面,使用通过计算机执行的诸如程序模块这样的计算机可执行指令来控制或实现本技术的各个方面的一个或更多个操作。在一个实现中,这样的程序模块包括:被设置成执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、和/或数据结构。另外,一方面提供了,本技术的一个或更多个方面通过利用一个或更多个分布式计算环境来实现,如其中任务由通过通信网络链接的远程处理装置执行,或者如其中各种程序模块位于包括存储器-存储装置的本地和远程计算机存储介质中。
图2中描绘了具体实施本发明的计算机程序产品(即,存储装置)的例示图。该计算机程序产品被描绘为软盘200或诸如CD或DVD这样的光盘202。然而,如先前提到,该计算机程序产品通常表示存储在任何兼容的非暂时性计算机可读介质上的计算机可读指令。如关于本发明所使用的术语“指令”通常指示要在计算机上执行的一组操作,并且可以表示整个程序的片段或单个分离软件模块。“指令”的非限制性示例包括计算机程序代码(源或目标代码)和“硬编码”电子装置(即,编码到计算机芯片中的计算机操作)。该“指令”存储在任何非暂时性计算机可读介质上,如存储在计算机的存储器中或在软盘、CD-ROM以及闪存驱动器上。无论如何,这些指令被编码在非暂时性计算机可读介质上。
(3)本发明的具体细节
描述了一种用于检测对无线网络节点的攻击的系统。其补充支持(leverage)在美国申请No.14/625988(其全部内容通过引用并入于此)中描述的系统,其将网络栈和物理层的细节抽象成称作eXploitation网络(Xnet)的网络组元服务之间的关系的数学表示。Xnet的补充支持使其可以超出用于无线网络的常规方法。
用于移动adhoc网络的现有安全解决方案,通过异常检测来检测在网络吞吐量统计级(即,7层网络栈中的第2层和第3层)的攻击。它们寻找协议违规;因此,它们专用于某些协议或已知的攻击签名。根据本公开的一些实施方式的技术利用整体方法(holisticapproach)(从层2至层7))来分析网络行为,这意味着其会查看应用的变化及其与低网络层的相关性。特别地讲,其基于“网络可控性”分析来分析网络状态,其计算为控制整个网络的状态所需的最小节点集(称为驱动器节点),以及该集合怎样随时间改变。分析无线网络的这个过程不同于任何先前描述的分析方法。
由于移动无线网络拓扑的动态性质,当前技术使用基于隐式信任和共享控制信息的模型构建的协议,这使得它们特别难以抵御假信息攻击。例如,当前的网络协议栈可以保证节点间的传输,但是它们不能避免依赖于来自其它节点的信息(即,它们不能避免“网络内部人员”攻击)。受损节点可以发送坏信息以颠覆网络的操作(例如,通过将广告自身作为到达网络中的每个其它节点的最快路由,但是丢弃其得到的每个数据包,称作黑洞攻击)。这种攻击并不违反协议,所以很难以常规技术进行检测。本文所述方法可以按整体方式来检测假信息源,尤其是在多个节点受到威胁的时候。这种技术可以标识可以信令可疑节点的、Xnet中的动态结构相关性变化。
一般地说,根据本公开实施方式的系统属于一类入侵检测系统(IDS)。目前的方法包括以下内容。签名检测发现先验知道的特定攻击模式,但这对于未知攻击来说是无效的。利用异常检测,有效的分类器因网络动态而难以构建,并且具有低到中等准确度。免疫入侵检测系统学习标识外来的行为,但这种方法是协议专用、难以制定,而且具有很高的系统开销。扩展有限状态机(FSM)模型检测协议状态转换中的显式违规,但这是协议和实现专用的。
没有其它方法使用图论和信息动态分析来标识行为不当的节点。不是寻找协议专用或基于低级网络统计的特定攻击签名,而是,本文所述发明着眼于更高水平的行为。
如上所述,eXploitation网络(Xnet)是提供通过定向链路链接在一起、网络的三种不同视图的网络(网络中网络)的分层模型。该网络可以是有线或无线的,并且拓扑可以动态改变。也就是说,该网络中的节点可以移动,从而将其连接模式改变至其它节点(即,MANET:移动AdHoc网络)。其节点包括:在网络上通信的物理无线电装置以及表示应用和网络服务的概念节点。只要这些节点之一发送数据到另一个节点就创建节点之间的边(只是开始和结束节点,而不是转发消息数据报的中间节点)。一个边存在直到消息到达其目的地为止。
如图10中描绘,Xnet模型包括至少四个独特的模块,包括Xnet动态(XD)模块1000、Xnet可控性/可观察性(XCO)模块1002、Xnet可发展性(XE)模块1004、以及(4)可靠性估计(RE)模块1006。在各种实施方式中,可以使用不同数量的模块来执行相同或相似的功能。XD模块1000基于社交网络的动态(不依赖于协议)来标识不可靠节点,以指示存在改变网络中的控制和数据平面信息的恶意或损坏节点。XCO模块1002标识为了被动地监视(可观察性)或主动地探测(可控性)疑似假信息源所需的最佳节点集合。这些技术需要明显较少的节点(即,比现有技术更低的系统开销)来形成对疑似的假信息源是否恶意而不损害准确性的共识(增加检测概率、降低假警报概率)。XE模块1004模拟失败的进展,以预测哪些节点最有可能被下一次攻击,或应重新进行信任评估。最后,RE模块1006融合跨层和跨平面(控制和数据平面)信息,以标识可疑节点并改进基于信誉的信任管理。统一信任指标是以混合方法计算的,其中节点基于直接经验和其它节点的推荐而组合归一化置信度和信任值。这种混合方法避免了集中的故障点,确保可扩展性,并使计算对于针对这种计算的攻击来说有复原力。这些模块将在下面加以进一步描述。
所有模块通过Xnet上的注释来进行通信。XD模块1000标识似乎是行为不当的节点。针对可疑节点,RE模块1006从XCO模块1002获得驱动器和观察者节点的最小集合。RE模块1006使用驱动器节点对可疑节点进行主动探测,并且观察者节点利用该结果更新信任指标。XE模块1004模拟受损节点的扩展。
RE模块1006利用如下模型来形式化和量化信任,该模型依赖于基于与邻居的直接交互的本地计算,并且还通过并入其它节点的推荐(和经验)。将正式的主观逻辑和信任模型用于补充支持与节点如何值得信任的有关证据的原则性组合。通过采用混合分布式方法计算信任度来获得针对攻击的复原能力,从而避免单点故障,并且该方法对于所使用的控制和/或数据平面统计来说是不可知(agnostic)的。当RE模块在一节点中的1006信任度低于一定水平时,其在该节点上执行主动探测。为了最有效地进行此操作,XCO模块1002计算驱动器节点的最小集合,以发出挑战和观察者节点来观察结果。
该系统还采用双管齐下的方法来发现网络中的假信息源,采用Xnet相关性中的可疑变化的信息动态标识,以及这种受损节点的外观中趋势。首先,XD模块1000使用独特的信息动态频谱框架,以通过分析Xnet时间系列数据来预测复杂系统中关键转换的系统不稳定性。这标记节点以供RE模块1006进一步检查。第二,XE模块1004跟踪行为不当的节点中的趋势,并且与传染性和级联故障的模拟相匹配。XE模块1004将发出关于是否存在一模式的置信度指标,如果是,则RE模块1006可以将监视和测试资源集中于要被攻击的所预测下一节点。系统管理员可以使用这些信息来集中预防措施。
下面进一步详细描述的网络可控性分析,把超出节点的紧邻邻域的分析范围,扩展至基于从收集的直接数据推断的间接观察的数据。例如,通过监视节点处理的包的特征,可以推断较大网络的架构和动态属性,如网络大小和维度,以及节点之间的通信模式的动态以及可达性和连接性。
本文所述系统可以在各种各样的移动无线网络中实现,其非限制例包括:移动军事和执法网络(例如,士兵到士兵、传感器到传感器、地面和空中交通工具到交通工具);商业交通工具到交通工具,以及交通工具到基础设施网络(例如,DSRC V2V/V2I、WiFi、主动安全、信息娱乐);商业网状网络(metropolitan rooftop、WiMAX);以及无线基础设施ISP、蜂窝公司(例如,扩展数据容量)。该系统将显著改进这些和其它相关网络的安全性,其目前主要依赖于包级加密来降低外部入侵的概率,但不检测或防止“网络内部”攻击。关于该系统的具体细节将在下面加以更详细描述。
(3.1)操作概念
(3.1.1)初始化阶段
在初始化期间,网络管理员可以利用兼容连网栈、主机以及网络服务、应用、和针对该任务所必需的其它软件,来配置网络的每个物理节点,包括提供支持配置数据的模块套件。接着,可以创建Xnet(通信网络的分层表示),如采用描述在该网络上运行的应用和服务的数据表、它们的交互相关性、以及它们在正常操作下的行为动态的可观察特征(例如,节点度、通信流量特征、拓扑结构)的形式。网络可控性(NC)代码模块(如在美国专利申请No.14/625988)中被称为XCO)接收来自Xnet的应用相关性(AppDep)和网络相关性(NetDep)图形。对于有关Xnet的进一步细节来说,参考美国专利申请No.14/625988,其全部内容通过引用而并入于此。
(3.1.2)网络更新
虽然分析正在运作,但诸如NSDMiner(一种用于根据被动观察的网络通信量来自动发现网络服务相关性的技术)和Ettercap(一种针对在局域网(LAN)上的攻击的开源网络安全工具)的公共领域工具被用于读取消息包上的头部,并推断消息的最终起点和目的地。通过开始和结束时间以及起始节点和目的地节点来标识这些推断的事件。当每个事件Ei被接收时,其被添加至Xnet 300图形,作为所标识的起始节点和目的地节点之间的边。在Ei之前或开始时未开始,以及在Ei结束之后结束的任何事件都被去除。然后,对该图形执行可控性分析。
上述背景中的术语“图形”是指物理网络中通信实体之间的关系的抽象数学表示。而且,在该背景下,“节点”是指图形中的组元。然而,在另一背景下,“节点”可以引用网络中的物理无线电装置。术语“网络”最常指的是物理网络。
图3描绘了Xnet 300的构造。在初始化时,将基线开发网络(Xnet 300)数据库加载到网络中。在该背景下,该网络是物理无线电网络。每个物理无线电节点获得Xnet数据库的全部或一部分,其中,Xnet数据库是Xnet 300抽象图形的物理实例化。应用(AppDep)相关性图形302和网络(NetDep)相关性图形304及其交互相关性(由虚线表示)利用专业领域知识或者通过利用公共领域工具(如NSDMiner和Ettercap)进行自动推断,而先验建立。AppDep相关性图形302、NetDep相关性图形304、以及网络拓扑(NetTopo)相关性图形306之间的交互相关性基于网络中的软件配置。显著的是,图3左侧的“节点”(网络分析的实体/关系网络)表示物理无线电节点,而Xnet 300中描绘的“节点”表示该图形中的抽象节点。
(3.2)网络可控性
网络可控性分析确定了为控制网络全局状态所需的最小节点集。在本公开的实施方式中,采用最大匹配算法(参见用于描述最大匹配算法的参考文献No.1和No.2)来计算可控性。为控制网络所需的最小输入数(ND或,驱动器节点数)由总节点数减去最大匹配集中的节点数给出。这些节点(它们作为为控制网络全局状态所需的最小节点集的成员)被称作“驱动器节点”。一旦构建了Xnet 300,就可以在Xnet 300表示上计算许多标准网络科学算法。这些算法(指标)的非限制性示例在下面的表1中列出。例如,不同类型的中心性测量(例如,度(degree)、紧密(closeness)、介数(betweenness)(参见用于描述前述测量的参考文献No.14)可以用作这样的算法或指标。网络可控性指标针对在一时间窗口期间的节点之间的通信模式的图形表示来计算,其中,该图形包含的网络事件在特定网络事件之前或开始时开始,或者在该特定网络事件结束之前结束。在本公开中所述的方法的独特方面是,通过查看全局和局部可控性指标(如下表1中列出的那些)的随着时间的变化,来分析无线网络活动。表1包括被用于攻击检测和归因的可控性指标的示例。
表1:
(3.3)利用可控性分析的攻击检测和归因
图4A和图4B例示了针对基线25节点场景(在图4A中)和在军队研究实验室25节点场景(图4B)中的洪泛洪攻击(flooding attack)所计算的两个指标。在图4A和图4B的顶行中的指标是ne(永久扩张的一部分),而在图4A和图4B的底行中的指标是AC(i)(各节点的授权中心性)。显示的结果来自传输控制协议(TCP)通信量中的洪泛攻击,从网络中的20%的节点到单个节点、从100秒开始,持续130秒。该示例中的背景通信量由海军研究实验室(NRL:Naval Research Laboratory)PROTocol工程高级连网(PROTEAN:PROTocolEngineering Advanced Networking)研究组开发的称作MGEN的公共域程序生成。MGEN提供用于利用TCP和用户数据报协议(UDP)/因特网协议(IP)通信量来执行IP网络性能测试和测量的能力。这里示出了超文本传输协议(HTTP)通信量中的网络指标。当洪泛攻击发生时(如图4B所示),全局网络指标ne和本地网络指标AC(i)都显示与图4A所示的基线性能相比的异常行为。在100秒钟与225秒钟之间的模拟下,在没有大于零的指标值的情况下,异常是明显的。下一段描述了当平滑值达到零时,可以怎样平滑这种噪声图形,以使指标成为确定性信号。
应注意到,在图4A和图4B中,如在大多数指标标绘图中,该指标值可以以嘈杂的方式变化,所以有必要通过一些技术来平滑该图形,如中值滤波器。然后,可以选择一阈值,使得攻击行为与基线行为之间存在明显的差异。例如,在图4A和图4B中,对于基线(图4A)和攻击(图4B)两者来说,两个指标实际上在大约100秒的时间变为零。然而,基线间隙相当短。平滑滤波器应被配置成使在这么短的时间间隙内平滑。可以使用自动机器学习系统来发现恰当阈值,给出了平滑基线和攻击指标数据的示例。在本公开的实施方式中,出于该目的,使用支持矢量机(SVM),尽管有许多其它机器学习方法可以加以应用。SVM可以学习在特征超空间中寻找可以将基线性能(图4A)的示例与攻击行为(图4B)的示例分离的平面,如图5B中所绘。
图5A例示了训练处理500和随后的在线分类/检测处理502。示出了基于有关网络通信活动的网络可控性指标,来使用SVM以寻找用于分类基线与攻击行为的阈值的非限制性示例。通过在没有攻击的情况下运行网络来捕获基线活动。XAE 504是Xnet分析引擎,其将训练情景506的原始网络包数据变成Xnet图形。该Xnet图形包含从Xnet图形中提取特征矢量508的NC模块,其是可控性指标(目前的35个指标),如上表1中列出的那些。特征矢量508会被最方便地离线捕获并存储为针对每个时间窗的所有指标值的一个矢量,从而当针对各种时间窗的特征矢量508被捕获和组合时,产生一矩阵。另外,通过对基准情景执行攻击,并再次通过XAE 504运行它们来提取特征矢量508,提供了攻击的示例。然后,通过呈现每个特征矢量508以及二值矢量来训练SVM(即,svm_learn 510),其针对每个时间段,指示是否存在攻击,从而导致经训练的分类器模型512。一旦SVM(即svm_learn 510)被训练,其就可以在实时在线网络操作(实时在线数据511)期间运行,并且将指示在分类/检测处理502中何时出现攻击。具体来说,在正常在线操作期间,XAE系统514被用于从当前原始网络包数据中提取采样特征516,其与训练模型512一起被输入至SVM,然后该SVM可以用于对采样特征516进行分类(即,svm_classify 518)并且进行有关存在(即,好)或不存在(即,差)攻击的预测520。通过XAE输出的特征(训练期间为508,而在线测试为516)是来自表1中每个指标之一,其如上所述进行平滑处理,并变成有关该值是异常还是不异常的二值指示。这可以被可视化为点(dot)或二极管的可视面板,其描绘一种特定模式,以指示是否存在攻击,以及其是什么样的攻击。
图5B描绘了SVM如何学习根据输入空间524,在这样的特征空间522中找到平面520。平面520可以将基线性能526的示例与攻击行为528的示例分开。利用已知的内核Φ530来应用SVM(例如,参见图5B中的方程)。内核是在多对数据点(即,在标记的训练设定点与未标记的测试点之间)上的相似度函数。通过呈现攻击示例和基线示例(无攻击)来进行训练。SVM通过寻找可以被描述为定义将基线与攻击分离的超平面的权重,来学习将攻击情况与基线分离。随后,应用该训练模型并且使用相似度函数(内核Φ530),以将新的未标记输入分类为更类似于攻击或基线点。在图5B中,每个圆圈表示一数据点。具体地说,每个数据点是当前35组元特征矢量的值。
用户可以将每个网络指标视为“二极管”,并且35个网络指标可以显示在面板中,如图6A到图9所示的那些。在发生攻击时,特定的一组二极管将点亮或改变颜色。该模式可用于高效的攻击检测和归因。表1中的网络指标可以应用于不同的网络协议层(例如,UDP、TCP、HTTP),并且可以在分离面板中显示针对每个协议层的所得二值“异常/无异常”输出。不同的层(即,不同的网络协议)可能产生不同的模式。图9例示了用于HTTP、TCP、以及网络的连接层的分离面板。组合来自不同层的所有二极管图案使得能够更准确地执行攻击检测和归因。
图6A和图6B示出了利用所有35个网络指标的用于攻击检测和归因的二极管图案的示例,其中,每个二极管(圆圈)表示一网络指标。在网络攻击期间的归因意味着标识该攻击节点。具体地,图6A描绘了用于基线活动的35个网络指标,而图6B描绘了在HTTP洪泛攻击期间的35个网络指标。洪泛攻击导致节点有效地用完网络带宽来广播消息,使得合法消息无法通过。在发生攻击时显示异常行为的那些网络指标被加亮。在图6B(和类似图)中,全局和局部指标分别由图案填充圆圈600和实心填充圆圈602表示。
图7A例示了用于基线活动的35个网络指标,而图7B例示了在全部丢弃攻击期间的35个网络指标。在丢弃攻击中,一节点向每个地方广播自身为最短路径,然后丢弃要求路由至其它节点的任何包。
图8A例示了用于基线活动的35个网络指标,而图8B描绘了在全部重置攻击期间的35个网络指标。重置攻击是一种中间人攻击,其中,攻击者正在通过向相关方发送伪造的TCP重置包,来破坏它们获知的活动TCP连接。这导致TCP连接中的两个参与者都相信另一个终止了TCP连接。
图6B、图7B以及图8B的每个图中的七个概述节点表示在上表1中标识的局部指标。其它节点表示全局指标。图6B、图7B以及图8B中的不同图案反映出每个攻击对网络的影响不同的事实。每个指标衡量网络活动的不同方面,所以在指标面板制成的图案显著地指示不同的攻击。这就是为什么采用许多指标是有用的。
图9总结了针对所有三种攻击模型的攻击检测和归因的结果:利用三个不同层(HTTP、TCP以及IP连接)的洪泛攻击、全部丢弃攻击以及全部重置攻击。所有三个层被视为图3中的NetDep(组元304)的子层。
移动无线网络正在经历应用方面的广泛使用,如移动交通工具到交通工具网络、用户到用户网络、传感器到传感器网络、交通工具到基础设施网络、商业网状网络、无线基础设施因特网服务提供商(ISP)、以及蜂窝公司。根据本公开实施方式的该系统将显著改进这些和其它相关网络的安全性,其目前主要依赖于包级加密来降低外部入侵的概率,但不检测或防止“网络内部”攻击。
在一个实施方式中,在标识网络中存在假信息之后,该系统执行操作来归因谁负责该攻击。在将该攻击归因于一实体之后,该系统可以采取行动来减轻攻击。缓减动作的非限制性示例将是隔离该攻击节点(即,物理无线电)。例如,该动作可以包括通知该网络中的每一个其它节点,以简单地忽略该攻击节点发送的任何内容,而不向该攻击节点发送任何内容,或者不通过该攻击节点发送任何内容。
本文所述的系统的实现采取一组算法的形式,其提供对无线网络的控制层面中的假信息源的快速且准确的检测和预测。该算法/模块是该工具的协议不可知(agnostic)特性,其使能够将其转变成各种各样的网络安全系统,包括无线和有线网络。而且,该方法的固有可扩展性使其非常适合在更大的网络中轻松操作。
最后,虽然本发明已经根据几个实施方式进行了描述,但本领域普通技术人员应当容易地认识到本发明在其它环境中可以具有其它应用。应注意到,许多实施方式和实施都是可以的。而且,所附权利要求书绝不是旨在将本发明的范围限制成上述具体实施方式。另外,“用于…的装置(means)”的任何陈述都旨在唤起对一部件和一权利要求的装置加功能的解读,而不具体使用陈述“用于…的装置(means)”的任何部件不是旨在被解读为装置加功能组件,即使权利要求以其它方式包括了单词“装置(means)”。而且,虽然已经按特定次序陈述了特定的方法步骤,但该方法步骤可以按任何希望次序发生并且落入本发明的范围内。
Claims (21)
1.一种用于检测通信网络上的假信息的攻击的系统,该系统包括:
一个或更多个处理器和非暂时性存储器,在该非暂时性存储器上具有编码的指令,使得当执行所述指令时,所述一个或更多个处理器执行以下操作:
针对包括多个节点的通信网络的表示,计算多个网络可控性指标;
检测所述多个网络可控性指标中的变化;以及
利用检测到的变化,来检测所述通信网络上的假信息的攻击。
2.根据权利要求1所述的系统,其中,所述表示包括:所述通信网络内的网络拓扑、网络相关性、以及应用相关性。
3.根据权利要求1所述的系统,其中,所述多个网络可控性指标被计算为,在给定时间窗口期间所述通信网络的多个节点之间的通信的模式的函数。
4.根据权利要求1所述的系统,其中,给定表示基线行为的网络可控性指标数据的一组示例、以及表示攻击行为的网络可控性指标数据的一组示例,机器学习分类器基于所述基线行为与所述攻击行为之间的差异,来确定用于攻击检测的阈值。
5.根据权利要求4所述的系统,其中,每个网络可控性指标被表示为二极管图案面板中的二极管,其中,如根据用于攻击检测的阈值所确定的、显示攻击行为的网络可控性指标在所述二极管图案面板中被加亮。
6.一种用于检测通信网络上的假信息的攻击的计算机实现方法,该方法包括:
使一个或更多个处理器执行存储在非暂时性存储器上的指令的动作,使得在执行时,所述一个或更多个处理器执行以下操作:
针对包括多个节点的通信网络的表示,计算多个网络可控性指标;
检测所述多个网络可控性指标中的变化;以及
利用检测到的变化,来检测所述通信网络上的假信息的攻击。
7.根据权利要求6所述的方法,其中,所述表示包括:所述通信网络内的网络拓扑、网络相关性、以及应用相关性。
8.根据权利要求6所述的方法,其中,所述多个网络可控性指标被计算为,在给定时间窗口期间所述通信网络的多个节点之间的通信的模式的函数。
9.根据权利要求6所述的方法,其中,给定表示基线行为的网络可控性指标数据的一组示例、以及表示攻击行为的网络可控性指标数据的一组示例,机器学习分类器基于所述基线行为与所述攻击行为之间的差异,来确定用于攻击检测的阈值。
10.根据权利要求9所述的方法,其中,每个网络可控性指标被表示为二极管图案面板中的二极管,其中,如根据用于攻击检测的阈值所确定的、显示攻击行为的网络可控性指标在所述二极管图案面板中被加亮。
11.一种用于检测通信网络上的假信息的攻击的计算机程序产品,该计算机程序产品包括:
存储在非暂时性计算机可读介质上的计算机可读指令,该计算机可读指令能够通过具有一个或更多个处理器的计算机来执行,以使所述处理器执行以下操作:
针对包括多个节点的通信网络的表示,计算多个网络可控性指标;
检测所述多个网络可控性指标中的变化;以及
利用检测到的变化,来检测所述通信网络上的假信息的攻击。
12.根据权利要求11所述的计算机程序产品,其中,所述表示包括:所述通信网络内的网络拓扑、网络相关性、以及应用相关性。
13.根据权利要求11所述的计算机程序产品,其中,所述多个网络可控性指标被计算为,在给定时间窗口期间所述通信网络的多个节点之间的通信的模式的函数。
14.根据权利要求11所述的计算机程序产品,其中,给定表示基线行为的网络可控性指标数据的一组示例、以及表示攻击行为的网络可控性指标数据的一组示例,机器学习分类器基于所述基线行为与所述攻击行为之间的差异,来确定用于攻击检测的阈值。
15.根据权利要求14所述的计算机程序产品,其中,每个网络可控性指标被表示为二极管图案面板中的二极管,其中,如根据所述用于攻击检测的阈值所确定的、显示攻击行为的网络可控性指标在所述二极管图案面板中被加亮。
16.根据权利要求1所述的系统,其中,当检测到所述通信网络上的假信息的攻击时,所述一个或更多个处理器还执行:执行缓减动作的操作。
17.根据权利要求16所述的系统,其中,所述缓减动作包括:将一攻击节点从所述通信网络的剩余部分隔离。
18.根据权利要求17所述的系统,其中,所述缓减动作包括:通知所述通信网络中的每一个其它节点,以忽略所述攻击节点发送的任何内容,并且不向所述攻击节点发送任何内容,或者不通过所述攻击节点发送任何内容。
19.根据权利要求1所述的系统,其中,所述一个或更多个处理器还执行以下操作:
输出表示所述多个网络可控性指标中的每一个网络可控性指标的特征;
将每一个特征转换成值是异常或不异常的二元指示;以及
利用所述二元指示,来检测所述多个网络可控性指标中的变化。
20.根据权利要求1所述的系统,其中,所述表示是所述通信网络内的网络拓扑、网络相关性,以及应用相关性的图形表示。
21.根据权利要求1所述的系统,其中,针对在给定时间窗口期间所述通信网络的多个节点之间的通信的模式的图形表示,来计算所述多个网络可控性指标。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562135136P | 2015-03-18 | 2015-03-18 | |
| US201562135142P | 2015-03-18 | 2015-03-18 | |
| US62/135,142 | 2015-03-18 | ||
| US62/135,136 | 2015-03-18 | ||
| PCT/US2016/023308 WO2016204839A2 (en) | 2015-03-18 | 2016-03-18 | System and method to detect attacks on mobile wireless networks based on network controllability analysis |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107251519A true CN107251519A (zh) | 2017-10-13 |
| CN107251519B CN107251519B (zh) | 2020-06-12 |
Family
ID=57546242
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680010942.5A Active CN107409124B (zh) | 2015-03-18 | 2016-03-18 | 检测对网络的攻击的系统、方法和计算机可读存储介质 |
| CN201680010741.5A Active CN107251519B (zh) | 2015-03-18 | 2016-03-18 | 用于检测通信网络上的假信息的攻击的系统、方法和介质 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680010942.5A Active CN107409124B (zh) | 2015-03-18 | 2016-03-18 | 检测对网络的攻击的系统、方法和计算机可读存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| EP (2) | EP3272075A4 (zh) |
| CN (2) | CN107409124B (zh) |
| WO (2) | WO2016204839A2 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10897471B2 (en) | 2018-01-30 | 2021-01-19 | Hewlett Packard Enterprise Development Lp | Indicating malicious entities based on multicast communication patterns |
| CN110706743A (zh) * | 2019-10-14 | 2020-01-17 | 福建师范大学 | 一种平衡采样与图检索的蛋白质互作网络模体检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060010493A1 (en) * | 2003-04-01 | 2006-01-12 | Lockheed Martin Corporation | Attack impact prediction system |
| US20100250497A1 (en) * | 2007-01-05 | 2010-09-30 | Redlich Ron M | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
| US20130091573A1 (en) * | 2002-12-24 | 2013-04-11 | Frederick S.M. Herz | System and method for a distributed application of a network security system (sdi-scam) |
| CN103957525A (zh) * | 2014-05-12 | 2014-07-30 | 江苏大学 | 车联网中基于分簇信任评估的恶意节点检测方法 |
| WO2014118362A1 (en) * | 2013-02-01 | 2014-08-07 | Siemens Aktiengesellschaft | Method and apparatus for monitoring security intrusion of a distributed computer system |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7529187B1 (en) * | 2004-05-04 | 2009-05-05 | Symantec Corporation | Detecting network evasion and misinformation |
| US20060230450A1 (en) * | 2005-03-31 | 2006-10-12 | Tian Bu | Methods and devices for defending a 3G wireless network against a signaling attack |
| US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| US20070180521A1 (en) * | 2006-01-31 | 2007-08-02 | International Business Machines Corporation | System and method for usage-based misinformation detection and response |
| KR100767589B1 (ko) * | 2006-07-20 | 2007-10-17 | 성균관대학교산학협력단 | 디렉티드 디퓨젼 기반의 센서 네트워크를 위한 퍼지 로직침입 탐지 기법 |
| CN101309180B (zh) * | 2008-06-21 | 2010-12-08 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| US8850578B2 (en) * | 2008-08-06 | 2014-09-30 | International Business Machines Corporation | Network intrusion detection |
| US8312542B2 (en) * | 2008-10-29 | 2012-11-13 | Lockheed Martin Corporation | Network intrusion detection using MDL compress for deep packet inspection |
| US8245301B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network intrusion detection visualization |
| US8245302B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network attack visualization and response through intelligent icons |
| CN101800989B (zh) * | 2010-01-19 | 2013-07-10 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
| US8683591B2 (en) * | 2010-11-18 | 2014-03-25 | Nant Holdings Ip, Llc | Vector-based anomaly detection |
| WO2012142287A2 (en) * | 2011-04-14 | 2012-10-18 | Lockheed Martin Corporation | Dynamically reconfigurable 2d topology communication and verification scheme |
| US8560681B2 (en) * | 2011-05-10 | 2013-10-15 | Telefonica, S.A. | Method of characterizing a social network communication using motifs |
| CN102869006B (zh) * | 2012-09-13 | 2016-02-17 | 柳州职业技术学院 | 无线传感器网络层次型入侵诊断处理系统及其方法 |
| CN104348811B (zh) * | 2013-08-05 | 2018-01-26 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
-
2016
- 2016-03-18 WO PCT/US2016/023308 patent/WO2016204839A2/en active Application Filing
- 2016-03-18 EP EP16812078.0A patent/EP3272075A4/en active Pending
- 2016-03-18 WO PCT/US2016/023307 patent/WO2016204838A2/en active Application Filing
- 2016-03-18 CN CN201680010942.5A patent/CN107409124B/zh active Active
- 2016-03-18 EP EP16812077.2A patent/EP3272102A4/en active Pending
- 2016-03-18 CN CN201680010741.5A patent/CN107251519B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130091573A1 (en) * | 2002-12-24 | 2013-04-11 | Frederick S.M. Herz | System and method for a distributed application of a network security system (sdi-scam) |
| US20060010493A1 (en) * | 2003-04-01 | 2006-01-12 | Lockheed Martin Corporation | Attack impact prediction system |
| US20100250497A1 (en) * | 2007-01-05 | 2010-09-30 | Redlich Ron M | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
| WO2014118362A1 (en) * | 2013-02-01 | 2014-08-07 | Siemens Aktiengesellschaft | Method and apparatus for monitoring security intrusion of a distributed computer system |
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| CN103957525A (zh) * | 2014-05-12 | 2014-07-30 | 江苏大学 | 车联网中基于分簇信任评估的恶意节点检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016204839A2 (en) | 2016-12-22 |
| EP3272075A2 (en) | 2018-01-24 |
| EP3272102A4 (en) | 2018-11-14 |
| EP3272075A4 (en) | 2018-12-05 |
| WO2016204838A3 (en) | 2017-01-26 |
| CN107409124A (zh) | 2017-11-28 |
| EP3272102A2 (en) | 2018-01-24 |
| WO2016204838A9 (en) | 2017-06-15 |
| CN107409124B (zh) | 2020-09-15 |
| WO2016204838A2 (en) | 2016-12-22 |
| WO2016204839A3 (en) | 2017-01-26 |
| CN107251519B (zh) | 2020-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Do et al. | Deep learning for phishing detection: Taxonomy, current challenges and future directions | |
| US20210019674A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| Li et al. | Data fusion for network intrusion detection: a review | |
| Shandilya et al. | Use of attack graphs in security systems | |
| Mohmand et al. | A machine learning-based classification and prediction technique for DDoS attacks | |
| Wang et al. | Constructing important features from massive network traffic for lightweight intrusion detection | |
| Hariharan et al. | XAI for intrusion detection system: comparing explanations based on global and local scope | |
| Nour et al. | A survey on threat hunting in enterprise networks | |
| Kotenko et al. | Methodology for management of the protection system of smart power supply networks in the context of cyberattacks | |
| Jiang et al. | Sok: Applying machine learning in security-a survey | |
| Mao et al. | A comprehensive algorithm for evaluating node influences in social networks based on preference analysis and random walk | |
| US20240241752A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| Alhayali et al. | Optimized machine learning algorithm for intrusion detection | |
| Wang et al. | [Retracted] Intrusion Detection for Industrial Control Systems Based on Open Set Artificial Neural Network | |
| Hameed et al. | IOTA‐Based Mobile Crowd Sensing: Detection of Fake Sensing Using Logit‐Boosted Machine Learning Algorithms | |
| Duy et al. | Investigating on the robustness of flow-based intrusion detection system against adversarial samples using Generative Adversarial Networks | |
| Pandey | Design and performance analysis of various feature selection methods for anomaly‐based techniques in intrusion detection system | |
| Goyal et al. | A semantic machine learning approach for cyber security monitoring | |
| Arreche et al. | XAI-IDS: Toward Proposing an Explainable Artificial Intelligence Framework for Enhancing Network Intrusion Detection Systems | |
| Jayabalasamy et al. | Application of Graph Theory for Blockchain Technologies | |
| Zhao et al. | A situation awareness approach for network security using the fusion model | |
| Sahu et al. | Inter-domain fusion for enhanced intrusion detection in power systems: An evidence theoretic and meta-heuristic approach | |
| CN107251519A (zh) | 基于网络可控性分析来检测对移动无线网络的攻击的系统和方法 | |
| Xu et al. | Cybersecurity in Intelligent Networking Systems | |
| Mahajan et al. | Jaya-Mutated Leader Algorithm Based Deep Feed Forward Neural Network for Intrusion Detection Using Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |