2025年, 第25卷, 第1期
刊出日期:2025-01-10
上一期   

目录
理论研究
技术研究
网域动态
全选选: 隐藏/显示图片
目录
第25卷第1期目次
2025 (1):  0-0. 
摘要 ( 32 )   PDF(1777KB) ( 33 )  
相关文章 | 计量指标
理论研究
基于模糊测试的Java反序列化漏洞挖掘
王鹃, 张勃显, 张志杰, 谢海宁, 付金涛, 王洋
2025 (1):  1-12.  doi: 10.3969/j.issn.1671-1122.2025.01.001
摘要 ( 76 )   HTML ( 19 )   PDF(14180KB) ( 57 )  

随着反序列化技术在Java Web应用开发中的广泛应用,针对Java反序列化机制的攻击也日益增多,已严重威胁Java Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反序列化漏洞利用,而现有的Java反序列化漏洞挖掘工具大多依赖静态分析方法,检测精确度较低。文章提出一种基于模糊测试的Java反序列化漏洞挖掘工具DSM-Fuzz,该工具首先通过对字节码进行双向追踪污点分析,提取所有可能与反序列化相关的函数调用链。然后,利用基于TrustRank算法的函数权值分配策略,评估函数与反序列化调用链的关联性,并根据相关性权值对模糊测试种子分配能量。为进一步优化测试用例的语法结构和语义特征,文章设计并实现了一种基于反序列化特征的种子变异算法。该算法利用反序列化的Java对象内部特征优化种子变异过程,并引导模糊测试策略对反序列化漏洞调用链进行路径突破。实验结果表明,DSM-Fuzz在漏洞相关代码覆盖量方面较其他工具提高了约90%。此外,该工具还在多个主流Java库中成功检测出50%的已知反序列化漏洞,检测精确度显著优于其他漏洞检测工具。因此,DSM-Fuzz可有效辅助Java反序列化漏洞的检测和防护。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于PUF的电力物联网智能终端认证协议
袁征, 张跃飞, 冯笑, 乔雅馨
2025 (1):  13-26.  doi: 10.3969/j.issn.1671-1122.2025.01.002
摘要 ( 33 )   HTML ( 6 )   PDF(17218KB) ( 21 )  

电力系统逐步向智能化和数字化转型,越来越多的终端设备通过物联网技术实现互联和数据共享,但由于设备多样性、资源受限、通信环境复杂、物理分布广泛等特点以及高实时性需求,电力物联网智能终端安全验证在密码破解、仿冒攻击和复杂性等方面面临严峻的挑战。为应对电力物联网智能终端在通信中的认证安全性挑战,引入PUF技术并设计扩展CRP结构,提出一种基于物理不可克隆函数(PUF)的电力物联网智能终端认证协议。使用ProVerif工具和Tamarin工具进行模拟实验,证明该协议能够有效抵御常见攻击,如中间人攻击和仿冒攻击等,对轻量级和双向认证等协议特征进行理论分析,并与相似方案进行比较,结果显示该方案在多方面具有显著优势。该研究为电力物联网智能终端的安全认证提供了一种高效的解决方案,不仅弥补了传统认证方案的不足,还为未来的电力物联网系统提供更为安全可靠的技术基础,有助于提升电力系统的整体安全水平和运行效率。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于逻辑$\chi $态的三方半量子密钥协商协议
何业锋, 蔡明月, 梁熙媛
2025 (1):  27-35.  doi: 10.3969/j.issn.1671-1122.2025.01.003
摘要 ( 27 )   HTML ( 5 )   PDF(9649KB) ( 8 )  

半量子密钥协商适用于参与者能力较低或承担不起昂贵设备的情况,比传统的量子密钥协商更符合实际需求。然而,目前三方半量子密钥协商协议的研究较少且普遍存在效率较低的问题。为此,文章提出一种基于逻辑六比特$\chi $型态的三方半量子密钥协商协议,该协议充分利用了逻辑六比特$\chi $型态的纠缠特性,通过简单的幺正操作和粒子测量,实现了在无需可信第三方介入的情况下两个半量子方与一个全量子方之间公平的密钥协商。该协议不仅提高了量子比特效率还具备抵御参与者攻击和外部攻击的能力。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于中国剩余定理的可编辑区块链方案研究
王勇, 武一帆, 万前程
2025 (1):  36-47.  doi: 10.3969/j.issn.1671-1122.2025.01.004
摘要 ( 37 )   HTML ( 4 )   PDF(14172KB) ( 12 )  

在区块链和智能合约的快速发展过程中,数据和合约的可更新性需求日益突出。为了在不损害区块链的安全性、连贯性和完整性的前提下实现数据修改,人们提出了可编辑区块链的概念。其中,变色龙哈希算法成为了编辑区块数据的一种重要手段。文章提出一种基于中国剩余定理的可编辑区块链方案,该方案设计了一种基于去中心化权重密钥生成的变色龙哈希算法。通过利用阈值和加权的秘密共享技术,以及多方计算,确保了密钥的安全性和隐蔽性。同时,该方案通过去除可信中心机构与秘密分发者的设置,有效防止了机构单点失效和潜在的恶意行为。此外,该方案还采用了具有隐私保护功能的群签名技术,能够在不主动暴露签名者身份的情况下,确认并追踪编辑者的身份,从而确保了可编辑区块链的匿名性和可靠性。文章对该方案进行了全面的安全性分析和实验评估,并与现有的可编辑区块链方案进行了对比,结果表明,该方案在显著提升安全性的同时,仍然能够保持较高的运行效率。

数据和表 | 参考文献 | 相关文章 | 计量指标
车联网中基于证书的局部可验证聚合签名方案
夏喆, 夏学志, 吕文杰, 张明武
2025 (1):  48-62.  doi: 10.3969/j.issn.1671-1122.2025.01.005
摘要 ( 31 )   HTML ( 9 )   PDF(15830KB) ( 18 )  

车联网作为车辆与外界的实时通信和信息交换的重要桥梁,可以提高交通安全性、优化交通效率和提升公共服务质量,在智能交通系统和未来智慧城市的发展中具有重要的作用。随着车联网的普及,其中的身份匿名、消息认证、位置隐私等通信安全问题也得到广泛关注。文章提出一种在车联网中基于证书的局部可验证聚合签名隐私保护认证方案,实现安全的车辆到基础设施(V2I)通信。与传统基于身份的聚合签名方案相比,该方案不仅解决了传统基于身份签名方案的密钥托管问题,平衡了权威机构监管和用户隐私之间的矛盾,还在数据验证方面,实现了对车辆数据的批量验证和有效的局部验证,能够验证特定数据块的正确性而不需要知道整个消息序列,降低了额外开销。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于异构数据的联邦学习自适应差分隐私方法研究
徐茹枝, 仝雨蒙, 戴理朋
2025 (1):  63-77.  doi: 10.3969/j.issn.1671-1122.2025.01.006
摘要 ( 38 )   HTML ( 6 )   PDF(19148KB) ( 17 )  

在联邦学习中,由于需要大量的参数交换,可能会引发来自不可信参与设备的安全威胁。为了保护训练数据和模型参数,必须采用有效的隐私保护措施。鉴于异构数据的不均衡特性,文章提出一种自适应性差分隐私方法来保护基于异构数据的联邦学习的安全性。首先为不同的客户端设置不同的初始隐私预算,对局部模型的梯度参数添加高斯噪声;其次在训练过程中根据每一轮迭代的损失函数值,动态调整各个客户端的隐私预算,加快收敛速度;接着设定一个可信的中央节点,对不同客户端的局部模型的每一层参数进行随机交换,然后将混淆过后的局部模型参数上传到中央服务器进行聚合;最后中央服务器聚合可信中央节点上传的混淆参数,根据预先设定的全局隐私预算阈值,对全局模型添加合适的噪声,进行隐私修正,实现服务器层面的隐私保护。实验结果表明,在相同的异构数据条件下,相对于普通的差分隐私方法,该方法具有更快的收敛速度以及更好的模型性能。

数据和表 | 参考文献 | 相关文章 | 计量指标
对抗DDoS攻击的新型分布式大规模流量清洗方案
高汉成, 黄海平
2025 (1):  78-87.  doi: 10.3969/j.issn.1671-1122.2025.01.007
摘要 ( 36 )   HTML ( 10 )   PDF(12643KB) ( 19 )  

随着网络安全威胁的不断加剧,分布式拒绝服务对网络稳定性和业务连续性带来了前所未有的挑战。文章提出一种新型分布式大规模流量清洗方案,旨在有效应对DDoS攻击。该方案利用实时端口流量镜像技术和深度包检测技术,实现对恶意流量的快速识别和清洗,并且通过在网络边缘设备上直接清洗攻击流量,避免了带宽浪费和网络拥塞。实验通过模拟正常流量和恶意流量,利用所提方案对流量进行监控和清洗,实验结果表明,该方案能显著提高DDoS攻击流量的拦截和清洗效率,具有较好的实际应用价值。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于多密钥同态加密的电子投票协议
张洋, 魏荣, 尤启迪, 蒋小彤
2025 (1):  88-97.  doi: 10.3969/j.issn.1671-1122.2025.01.008
摘要 ( 23 )   HTML ( 4 )   PDF(10620KB) ( 9 )  

电子投票方案由于其效率和结果的准确性受到越来越多的关注,然而其安全问题一直是电子投票的瓶颈。文章利用无密文扩展的多密钥同态加密算法构造一个电子投票协议,该协议可以在密文状态下实现投票合法性验证和投票统计,利用分布式解密完成投票结果的公布。无密文扩展的多密钥同态加密算法能够保证选票的密文与投票者人数无关,确保投票者身份和选票全周期的隐私性。通过理论证明,文章提出的基于多密钥同态加密的电子投票协议具备多种安全性和正确性。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于多权威属性基加密的智能电网数据安全共享模型
张新有, 刘庆夫, 冯力, 邢焕来
2025 (1):  98-109.  doi: 10.3969/j.issn.1671-1122.2025.01.009
摘要 ( 26 )   HTML ( 3 )   PDF(26143KB) ( 13 )  

智能电网通过共享把数据的潜在价值转化为实际利益,因此保障数据共享的安全至关重要。文章面向智能电网场景中数据的细粒度访问控制,提出一种基于多权威属性基加密(MA-ABE)的数据安全共享模型。文章使用线性整数秘密共享方案(LSSS)构建MA-ABE方案,实现一个属性可被多个权威监控,多个权威可联合生成用户私钥,使得方案可抵抗针对属性权威机构(AA)的合谋攻击。将每个权威与一条区块链关联,并利用中继技术实现多链协同,保障数据跨域共享灵活性。通过安全规约证明了所提MA-ABE方案在基于判定性双线Diffie-Hellman假设的前提下满足选择明文攻击下的不可区分性(IND-CPA)安全性。文章通过理论分析和对比实验说明了MA-ABE方案在存储、计算以及功能性方面均有一定的优势。仿真结果表明,模型的吞吐量和时延满足了智能电网数据共享的需求,能够在保证智能电网数据共享性能的情况下,适用于智能电网的细粒度访问控制。

数据和表 | 参考文献 | 相关文章 | 计量指标
面向高速网络流实时处理的资源自适应伸缩方法
康仕才, 陈良国, 陈兴蜀
2025 (1):  110-123.  doi: 10.3969/j.issn.1671-1122.2025.01.010
摘要 ( 28 )   HTML ( 5 )   PDF(17398KB) ( 8 )  

在流处理中,静态资源配置难以应对实时变化且具有突发性的流数据负载,因此需要引入弹性机制。然而,在确定弹性伸缩时机和伸缩策略时,若未充分考虑伸缩的成本与收益之间的平衡,则会引发资源频繁调整,导致系统不稳定或效率降低。为解决这一问题,文章提出一种资源自适应伸缩算法,该算法通过分析流数据负载规模和资源使用情况,确定资源伸缩的方向和规模。同时,该算法采用一种最大平均处理吞吐量方法,以伸缩操作前后的处理吞吐量为量化指标评估资源伸缩所带来的开销与收益,优化伸缩策略,避免不必要的资源频繁调整。基于该算法,文章设计了网络流弹性处理框架,以实现框架的灵活扩展与资源的动态调整。在不同网络带宽场景下对框架进行测试,实验结果表明,该算法能够有效权衡开销与收益,精确实现资源的伸缩,应用该算法后,框架资源利用率提高40%以上,能够满足高速网络流处理的性能需求。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于子树序列规则挖掘的Dockerfile误配置检测和修复方法
王金双, 赵宁, 崔帅
2025 (1):  124-132.  doi: 10.3969/j.issn.1671-1122.2025.01.011
摘要 ( 20 )   HTML ( 4 )   PDF(11523KB) ( 10 )  

Dockerfile是用于构建Docker容器镜像的文本文件,它包含一系列指令和配置,用于描述如何组装一个Docker容器的运行环境。然而,配置不当的Dockerfile可能引发很多性能与安全方面的问题。现有基于规则挖掘的检测与修复方法主要关注常见命令内部的关联性,忽略了命令之间的依赖联系。这些方法通常侧重于高频命令,容易遗漏低频命令中的隐藏规律。针对上述问题,文章提出一种基于子树序列规则挖掘的Dockerfile误配置检测和修复方法。首先,将Dockerfile转化为抽象语法树,进一步分解为有序子树,并对子树进行序列化处理,以构建中间表示。随后,通过对子树进行聚类分组,并采用序列规则挖掘算法对各分组执行规则挖掘。在规则挖掘过程中,将规则前项限定为子树根节点,从而有效聚焦目标指令并抑制规则生成的爆发式增长。最后,进一步筛选最大序列规则,提取常用命令搭配模式,并总结归纳语义规则作为基准,用于Dockerfile的违规检测和自动修复。实验结果表明,该方法成功挖掘出31条语义规则,其中包括12条未公开规则。在违规检测精确率方面,相较于基准方法提升了10%;在修复成功率方面,相较于基准方法提升了5.6%。

数据和表 | 参考文献 | 相关文章 | 计量指标
一个用于Java应用程序运行时保护的混合系统
江昊, 刘成杰, 文伟平
2025 (1):  134-148.  doi: 10.3969/j.issn.1671-1122.2025.01.012
摘要 ( 28 )   HTML ( 5 )   PDF(15505KB) ( 9 )  

近年来,应用程序运行时自我保护RASP技术作为一种嵌入式防护机制,广泛应用于检测和防御Web应用程序中的常见攻击,如SQL注入、跨站脚本XSS攻击以及Java反序列化攻击。然而,现有RASP系统多采用基于黑名单的检测方法,容易被绕过且难以应对新型攻击。为此,文章提出一种混合系统HP-RASP,该系统结合启发式规则和深度学习模型,在应用程序运行时提供自适应的安全保护。文章将BERT模型引入RASP系统,用于分析和检测SQL注入攻击,同时通过对常见方法调用栈进行监控和黑名单匹配,防御XSS和反序列化攻击。HP-RASP利用Java插桩技术,动态插入关键类和方法的监控逻辑,实现对Web请求的实时分析。文章在多个开源数据集上评估了该系统的检测性能,并将其与当前主流RASP系统OpenRASP进行了对比。实验结果表明,在检测准确率、性能开销和系统鲁棒性方面,HP-RASP相较现有方案均有显著提升;在SQL注入方面,准确率达到81.9%,比OpenRASP提升了1.84倍,召回率和F1分数也显著高于OpenRASP;在XSS防护方面,HP-RASP对反射型XSS和存储型XSS的召回率均达到99.9%,对反序列化攻击的召回率达到84.6%;在响应时间和资源消耗方面,HP-RASP表现良好,并未显著增加响应时间和资源消耗。

数据和表 | 参考文献 | 相关文章 | 计量指标
技术研究
基于最优传输与改进型极限学习机的加密流量分类方法
邰滢滢, 魏苑苑, 周翰逊, 王妍
2025 (1):  148-158.  doi: 10.3969/j.issn.1671-1122.2025.01.013
摘要 ( 29 )   HTML ( 4 )   PDF(12903KB) ( 11 )  

为了解决加密流量分类任务中的数据不平衡以及模型微调过程中资源与时间消耗高的问题,文章提出一种名为CEFT的微调模型对加密流量进行分类。CEFT的预训练模型为ET-BERT,在此基础上引入最优传输OT和改进型极限学习机I-ELM模块,提升分类性能的同时,达到提高训练效率的目的。CEFT先将加密流量送入ET-BERT模型,实现特征提取,再接入最优传输模块,用以衡量模型预测与真实分布之间的传输成本。CEFT通过权重调整来使其最小化,使得模型在不同类别间的预测更加准确,从而有效应对数据不平衡问题。同时,CEFT通过引入I-ELM模块,实现快速权重更新,进而减少冗长的梯度计算,加速训练过程,解决资源和时间消耗高的问题。实验结果表明,CEFT在ISCX-VPN-Service和ISCX-VPN-App数据集上的准确率分别达到了98.97%和99.70%,且在精度、召回率和F1分数等指标上显著优于现有基准模型。在ISCX-VPN-Service数据集上,CEFT方法将训练时间减少了约33.33%,而在ISCX-VPN-App数据集上减少了约35.37%,显著缩短了训练时间。

数据和表 | 参考文献 | 相关文章 | 计量指标
基于集成学习的恶意代码动态检测方法
刘强, 王坚, 王亚男, 王珊
2025 (1):  159-172.  doi: 10.3969/j.issn.1671-1122.2025.01.014
摘要 ( 45 )   HTML ( 5 )   PDF(14841KB) ( 13 )  

在当前网络环境中,不断升级的恶意代码变种为网络安全带来了巨大挑战。现有的人工智能模型虽然在恶意代码检测方面成效明显,但仍存在两个不可忽视的缺点。一是泛化能力较差,虽然在训练数据上表现优异,但受概念漂移现象的影响,在实际测试中性能不够理想;二是鲁棒性不佳,容易受到对抗样本的攻击。为解决上述问题,文章提出一种基于集成学习的恶意代码动态检测方法,根据API序列的不同特征,分别构建统计特征分析模块、语义特征分析模块和结构特征分析模块,各模块针对性地进行恶意代码检测,最后融合各模块分析结果,得出最终检测结论。在Speakeasy数据集上的实验结果表明,与现有研究方法相比,该方法各项性能指标具有明显优势,同时具有较好的鲁棒性,能够有效抵抗针对API序列的两种对抗攻击。

数据和表 | 参考文献 | 相关文章 | 计量指标
网域动态
“第17届政府/行业信息化安全年会”在京召开
2025 (1):  173-174. 
摘要 ( 19 )   HTML ( 3 )   PDF(2670KB) ( 5 )  
参考文献 | 相关文章 | 计量指标