近年来,随着大语言模型技术的迅速发展,其在医疗、法律等众多领域已经显现出应用潜力,同时为网络安全领域的发展提供了新的方向。文章首先综述了大语言模型的设计原理、训练机制及核心特性等基础理论,为读者提供了必要的背景知识。然后,深入探讨了大语言模型在识别和处置日益增长的网络威胁方面的作用,详细阐述了其在渗透测试、代码安全审查、社会工程学攻击以及网络安全专业知识评估方面的研究进展。最后,分析了该技术在安全性、成本和可解释性等方面的挑战并展望了未来的发展方向。
关系抽取技术可用于威胁情报挖掘与分析,为网络安全防御提供关键信息支持,但网络安全领域的关系抽取任务面临数据集匮乏的问题。近年来,大语言模型展现了优秀的文本生成能力,为数据增强任务提供了强大的技术支撑。为了弥补传统数据增强方式在准确性和多样性方面的不足,文章提出一种面向网络安全关系抽取的大语言模型数据增强方法MGDA,该方法从单词、短语、语法和语义4个粒度使用大语言模型增强原始数据,从而在确保准确性的同时提升多样性。实验结果表明,文章所提数据增强方法有效改善了网络安全关系抽取任务上的有效性以及生成数据的多样性。
随着大语言模型在软件开发领域的广泛应用,在提升开发效率的同时也引入了新的安全风险,特别是在对安全性要求较高的密码学应用领域。文章针对大语言模型提出了一个密码应用安全评估的开源提示词库LLMCryptoSE,该词库包含460个密码场景自然语言描述提示词。同时,通过对大语言模型生成的代码片段进行深入分析,着重评估了密码API使用不当的情况,采用静态分析工具CryptoGuard结合人工的方法进行审查。在评估ChatGPT3.5、文心3.5和星火3.5等主流大语言模型时,文章对生成的1380个代码片段进行了密码误用检测,发现52.90%的代码片段至少存在一处密码误用,其中星火3.5大模型表现较佳,误用率为48.48%。文章不仅揭示了当前大语言模型在密码应用代码安全性方面所面临的挑战,还为模型的使用者和开发者提出了一系列增强安全性的建议,旨在为大语言模型在密码领域的推广应用提供实践指导。
网络流量数据的获取较为容易,而对流量数据进行标记相对困难。半监督学习利用少量有标签数据和大量无标签数据进行训练,减少了对有标签数据的需求,能较好适应海量网络流量数据下的异常检测。文章对近年来的半监督网络异常检测领域的论文进行深入调研。首先,介绍了一些基本概念,并深入剖析了网络异常检测中使用半监督学习策略的必要性;然后,从半监督机器学习、半监督深度学习和半监督学习结合其他范式三个方面,分析和比较了半监督网络异常检测领域近年来的论文,并进行归纳和总结;最后,对当前半监督网络异常检测领域进行了现状分析和未来展望。
网络异常流量识别是目前网络安全的重要任务之一。然而传统流量分类模型是依据流量数据训练得到,由于大部分流量数据分布不均导致分类边界模糊,极大限制了模型的分类性能。为解决上述问题,文章提出一种基于深度度量学习的异常流量检测方法。首先,与传统深度度量学习每个类别单一代理的算法不同,文章设计双代理机制,通过目标代理指引更新代理的优化方向,提升模型的训练效率,增强同类别流量数据的聚集能力和不同类别流量数据的分离能力,实现最小化类内距离和最大化类间距离,使数据的分类边界更清晰;然后,搭建基于1D-CNN和Bi-LSTM的神经网络,分别从空间和时间的角度高效提取流量特征。实验结果表明,NSL-KDD流量数据经过模型处理,其类内距离显著减小并且类间距离显著增大,类内距离相比原始类内距离减小了73.5%,类间距离相比原始类间距离增加了52.7%,且将文章搭建的神经网络比广泛使用的深度残差网络训练时间更短、效果更好。将文章所提模型应用在流量分类任务中,在NSL-KDD和CICIDS2017数据集上,相比传统的流量分类算法,其分类效果更好。
随着移动计算和物联网等新兴技术的飞速发展,基于位置的服务(Location Based Service,LBS)在人们日常生活中扮演着愈发重要的角色。许多应用(如移动交友)通过LBS 获取、收集用户的精确位置,并通过执行距离计算来实现近距离用户发现等功能。然而,LBS 在为用户带来便利的同时,也使其面临着泄露隐私位置信息的风险。目前,大多数LBS 应用均以明文形式记录用户精确位置,极易泄露用户的位置和移动模式等信息。此外,现有的能够保护用户隐私位置数据的研究工作存在一些缺陷,如通信开销高、通信时间长或计算安全性不足等。因此,文章提出一种保护用户位置隐私的高效近邻检测方法,该方法基于B/FV(Brakerski/Fan-Vercauteren)同态加密构造优化的圆范围内的隐私保护近邻检测协议。与现有的工作相比,文章方案使用基于格的加密,且具有较优的通信性能。此外,文章实现了基于B/FV 同态加密的方案原型系统,并给出在具有高隐私保护要求和低算术速度限制的场景中的潜在应用,通过对该原型系统的实验结果表明,该方案在实际部署应用中具有广阔的应用前景。
组织性复杂、计划性高效和指向性明确的高级持续性威胁(APT)攻击是我国面临的主要威胁之一,APT组织的行动隐匿化、攻击常态化趋势愈加明显。近年来,我国掌握主要的APT活动越来越困难,与APT组织将攻击行为匿迹于正常信息服务和网络活动中,以及将攻击流量藏匿于正常通信流量中不无关系。这种高隐蔽攻击行为隐匿后所处的状态,称之为密态。如何检测发现密态行为并实施体系对抗,是当前网络空间防御要解决的瓶颈性难题之一。文章从澄清网络空间高级攻击活动的流量传输隐匿技术机理角度出发,围绕匿名通信链路构建和流量特征行为检测两个维度,提出流量密态匿迹对抗的研究框架和对抗能力评估指标体系,全面阐述近年来相关研究工作进展、研究方法及解决方案,以期探索网络空间密态对抗能力新的发展方向。
针对物联网DDoS攻击检测最优解问题,文章采用多种算法对物联网DDoS攻击进行检测和建模分类,运用核密度估计筛选出有影响的流量特征字段,建立基于机器学习和深度学习算法的DDoS攻击检测模型,分析了通过可逆残差神经网络和大语言模型处理数据集并进行攻击检测的可行性。实验结果表明,ResNet50算法在综合指标上表现最好;在区分DDoS攻击流量和其他流量问题上,梯度提升类算法表现更优秀;在细分DDoS攻击类型方面,经过优化的ResNet50-GRU算法表现更好。
我国自主研发的基于标识的SM9加密算法已成功入选ISO/IEC国际标准,但敌手可以颠覆密码算法的组件,从而破坏算法的安全性,而SM9加密算法在设计之初并未考虑到此类攻击的存在。针对该问题,文章首先提出了基于标识加密(Identity Based Encryption,IBE)的颠覆攻击模型,并定义了明文可恢复性和不可检测性两个性质;然后提出了针对SM9加密算法的颠覆攻击,并发现敌手通过连续两个密文就能恢复明文;最后提出了抗颠覆的SM9加密算法(Subversion Resilient-SM9,SR-SM9),并证明其不仅满足适应性选择身份和密文攻击下的密文不可区分性,还能够抵抗颠覆攻击。文章基于gmalg库和Python语言测试了SR-SM9,测试结果显示,SR-SM9相比于SM9加密算法只增加0.6%的计算成本且未增加通信成本。
软件漏洞给软件安全带来了巨大的威胁,全球每年因软件漏洞导致的安全事件层出不穷。然而,在实际的开发过程中,因开发人员的安全意识不够、代码和业务逻辑越来越复杂等原因,软件代码中难以避免地存在着安全漏洞。文章针对现有方法面临错误代码定位不准确、分析效率不高等难题,突破指令运行时信息获取和反向分析、错误代码准确定位等挑战,提出一种基于追踪日志和反向执行的程序错误原因定位方法,能够跟踪程序的代码执行流,记录指令在运行状态下的寄存器状态信息以及存储访问状态信息,分析引发执行错误的指针相关联的指针值生成、使用、计算的指令集合,实现高效、准确的漏洞成因分析和定位。
随着网络攻击手段的日益精进和多样化,传统安全防护面临准确识别恶意流量困难的挑战。文章针对恶意流量检测中常见的无效特征众多、数据不平衡以及攻击手段复杂化等问题,开发了一种较高效的检测方法。首先,文章提出一种数据清洗和均衡化方法,能够提升流量特征数据的质量和有效性;然后,文章结合简单循环神经网络(Recurrent Neural Network,RNN)与多头注意力机制,使检测模型能够更精确处理序列数据,有效捕捉和识别各类信息及其依赖关系,大幅提升特征提取的准确度;最后,文章利用集成学习、深度学习和机器学习的优势,使检测模型能够在有限的样本上高效学习,并快速适应不同的网络特征。实验结果表明,该方法在多个公共数据集上展现了较好的检测性能。
挖矿流量检测属于变长数据分类任务,现有的检测方案如关键字匹配、N-gram特征签名等基于局部特征的分类方法未能充分利用流量的全局特征。使用深度学习模型对挖矿流量进行建模,可以提取挖矿流量的全局特征,提高挖矿流量检测的准确率。文章提出的流量分类模型,使用Transformer编码器提取流量全局特征,然后使用序列总结器处理编码结果,获得用于分类的定长表示。由于挖矿样本在数据集中占比低于3%,使用准确率衡量模型的分类效果偏差较大,因此,文章综合考虑了模型的精确率和召回率,使用F1分数对模型的分类效果进行评估。在模型的编码器中使用正余弦位置编码可使模型在测试集上取得99.84%的F1分数,精确率达到100%。
近年来,全球区块链应用系统市场取得了显著进展。随着区块链技术在金融、医疗、能源和物联网等领域的广泛应用,交易数量急剧增加,扩展性和交易费用等问题越来越突出。为解决这些问题,Layer-1和Layer-2扩展技术应运而生。文章概述了Layer-1层级解决方案,并对Layer-2层级的不同解决方案进行了重点分析。特别关注了ZK-Rollup方案,详细探讨了其原理,并分析了其在提升可扩展性和降低交易费用方面的优势。针对ZK-Rollup技术所面临的一些问题,文章提出了可能的改进和优化方案,旨在为提升区块链可扩展性和交易效率提供新的思路和方法。
针对现有ARP欺骗攻击防御手段配置繁琐、成本高昂等问题,文章设计了基于FPGA的硬件防御设备并在真实网络环境中进行了测试。首先搭建真实的局域网环境,利用arpspoof工具对局域网中的目标主机实施ARP欺骗攻击;然后设计了基于FPGA平台的网络安全防御设备,通过对上下行链路中的网络报文进行解析,并与设置的安全防御策略相应报文的字段进行比对过滤,实现对ARP欺骗报文的识别与过滤;最后将网络安全防御设备接入局域网,并通过VIVADO的ILA抓取ARP欺骗攻击报文的相关字段波形。波形数据表明,网络安全防御设备可有效识别ARP欺骗攻击报文的MAC地址和IP地址等内容并实施有效拦截,同时可对接入系统的网络链路带宽、攻击拦截率和被攻击主机系统资源使用率进行统计。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络安全的主要威胁之一,其中应用层DDoS攻击是主要的攻击手段。应用层DDoS攻击是针对具体应用服务的攻击,其在网络层行为表现正常,传统安全设备无法有效抵御。同时,现有的针对应用层DDoS攻击的检测方法检测能力不足,难以适应攻击模式的变化。为此,文章提出一种基于时空图神经网络(Spatio-Temporal Graph Neural Network,STGNN)的应用层DDoS攻击检测方法,利用应用层服务的特征,从应用层数据和应用层协议交互信息出发,引入注意力机制并结合多个GraphSAGE层,学习不同时间窗口下的实体交互模式,进而计算检测流量与正常流量的偏差,完成攻击检测。该方法仅利用时间、源IP、目的IP、通信频率、平均数据包大小5维数据便可有效识别应用层DDoS攻击。由实验结果可知,该方法在攻击样本数量较少的情况下,与对比方法相比可获得较高的Recall和F1分数。
随着深度学习技术在多个领域的广泛应用,其框架的安全性和稳定性也变得尤为重要。文章从用户角度出发,分析了不同用户群体可能遇到的漏洞类型及相应的模糊测试方法。首先介绍了深度学习框架的发展背景及其重要性;然后详细讨论了针对模型库、深度学习框架及编译器的模糊测试研究现状,梳理了如模型变异、权重生成、样例构造和模型测试等关键技术,并以PyTorch和MLIR的漏洞为例分析了漏洞形成的原因;最后展望了未来的研究方向,包括错误定位与自动修复技术、大语言模型增强的模糊测试。
联邦学习算法通常面临着客户端之间差异巨大的问题,这些异质性会降低全局模型性能,文章使用知识蒸馏方法缓解这个问题。为了进一步解放公共数据,完善模型性能,文章所提的DFP-KD算法使用无数据方法合成训练数据,利用无数据知识蒸馏方法训练鲁棒的联邦学习全局模型;使用ReACGAN作为生成器部分,并且采用分步EMA快速更新策略,在避免全局模型灾难性遗忘的同时加快模型的更新速率。对比实验、消融实验和参数取值影响实验表明,DFP-KD算法比经典的无数据知识蒸馏算法在准确率、稳定性、更新速度方面都更具优势。
由区块链技术和密码学共同构成的去中心化加密货币正遭受日益增多的安全攻击,如何确保加密货币交易安全成为当前的热门议题。而作为交易介质的加密货币以及用于存管的加密钱包成为了安全研究的焦点。为此,研究人员开发了多种密钥管理和检测技术,以确保加密钱包的机密性、完整性和可用性。同时,针对中心化和去中心化交易所的安全漏洞及攻击手段,研究人员也提出了相应的检测和预防策略。此外,文章综合评述了加密货币交易过程中的潜在攻击类型、检测技术与防御措施。最后,对加密货币交易体系的安全问题进行了总结,并对未来发展的方向展开了前瞻讨论。
随着物联网和云计算技术的快速发展,Linux恶意软件的数量和种类急剧增加,因此如何有效检测Linux恶意软件成为安全领域的重要研究方向之一。为了解决这一问题,文章提出一种基于虚拟机自省的Linux恶意软件检测方案。该方案利用虚拟机自省技术在沙箱外部安全获取内部运行状态,在实现全方位监控的同时,规避了恶意软件的反动态分析问题。与其他沙箱监控方案相比,文章所提方案增加了恶意软件在沙箱中的恶意行为表现的数量。针对特征之间的时序性,采用时序处理模型对沙箱获取的特征信息进行建模和训练,旨在判断Linux应用是否属于恶意软件。文章使用了3种神经网络,包括循环神经网络、长短期记忆网络和门控循环单元网络。实验结果表明,长短期记忆网络在该应用场景下检测效果更好,准确率达98.02%,同时具有较高的召回率,将虚拟机自省技术与神经网络模型结合应用于恶意软件检测,既能在虚拟机外部监控虚拟机内部,又考虑特征之间的时序性。