Please wait a minute...

期刊目录

    2020年, 第20卷, 第7期
    刊出日期:2020-07-10
    上一期    下一期

    目录
    等级保护
    技术研究
    理论研究
    网域动态
    全选选: 隐藏/显示图片
    目录
    目录
    2020 (7):  0-0. 
    摘要 ( 356 )   PDF(1167KB) ( 145 )  
    相关文章 | 计量指标
    等级保护
    基于上下文特征的IDS告警日志攻击场景重建方法
    姜楠, 崔耀辉, 王健, 吴晋超
    2020 (7):  1-10.  doi: 10.3969/j.issn.1671-1122.2020.07.001
    摘要 ( 861 )   HTML ( 61 )   PDF(11084KB) ( 316 )  

    入侵检测系统(IDS)是网络安全防御策略中的关键组成部分,但在现阶段庞大且复杂的网络环境以及网络攻击规模逐年增长的背景下,IDS中存在的告警数量庞大导致的可读性差等问题,使得IDS的易用性极大降低。文章提出一种面向IDS真实告警数据流的攻击场景重建方法,从攻击者的角度将完整的多步攻击行为定义为攻击事件,以动态时间窗辅以告警上下文特征相似度判定的机制分离告警流中并行的事件,并通过提取事件在IP层面表现出的攻击路径的方式,分解事件中攻击者对不同目标的攻击行为,进一步获取攻击者在各条路径上的攻击类型转换序列进行因果知识挖掘,从而直观地展示攻击者的多步攻击场景。实验结果显示,该方法能够完整地捕获告警数据流中的攻击事件,多层次准确直观地展示多步攻击行为,有效提升了IDS的实际应用体验。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    技术研究
    容器化安全服务功能链低延迟优化编排研究
    徐玉伟, 赵宝康, 时向泉, 苏金树
    2020 (7):  11-18.  doi: 10.3969/j.issn.1671-1122.2020.07.002
    摘要 ( 625 )   HTML ( 21 )   PDF(9229KB) ( 180 )  

    云计算的发展带来了安全服务虚拟化的需求,基于NFV/SDN技术构建服务功能链是解决数据中心虚拟化安全服务需求的重要途径。容器化已成为安全服务功能链编排的最新发展趋势。传统安全服务功能链编排算法通常针对虚拟机架构,在轻量级、延迟、灵活性等方面无法满足要求,没有充分发挥容器化NFV平台的性能优势。文章构建了容器化NFV平台的编排模型,分析了安全服务功能链网络延迟优化目标,研究了扁平网络拓扑下的近似局部最优性质。文章设计了一种延迟优化放置(LOP)算法,采用分阶段决策方式处理每个安全服务功能链请求,并在每个阶段采用选择可容纳连续VNF数最多的物理主机的方式,最小化每个安全服务功能链的跨主机延迟。仿真实验与对比分析表明,与最大化资源利用率的MINI算法相比,文章所提出的LOP算法可以实现降低延迟的优化目标,减少放置安全服务功能链的资源消耗。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于字节码搜索的Java反序列化漏洞调用链挖掘方法
    杜笑宇, 叶何, 文伟平
    2020 (7):  19-29.  doi: 10.3969/j.issn.1671-1122.2020.07.003
    摘要 ( 1183 )   HTML ( 297 )   PDF(13731KB) ( 400 )  

    反序列化漏洞是近年来应用安全研究的热点之一。随着Java类库的功能不断更新和扩展,反序列化漏洞的潜在范围更加广泛。手工进行反序列化漏洞挖掘需要大量的时间和人力对调用链进行筛查和构造。文章介绍了Java反序列化漏洞的原理、常见场景和反序列化漏洞调用链的构造方法,并结合常见的漏洞挖掘方法,提出一种调用链挖掘方法,同时将该方法实现为调用链挖掘工具Zero Gadget。文章方法采用污点分析与符号执行技术生成从反序列化漏洞入口点到危险函数的调用树,利用深度优先搜索算法搜索调用树并生成相关调用链。文章选取常见的Java基础库进行调用链挖掘效果的测试。实验结果表明,文章方法可成功挖掘潜在调用链并具有较高的准确率,对于反序列化漏洞调用链的自动化挖掘有着积极的意义。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于异常加密流量标注的Android恶意进程识别方法研究
    徐国天
    2020 (7):  30-41.  doi: 10.3969/j.issn.1671-1122.2020.07.004
    摘要 ( 612 )   HTML ( 30 )   PDF(13973KB) ( 141 )  

    现有Android恶意样本分析方法需要提前获得待检的样本程序,当待检对象是Android智能终端而非一个样本程序时,因无法确定智能终端内哪个进程为待检恶意进程,导致样本分析法无法有效应用。现有针对恶意加密流量的检测方法可以达到较高的识别精度,但无法确定恶意流量与Android终端内恶意进程的映射关系,即无法确定恶意加密流量是由哪个进程产生的,也就不能锁定恶意进程具体位置信息。针对上述问题,文章提出一种基于异常加密流量标注的Android恶意进程识别方法,通过监听待检Android终端产生的网络通信数据,提取TLS加密通信流DNS特征、TLS握手协商特征和流统计特征,采用基于随机森林算法的二元分类器,识别恶意加密通信流;再通过提取流五元组特征值,在恶意加密通信流与Android终端进程之间建立一一映射关系,确定终端内恶意进程的具体位置。实验结果表明,该方法对复杂网络环境下未知恶意加密流量的检测精确度为97.46%,可根据检测出的恶意加密数据流定位Android终端内的恶意进程。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于软件定义网络的主机指纹抗探测模型
    张涛, 芦斌, 李玎, 何康
    2020 (7):  42-52.  doi: 10.3969/j.issn.1671-1122.2020.07.005
    摘要 ( 539 )   HTML ( 21 )   PDF(12943KB) ( 139 )  

    针对主机指纹探测防御困难的问题,文章提出基于软件定义网络的主机指纹抗探测模型。模型构造包含虚假指纹信息的虚拟节点,通过识别指纹探针,按照指纹模板构造响应报文,实现对指纹探测攻击的欺骗。随后提出蜜罐映射与流量牵引技术,结合蜜罐技术将指向虚拟节点的攻击流量重定向到蜜罐,实现对攻击行为的捕获分析。为了分析模型对网络安全带来的收益,建立该模型防御效能的概率模型,量化了探测次数、虚拟节点数量、蜜罐映射规则数、允许损失数、虚拟节点欺骗率和蜜罐检测率等参数对攻击成功概率的影响。最后结合DPDK技术基于X86平台搭建原型系统,实验结果表明该模型与典型的抗识别工具IPMorph相比具备更高的欺骗成功率,且带来的额外性能开销低于5%。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    面向云平台虚拟层的安全态势评估关键技术研究
    余晴, 郑崇辉, 杜晔
    2020 (7):  53-59.  doi: 10.3969/j.issn.1671-1122.2020.07.006
    摘要 ( 602 )   HTML ( 11 )   PDF(7985KB) ( 151 )  

    随着针对云平台的攻击和破坏行为的日益增多,云平台的安全保障机制也由传统的被动防护转为主动防御。态势评估是一种可主动分析评估云平台当前安全风险状态的方法,是态势感知全过程的关键一环。文章面向云平台中大量部署的虚拟机,在分析提取虚拟层安全态势评估要素的基础上,提出一种改进的自适应遗传模拟退火算法OAGSAA,并应用于BP神经网络,可有效对云平台虚拟层安全状态进行分析评估。仿真实验结果显示,该方法具有较高预测准确率和收敛速度,并可避免陷入局部最小值。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    Android系统应用程序DEX文件保护方法研究
    袁晓筱, 罗森林, 杨鹏
    2020 (7):  60-69.  doi: 10.3969/j.issn.1671-1122.2020.07.007
    摘要 ( 690 )   HTML ( 19 )   PDF(10569KB) ( 141 )  

    针对函数级DEX文件保护方法在函数修复过程中难以抵御动态恢复攻击且无法兼容ART虚拟机的问题,文章提出一种基于函数抽取和隐式恢复的DEX文件保护方法。该方法首先对DEX文件中的关键函数进行抽取,然后对DEX文件进行重构、整体加密、重命名和隐藏,接着通过修改APP启动入口和更换smali文件实现加壳,最后添加修复SO库完成对APK的加固。应用程序启动时,利用壳程序解密获取原DEX文件,并将原DEX解析加载到内存中,分别基于Dalvik虚拟机和ART虚拟机对加固函数进行修复,正常执行应用程序内部逻辑。以自主开发APK中的DEX文件为实验对象进行实验,结果表明,该方法能有效抵御静态分析和动态恢复攻击,同时能兼容两种虚拟机,且函数运行的时间增量为常量。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于改进Border-SMOTE的不平衡数据工业控制系统入侵检测
    张晓宇, 王华忠
    2020 (7):  70-76.  doi: 10.3969/j.issn.1671-1122.2020.07.008
    摘要 ( 717 )   HTML ( 10 )   PDF(7187KB) ( 117 )  

    工业环境中正常与异常样本间的不平衡特点导致入侵检测模型在进行分类时对少数异常样本识别率较低。然而,工控入侵检测模型尤其注重对异常样本的检测成功率,因此文章引入具有自适应思想的边界SMOTE算法,在边界区域根据样本分布情况合理生成少数样本以降低样本的不平衡性。UCI不平衡数据集上的结果证明了该算法的有效性。然后改进边界SMOTE对原始不平衡工控入侵检测数据集SWaT进行数据预处理,在合成合理攻击数据后使用孪生支持向量机(TWSVM)作为分类器构建入侵检测模型。实验结果表明,该方法提高了对攻击样本的识别能力。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    混合Gabor的轻量级卷积神经网络的验证码识别研究
    刘静, 张学谦, 刘全明
    2020 (7):  77-84.  doi: 10.3969/j.issn.1671-1122.2020.07.009
    摘要 ( 555 )   HTML ( 8 )   PDF(8963KB) ( 87 )  

    验证码作为一项广泛使用的验证手段,能有效地鉴别登录用户,对网络安全的保护有着重要的意义。针对卷积神经网络参数量大,训练成本和时间较大的问题,文章提出了一种基于图像Gabor特征与卷积神经网络相结合的图像验证码识别方法,实现了验证码图像的识别和分类。使用Gabor算子提取不同方向和角度的细节特征作为卷积神经网络的输入,并改进深度可分离卷积层获得多尺度特征向量,充分提取验证码图像中的不同特征,提高了模型的识别率。实验研究表明,改进的卷积神经网络对验证码的平均识别准确率达到98%左右,具有实际意义。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    理论研究
    云环境下Docker容器隔离脆弱性分析与研究
    边曼琳, 王利明
    2020 (7):  85-95.  doi: 10.3969/j.issn.1671-1122.2020.07.010
    摘要 ( 910 )   HTML ( 52 )   PDF(12621KB) ( 375 )  

    云计算是信息时代下继互联网、计算机后出现的又一革新概念,大数据、物联网、5G通信等新兴技术的发展均离不开云计算的支持。虚拟化技术是支撑云计算的一项关键技术,现有的虚拟化方式主要分为基于虚拟机的虚拟化和基于容器的虚拟化,容器技术随着Docker的出现在云服务领域备受青睐。Docker容器相较于传统虚拟机具有轻量级、高性能等显著优势,但是由于Docker容器采用软件隔离机制,与虚拟机相比隔离性较弱,面临的安全问题更加严重。隔离性差是Docker面临的主要安全挑战之一,严重影响了容器技术的进一步推广与发展,因此容器隔离性的安全研究具有重要意义。文章针对云环境下Docker容器隔离性弱引发的安全问题进行研究,分析Docker容器隔离机制,证明Docker中部分伪文件系统没有实现隔离,利用未隔离的伪文件系统可以获取宿主机相关信息,造成宿主机信息泄露。此外,通过实验证明,若泄露的信息被攻击者恶意利用,将引发恶意容器同驻、同驻容器DoS攻击等安全问题,对同驻合法容器服务构成严重的安全威胁。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    网域动态
    清华大学微电子所实现新型神经网络
    2020 (7):  97-97. 
    摘要 ( 282 )   HTML ( 13 )   PDF(1082KB) ( 99 )  
    参考文献 | 相关文章 | 计量指标