Please wait a minute...

期刊目录

    2024年, 第24卷, 第5期
    刊出日期:2024-05-10
    上一期    下一期

    目录
    专题论文:网络安全防御
    理论研究
    技术研究
    网域动态
    全选选: 隐藏/显示图片
    目录
    第24卷第5期目次
    2024 (5):  0-0. 
    摘要 ( 71 )   PDF(1713KB) ( 49 )  
    相关文章 | 计量指标
    专题论文:网络安全防御
    基于虚拟机自省的Linux恶意软件检测方案
    文伟平, 张世琛, 王晗, 时林
    2024 (5):  657-666.  doi: 10.3969/j.issn.1671-1122.2024.05.001
    摘要 ( 186 )   HTML ( 141 )   PDF(13952KB) ( 97 )  

    随着物联网和云计算技术的快速发展,Linux恶意软件的数量和种类急剧增加,因此如何有效检测Linux恶意软件成为安全领域的重要研究方向之一。为了解决这一问题,文章提出一种基于虚拟机自省的Linux恶意软件检测方案。该方案利用虚拟机自省技术在沙箱外部安全获取内部运行状态,在实现全方位监控的同时,规避了恶意软件的反动态分析问题。与其他沙箱监控方案相比,文章所提方案增加了恶意软件在沙箱中的恶意行为表现的数量。针对特征之间的时序性,采用时序处理模型对沙箱获取的特征信息进行建模和训练,旨在判断Linux应用是否属于恶意软件。文章使用了3种神经网络,包括循环神经网络、长短期记忆网络和门控循环单元网络。实验结果表明,长短期记忆网络在该应用场景下检测效果更好,准确率达98.02%,同时具有较高的召回率,将虚拟机自省技术与神经网络模型结合应用于恶意软件检测,既能在虚拟机外部监控虚拟机内部,又考虑特征之间的时序性。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    面向物联网Mirai僵尸网络的轻量级检测方法
    李志华, 陈亮, 卢徐霖, 方朝晖, 钱军浩
    2024 (5):  667-681.  doi: 10.3969/j.issn.1671-1122.2024.05.002
    摘要 ( 124 )   HTML ( 14 )   PDF(16754KB) ( 52 )  

    针对物联网Mirai僵尸网络流量数据的高维度和大规模数据导致传统检测方法存在检测时间长、资源消耗大和准确性欠佳的不足,文章提出了一种基于集成特征选择的物联网僵尸网络流量检测(IoT Botnet Traffic Detection Based on Ensemble Feature Selection,IBTD-EFS)方法。首先,为了降低网络流量数据样本的特征维度以便获取最优特征子集,文章提出了一种基于特征分组和遗传算法相结合的集成特征选择(Ensemble Feature Selection Based on Feature Group and Genetic Algorithm,EFS-FGGA)算法;然后,为了高效地检测Mirai僵尸网络流量,提出了基于极限梯度提升的物联网僵尸网络流量分类(IoT Botnet Traffic Classification Based on eXtreme Gradient Boosting,IBTC-XGB)算法;最后,联合上述算法,进一步提出了物联网僵尸网络流量检测IBTD-EFS方法。实验结果表明,IBTD-EFS方法能屏蔽物联网设备的异构性,对Mirai僵尸网络流量检测达到99.95%的准确率,而且保持了较低的时间开销。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于第三方库隔离的Python沙箱逃逸防御机制
    杨志鹏, 王鹃, 马陈军, 亢云峰
    2024 (5):  682-693.  doi: 10.3969/j.issn.1671-1122.2024.05.003
    摘要 ( 109 )   HTML ( 10 )   PDF(15407KB) ( 31 )  

    PaaS平台由于可提供Python服务成为目前较受欢迎的云服务。PaaS平台应用Python沙箱解决安全问题,同时允许用户使用Python C化模块以降低Python对性能的影响。然而,攻击者能够利用Python沙箱策略的漏洞进行逃逸,导致危害底层系统。现有的Python沙箱大多在代码层进行防御,缺乏对Python C化模块的监管和防护。文章分析了Python C化模块的底层原理和Python沙箱逃逸的特点,针对沙箱逃逸后需要执行特定危险函数发起攻击的特征,提出一种基于第三方库隔离的Python沙箱逃逸防御机制,并实现了原型系统。该机制的原型系统利用GOT Hook技术对Python的C化模块导入行为和危险函数调用行为进行接管,在Python导入C化模块时,提前对该C化模块进行安全检查和隔离。另外,在Python调用危险函数时,对该函数的参数进行检查。实验结果表明,文章所提机制能够有效防御攻击者利用自定义的C化模块逃逸Python沙箱以及使用恶意参数调用危险函数。在正常使用时,文章所提机制的时间开销较低,平均时间开销小于5%。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法
    顾国民, 陈文浩, 黄伟达
    2024 (5):  694-708.  doi: 10.3969/j.issn.1671-1122.2024.05.004
    摘要 ( 177 )   HTML ( 14 )   PDF(16852KB) ( 124 )  

    高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    理论研究
    基于Merkle树和哈希链的层次化轻量认证方案
    沈卓炜, 汪仁博, 孙贤军
    2024 (5):  709-718.  doi: 10.3969/j.issn.1671-1122.2024.05.005
    摘要 ( 94 )   HTML ( 5 )   PDF(11430KB) ( 56 )  

    分布式系统如云计算、物联网等在各关键领域被广泛应用,其安全性越来越重要。由于部署环境复杂,具有分散、异构、动态等特性,分布式系统的信息安全保障面临着严峻的挑战,传统的身份认证方案通常计算开销大、证书管理复杂、成员动态更新不及时,不能很好地满足大型分布式系统需求。文章针对大量客户端与应用服务器交互的典型应用场景提出了一种基于Merkle树和哈希链的层次化轻量认证方案。方案将客户端划分为若干邻域,每个邻域内设置一个认证代理节点以管理邻域内的客户端并向应用服务器上报认证信息,方案结合Merkle树和哈希链技术实现对客户端的身份认证和一次一密的通信加密及消息认证,使用哈希和异或的高效运算方式实现较低的计算开销。安全性分析和性能分析表明,方案具有全面的安全性和更好的性能。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    面向车联网的车辆节点信誉评估方法
    田钊, 牛亚杰, 佘维, 刘炜
    2024 (5):  719-731.  doi: 10.3969/j.issn.1671-1122.2024.05.006
    摘要 ( 98 )   HTML ( 8 )   PDF(15222KB) ( 44 )  

    车联网技术的发展促使了交通信息的交互与共享,能有效提升出行效率,但车联网的开放性使得交通实体容易受到恶意车辆的攻击,会造成严重的后果。针对上述问题,文章提出了一种面向车联网的车辆节点信誉评估方法。首先,提出了一种面向车联网的车辆节点分区区块链网络;然后,通过车辆节点之间的信任和基础设施对车辆的辅助信任来计算本地信誉值,借助深度学习算法动态计算全局信誉值,进而可基于全局信誉值确定最佳的数据共享节点;最后,对存储技术进行改进,利用分区区块链存储来保证信誉值、路况信息的不被篡改和可追溯性。仿真实验结果表明,本文所提的方法在通过信誉评估确定恶意节点的准确率和召回率都优于对比方法。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于量子行走公钥加密的电子投票方案
    石润华, 邓佳鹏, 于辉, 柯唯阳
    2024 (5):  732-744.  doi: 10.3969/j.issn.1671-1122.2024.05.007
    摘要 ( 73 )   HTML ( 5 )   PDF(13260KB) ( 35 )  

    为了解决当前部分量子投票协议中大量使用制备复杂的纠缠资源及操作困难的纠缠态测量,从而导致可实现性差的问题,文章基于量子行走公钥加密设计电子投票方案,量子行走可以在粒子之间产生任意形式的纠缠,并避免纠缠态测量。初始时仅需制备单粒子,若干步量子行走后再对其实施单粒子测量,即可以实现所提方案。文章中使用的量子行走技术已在多种系统上实现,安全性分析表明,该方案可以实现信息论安全,当前技术下可行且安全。文章方案仅使用1个粒子表示n位投票信息,效率高于现有方案。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种带作弊识别的动态(t,n)门限量子秘密共享方案
    郭建胜, 关飞婷, 李志慧
    2024 (5):  745-755.  doi: 10.3969/j.issn.1671-1122.2024.05.008
    摘要 ( 87 )   HTML ( 6 )   PDF(12036KB) ( 32 )  

    文章基于齐次线性反馈移位寄存器(Linear Feedback Shift Register,LFSR) 序列和d维单量子态提出了一种带作弊识别的动态(t,n)门限量子秘密共享方案。在该方案中,可信的分发者确定共享的秘密,并为参与者分配份额,参与者对传输中的粒子执行相应的酉操作来恢复秘密。在秘密重建阶段,通过执行量子态数字签名,不仅可以检测到作弊行为,还可以识别具体的作弊者并将其删除,最终参与者可以验证恢复秘密的正确性。该方案可以在不更改旧参与者份额的前提下,无需其他参与者的帮助便可实现参与者的动态更新。安全性分析表明,该方案能够抵抗常见的外部攻击和内部攻击。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于Tamarin的门罗币支付协议分析方法
    李雨昕, 黄文超, 王炯涵, 熊焰
    2024 (5):  756-766.  doi: 10.3969/j.issn.1671-1122.2024.05.009
    摘要 ( 90 )   HTML ( 6 )   PDF(12918KB) ( 31 )  

    门罗币作为一款基于区块链技术的高度匿名加密货币协议,旨在为用户提供强大的隐私保护功能。与其他加密货币不同,门罗币通过独特的支付协议对用户的交易隐私加强保护。然而,支付协议中存在的安全漏洞可能导致攻击者对交易信息进行分析或拦截,从而威胁用户的隐私安全。目前,对门罗币支付协议的研究主要集中在对匿名性漏洞的攻击,大部分攻击从外部特征出发,缺少对门罗币机制进行探索,不能充分保障支付过程的安全性和不可追踪性。因此需要进行更系统化的分析,以全面评估门罗币支付协议的安全性和不可追踪性。文章从模型规则、属性定义等角度对门罗币支付协议进行细粒度建模,并运用已有的Tamarin工具对相关属性进行验证,研究结果揭示了多个门罗币支付协议漏洞,并给出优化建议。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种启发式日志模板自动发现方法
    张书雅, 陈良国, 陈兴蜀
    2024 (5):  767-777.  doi: 10.3969/j.issn.1671-1122.2024.05.010
    摘要 ( 72 )   HTML ( 15 )   PDF(14625KB) ( 31 )  

    日志是安全分析领域的重要数据来源。然而,非结构化原始日志无法直接用于安全分析,因此将日志解析为结构化模板是至关重要的第一步。现有的日志解析方法大多假设属于相同日志模板的日志消息具有相同的日志长度,但日志存在变长变量,导致属于相同模板的日志消息被错误地提取成不同的模板。因此,文章提出一种日志模板自动发现方法KeyParse,首先,基于最长公共子序列算法实现日志与模板的相似度计算,以此忽略变长变量带来的差异性影响,从而实现日志与模板的匹配;其次,基于最高频繁项实现日志模板分组,避免属于相同事件且长度不等的日志消息被划分到不同模板组,减少了模板冗余并提升了模板匹配效率;最后,基于HeavyGuardian算法实现流式日志消息的最高频繁项统计,解决了传统频率统计方法难以适应流式日志消息词频动态变化的问题。实验结果表明,KeyParse在面对多种类型日志集时均具有较高的准确率,平均解析准确度达0.968,并且在解析大型日志集时具有更好的性能。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    面向网络安全领域的大语言模型技术综述
    张长琳, 仝鑫, 佟晖, 杨莹
    2024 (5):  778-793.  doi: 10.3969/j.issn.1671-1122.2024.05.011
    摘要 ( 422 )   HTML ( 261 )   PDF(20073KB) ( 340 )  

    近年来,随着大语言模型技术的迅速发展,其在医疗、法律等众多领域已经显现出应用潜力,同时为网络安全领域的发展提供了新的方向。文章首先综述了大语言模型的设计原理、训练机制及核心特性等基础理论,为读者提供了必要的背景知识。然后,深入探讨了大语言模型在识别和处置日益增长的网络威胁方面的作用,详细阐述了其在渗透测试、代码安全审查、社会工程学攻击以及网络安全专业知识评估方面的研究进展。最后,分析了该技术在安全性、成本和可解释性等方面的挑战并展望了未来的发展方向。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    技术研究
    铁路运行环境下ERT可信根实体的软件化技术研究
    王巍, 胡永涛, 刘清涛, 王凯崙
    2024 (5):  794-801.  doi: 10.3969/j.issn.1671-1122.2024.05.012
    摘要 ( 57 )   HTML ( 3 )   PDF(9129KB) ( 27 )  

    为保障铁路系统的信息安全,文章提出一种铁路运行环境下可信根实体(Entity of Root of Trust,ERT)的软件化技术,在内核中实现强制访问控制功能,通过操作系统内核的修改或扩展,实现更为细粒度和强大的权限管理。同时考虑到轻量级场景下部分设备存在计算能力弱、存储空间有限和电源供应不稳定等问题,提出一种轻量级可信计算体系,最大程度满足可信计算要求。通过实施内核级的强制访问控制和轻量级的可信计算体系改造,缓解未知风险对关键信息基础设施的威胁,为铁路系统的安全性提供保障。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于APT特征的铁路网络安全性能研究
    郭梓萌, 朱广劼, 杨轶杰, 司群
    2024 (5):  802-811.  doi: 10.3969/j.issn.1671-1122.2024.05.013
    摘要 ( 104 )   HTML ( 10 )   PDF(10413KB) ( 46 )  

    为了探究新网络安全形势下APT攻击对铁路网络安全造成的影响,文章首先分析APT攻击特点,提出融合APT过程的杀伤链模型,并据此总结APT攻击特点及对铁路网络安全可能产生的影响;然后分析铁路网络架构,对铁路外部服务网架构进行研究;最后根据提出的铁路网络模型图进行APT攻击建模,详细分析连接过程和连接指数,通过连接指数反映网络性能,进而展示网络攻击对网络安全性能的影响。仿真实验结果表明,APT攻击的发起对网络性能造成了显著不利影响,APT攻击产生后,非法用户的网络连接指数平均提升5倍以上。对比实验表明,APT攻击产生后,非法用户的连接指数比普通网络攻击平均提升2倍以上,这表明APT攻击的影响更加严重。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    网域动态