Please wait a minute...
信息网络安全

期刊目录

    2025年, 第25卷, 第6期
    刊出日期:2025-06-10     上一期    下一期
    目录
    专题论文: 网络主动防御
    网域动态
    全选选: 隐藏/显示图片
    目录
    第25卷第6期目次
    2025 (6):  0-0. 
    摘要 ( 79 )   PDF(1711KB) ( 59 )  
    相关文章 | 计量指标
    专题论文: 网络主动防御
    基于威胁传播的网络安全态势评估方法
    赵波, 彭君茹, 王一琁
    2025 (6):  843-858.  doi: 10.3969/j.issn.1671-1122.2025.06.001
    摘要 ( 351 )   HTML ( 85 )   PDF(24982KB) ( 175 )  

    网络安全态势评估是态势感知领域中的一项重要研究。目前,已有许多网络安全态势评估方法,但以往的研究通常缺乏可迁移性或依赖专家经验,导致评估过程不够灵活,评估结果也带有一定的主观性。通过分析恶意流量图,发现攻击者通常表现出较高的中心性特征,而这种特征与社交网络中个体之间的互动和影响力传播有相似之处。在社交网络中,中心性分析用于识别关键节点并揭示其传播路径,类似地,恶意流量图中的中心性分析有助于识别攻击源和传播节点。通过这种结构上的相似性,社交网络分析方法得以迁移到恶意流量图,进一步增强了态势评估的可迁移性。为克服传统方法的迁移性问题,文章提出一种新颖的网络安全态势评估方法(ThreatSA),与传统的静态分析方法不同,ThreatSA将恶意流量转化为图结构,并通过中心性分析量化节点的重要性,识别出攻击者或传播节点。随后,利用亲密度分析衡量这些节点与其他节点之间的关系强度,从而动态反映主机的安全态势。ThreatSA仅依赖恶意流量数据,且适用于信息不完整的网络环境。通过对3个公开的网络攻击数据集进行实验评估,结果表明,ThreatSA能够实时评估网络态势,并达到99.32%、99.65%和99.74%的相似度。与当前具有代表性的两种方法相比,ThreatSA在网络安全态势评估中取得了卓越的表现。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于知识蒸馏的轻量化恶意流量检测方法
    孙剑文, 张斌, 司念文, 樊莹
    2025 (6):  859-871.  doi: 10.3969/j.issn.1671-1122.2025.06.002
    摘要 ( 193 )   HTML ( 57 )   PDF(14952KB) ( 96 )  

    针对资源受限场景下多分类恶意流量检测的模型轻量化需求,文章提出一种基于知识蒸馏的轻量化恶意流量检测方法。通过将12层transformer教师模型的知识迁移至1层transformer学生模型,结合Kullback-Leibler散度蒸馏损失与Focal监督损失的双重监督信号机制,模型从286 MB压缩至26 MB,推理速度提升约10倍,同时分类精确率下降幅度小于1.4个百分点。实验结果表明,在USTC-TFC2016、ISCX-VPN2016-Service和CSE-CIC-IDS2018 3个公开数据集上,压缩后的模型对长尾类别流量和隐蔽攻击模式识别准确率高于99.38%,显著优于传统CNN或RNN架构的轻量化方法,在资源效率与检测性能之间实现了平衡。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于联邦学习的智能汽车CAN总线入侵检测系统
    荀毅杰, 崔嘉容, 毛伯敏, 秦俊蔓
    2025 (6):  872-888.  doi: 10.3969/j.issn.1671-1122.2025.06.003
    摘要 ( 179 )   HTML ( 28 )   PDF(20787KB) ( 62 )  

    智能汽车已经成为人们日常出行必不可少的交通工具。控制器局域网总线(CAN)作为智能汽车内部的核心通信协议总线,其安全问题备受关注。CAN总线因通信接口访问控制薄弱、数据交互缺乏认证、报文无源/目的地址等因素使车辆易受到恶意攻击。车内网关、防火墙等安全方案受车内带宽和计算资源的限制,难以搭载强大的加密认证算法,防护能力受限。而现有的基于单类旁路特征(电压、时钟或数据流等)的入侵检测系统(IDS),检测攻击能力受限,如基于时钟偏斜的IDS无法检测非周期性攻击。为此,文章提出一种基于联邦学习的智能汽车CAN总线入侵检测系统。车端收集多维度特征数据进行轻量化训练后将参数传到云端,云端通过异步横向联邦学习结构收集不同车辆传过来的参数,用极端梯度提升算法开展深度训练,并将训练好的模型参数传给车端,车端进行检测并溯源。在3款不同品牌真实车辆上的实验结果表明,该系统能够高精度检测6种典型的攻击类型,包括总线关闭、欺骗、同源、模糊、伪装和重放攻击,平均检测时延为0.0987ms。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于模型特征方向的分层个性化联邦学习框架
    邓东上, 王伟业, 张卫东, 吴宣够
    2025 (6):  889-897.  doi: 10.3969/j.issn.1671-1122.2025.06.004
    摘要 ( 145 )   HTML ( 25 )   PDF(9935KB) ( 47 )  

    随着人工智能和工业物联网的快速发展,工业智能化不断加速。用户隐私担忧的加剧使得联邦学习成为一种有前景的解决方案。然而,工业物联网中数据异构性、资源限制及潜在攻击者问题突出。现有的个性化联邦学习虽然为客户端定制模型,但忽略了联邦训练中的聚合偏差。为解决该问题,文章提出基于模型特征方向的分层个性化联邦学习框架,设计高效聚合机制,在不增加通信开销的前提下为各客户端精确捕获信息。该框架结合自适应模型量化机制确定聚合权重,应用分层动态聚合机制定制最优全局模型。在Fashion-MNIST和CWRU数据集上的实验结果表明,该方法显著优于4种基线方法,展现出更高的性能和效率。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于智能合约预言机技术的主动式去中心化监管传感网络架构
    刘峰, 黄灏
    2025 (6):  898-909.  doi: 10.3969/j.issn.1671-1122.2025.06.005
    摘要 ( 116 )   HTML ( 18 )   PDF(14481KB) ( 35 )  

    区块链在外部数据主动获取上存在短板,基于此,文章提出一种基于智能合约预言机技术的主动式去中心化监管传感网络架构(DR-ASNet),并进一步探讨了意见领袖在区块链代币经济中的影响力及其对资产价格的影响。文章采用事件分析法,以马斯克(MUSK)在社交媒体上对狗狗币(Dogecoin)的影响为例,分析意见领袖如何通过ICO影响代币资产价格。结果显示,意见领袖能利用社交网络中的资金和数据流量影响代币价格,获得超额回报。基于此,文章设计了结合智能合约与ChainLink预言机的监管框架,实现对代币发行的风险评估和预警。研究为监管机构和企业提供区块链金融产品研发思路,并为相关治理工作提供参考。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于监督重启的电力系统网络安全防御策略
    施开波, 丁甲, 王俊, 蔡肖
    2025 (6):  910-919.  doi: 10.3969/j.issn.1671-1122.2025.06.006
    摘要 ( 122 )   HTML ( 24 )   PDF(10624KB) ( 29 )  

    随着电力系统的数字化发展,电力系统中监控与数据采集网络带来了网络安全风险,文章聚焦于车网互联电力系统在拒绝服务攻击下的主动防御体系构建,首先构建了车网互联电力系统的负载频率控制架构,通过引入动态事件触发方案设计优化通信效率,以降低网络带宽占用。同时提出一种监督重启控制器策略,该策略对控制器反馈进行实时监测,当检测到控制器反馈异常时,触发控制器动态重启以主动隔离异常。然后,通过构造合适的Lyapunov-Krasovskii函数,推导出系统在拒绝服务攻击下的指数稳定性判据,为防御策略参数设计提供量化依据。最后,通过仿真实验验证了所提方案的有效性。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于掩码的选择性联邦蒸馏方案
    朱率率, 刘科乾
    2025 (6):  920-932.  doi: 10.3969/j.issn.1671-1122.2025.06.007
    摘要 ( 95 )   HTML ( 20 )   PDF(15467KB) ( 77 )  

    随着机器学习技术的不断进步,隐私保护问题越来越被重视。联邦学习作为一种分布式机器学习框架,得到了广泛应用,然而,其在实际应用中仍面临隐私泄露和低效率的挑战。为了应对上述挑战,文章提出基于掩码的选择性联邦蒸馏(MSFD)方案,该方案利用联邦蒸馏通过传递知识而非模型参数的特点,有效抵御白盒攻击,同时降低通信开销。通过在共享的软标签中引入AES加密后的掩码机制,有效解决选择性联邦蒸馏明文共享软标签易受黑盒攻击威胁的问题,显著提升对黑盒攻击的抵御能力,从而大幅提高选择性联邦蒸馏方案的安全性。通过在客户端软标签中嵌入动态加密掩码,实现隐私混淆,并结合秘密信道协商与轮次密钥更新机制,显著降低遭受黑盒攻击的风险并保持模型性能,兼顾联邦学习的安全性与通信效率。通过安全性分析和实验结果表明,MSFD在多个数据集上能够显著降低黑盒攻击成功率,同时保持分类准确率,有效提升隐私保护能力。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于深度语义解析的API越权漏洞攻击主动防御方法
    冯景瑜, 潘濛, 王佳林, 赵翔
    2025 (6):  933-942.  doi: 10.3969/j.issn.1671-1122.2025.06.008
    摘要 ( 125 )   HTML ( 22 )   PDF(12681KB) ( 42 )  

    静态化防御机制因特征与语义理解有限,难以应对API越权漏洞的动态隐蔽威胁,主动防御已逐渐成为增强网络安全的有效手段。文章提出一种融合动态语义感知与对抗验证的主动防御方法,有效阻断API越权漏洞攻击威胁;设计一种高效的动态网页爬取策略,以充分获取页面信息,结合 MiniLM 模型分析响应包内容与 URL信息的关联性,实现有效载荷的构造。文章通过微调 BERT 模型对 URL 进行自定义类别划分,以此为基础,采用 Trans-LVD 模型进行页面相似度分析,量化 URL 之间的相似程度,识别可能存在的越权漏洞,实现对网络系统安全漏洞的修补和相关配置,提升系统对未知威胁的适应性与防护能力。最后,在业界工具基准测试下进行实验分析,证明该方法在检测精度、适应性及主动防御能力方面的优越性。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于贪心算法优化工业控制系统数据冲突与DDoS攻击防御机制
    陈大, 蔡肖, 孙彦斌, 董崇武
    2025 (6):  943-954.  doi: 10.3969/j.issn.1671-1122.2025.06.009
    摘要 ( 102 )   HTML ( 9 )   PDF(12068KB) ( 26 )  

    在现代数字网络工业控制系统中,数据冲突和DDoS攻击严重威胁系统的安全与稳定。文章提出基于贪心算法优化工业控制系统数据冲突与DDoS攻击防御机制,用于同时解决数据冲突与DDoS攻击问题。首先,构建基于贪心算法的自适应资源分配模型,通过实时监测网络流量和系统状态,动态调整优先级分配策略,从而有效避免数据冲突并防御DDoS攻击。其次,基于Lyapunov定理设计控制器与观测器,进一步提升系统对数据冲突和DDoS攻击的应对能力。分析结果表明,文章所提方法能显著降低数据冲突的发生频率,并有效增强系统抵御DDoS攻击的能力。此外,通过无人机倒立摆系统的仿真实验进一步验证了该方法的有效性,为数字网络工业控制系统的安全防护提供了一种解决方案。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于四蜜协同的能源系统主动防御安全体系研究
    朱志成, 曹慧, 王寅生
    2025 (6):  955-966.  doi: 10.3969/j.issn.1671-1122.2025.06.010
    摘要 ( 126 )   HTML ( 18 )   PDF(14845KB) ( 51 )  

    能源系统作为国家关键基础设施,面临高级持续性威胁(APT)和零日漏洞攻击的严峻挑战。文章针对当前能源系统安全防御方案主要依赖特征检测与边界防护,难以应对隐蔽性高、潜伏期长的APT攻击的安全挑战,引入新型基于诱捕的四蜜协同主动防御体系,通过在能源系统中部署蜜点、蜜庭、蜜洞和蜜阵构建威胁感知网络,结合欺骗防御与动态协同机制,形成面向能源系统的“护卫式”主动防御系统,实现对攻击者的早期感知、精准判别和溯源威慑。实验结果表明,该系统在应对能源系统复杂网络攻击时可有效捕获攻击行为,及时预警潜在威胁,为能源系统面向APT攻击提供安全防护的新思路。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于随机博弈和DQN算法的云原生移动目标防御决策方法
    耿致远, 许泽轩, 张恒巍
    2025 (6):  967-976.  doi: 10.3969/j.issn.1671-1122.2025.06.011
    摘要 ( 105 )   HTML ( 10 )   PDF(10896KB) ( 29 )  

    随着云原生系统中集成应用组件的复杂性不断提高,且大部分组件为开源代码,系统组件的漏洞利用已成为影响云原生安全的主要威胁之一。移动目标防御作为一种先进的动态防御机制,被广泛认为是应对该问题的有效手段。然而,在实际应用中,频繁且无序的配置转换可能会使系统运行效率和服务质量降低,进而对资源有限系统的安全性造成不利影响。为解决云原生环境中随机攻防场景下的移动目标防御决策问题,文章结合博弈理论的建模能力与深度强化学习的求解优势,提出一种基于随机博弈和DQN算法的云原生移动目标防御决策方法,实现在大规模策略空间中进行高效最优移动目标防御策略的决策,并通过仿真实验验证了文章所提方法的有效性和实用性。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种面向NPU内存侧信道攻击的安全防护方案
    胡文澳, 严飞, 张立强
    2025 (6):  977-987.  doi: 10.3969/j.issn.1671-1122.2025.06.012
    摘要 ( 97 )   HTML ( 14 )   PDF(11979KB) ( 37 )  

    随着人工智能技术的快速发展,NPU在智能手机、自动驾驶、边缘计算等领域的应用日益广泛。然而,现有的NPU架构在抵御内存侧信道攻击方面存在不足,攻击者可以通过分析内存访问模式逆向推导出DNN模型的结构和参数。为应对这一挑战,文章提出一种面向NPU内存侧信道攻击的安全防护方案——NPUGuard,该方案通过特征图划分和加密压缩引擎两个关键模块,从增加层边界、混淆数据地址和加密保护数据3个方面提供安全保障。实验结果表明,NPUGuard能够有效增加层边界,使攻击者通过内存侧信道攻击逆向推导的可能网络数量从24种增加到7.86×105种;基于混沌映射的数据加密压缩算法在加密数据的同时,可降低60%的存储空间。此外,NPUGuard仅带来5%的性能损失,处于可接受范围,有效平衡了安全与性能之间的关系。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    拟态函数:面向无服务器的拟态防御研究
    傅则凡, 潘高宁, 任一支, 胡铭德
    2025 (6):  988-1002.  doi: 10.3969/j.issn.1671-1122.2025.06.013
    摘要 ( 101 )   HTML ( 4 )   PDF(18999KB) ( 19 )  

    虽然无服务器架构通过事件驱动和全托管模式降低了云计算的开发与运维成本,但其程序离散化、输入多源化和依赖复杂化的特性引发的安全威胁使传统防御机制难以应对。拟态防御虽能有效阻断漏洞利用链,但其异构策略在无服务器环境下存在局限性,与无服务器函数应用机制不适配,导致实际部署困难。文章针对无服务器环境的安全挑战,提出一种面向无服务器的拟态防御方案——拟态函数。文章通过分析拟态防御框架下的异构条件,设计面向无服务器架构的异构策略,构造基于无服务器的拟态防御原型系统,实现对面向无服务器的未知漏洞利用的拦截阻断;进而,为了避免拟态防御场景下的拒绝钱包攻击(DoW)放大问题,文章通过对异构执行体调度算法的设计,缓解高并发流量对异构执行体调度不均衡的影响,实现系统异构性与性能的平衡。实验结果表明,拟态函数原型系统能够有效抵御面向无服务器的未知攻击,并且能够有效控制异构执行体离散度。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    网域动态
    东南大学张静团队成果被ICML2025录用
    2025 (6):  1003-1003. 
    摘要 ( 68 )   HTML ( 4 )   PDF(1355KB) ( 16 )  
    参考文献 | 相关文章 | 计量指标
    南方科技大学张煜群课题组论文获ACM SIGSOFT杰出论文奖
    2025 (6):  1005-1005. 
    摘要 ( 59 )   HTML ( 4 )   PDF(1251KB) ( 8 )  
    参考文献 | 相关文章 | 计量指标
    我国科学家成功构建300公里级量子直接通信网络
    2025 (6):  1006-1006. 
    摘要 ( 33 )   HTML ( 5 )   PDF(1064KB) ( 7 )  
    参考文献 | 相关文章 | 计量指标
    南京大学LIPLAB 在软件缺陷定位综述研究方面取得新进展
    2025 (6):  1007-1007. 
    摘要 ( 42 )   HTML ( 6 )   PDF(1064KB) ( 7 )  
    参考文献 | 相关文章 | 计量指标