工业互联网流量分析技术综述

为了深入理解流量分析技术在工业互联网中的应用,基于流量分析的5个主要步骤阐述了工业互联网区别于传统互联网的独特性。同时,通过调研大量相关研究工作,总结了流量预测、协议识别与逆向、工业资产指纹识别、入侵检测、加密流量识别和漏洞挖掘6个主流研究任务,并根据任务性质将其分类为面向服务质量提高和面向安全能力提升的2类应用,充分挖掘了工业互联网中的流量分析技术应用场景。最后,针对流量分析未来进一步应用于工业互联网所面临的挑战进行了讨论,并展望了潜在的研究方向。

大模型赋能软件供应链开发环节安全研究综述

随着信息技术的快速发展,软件的模块化与产业化趋势愈加显著,导致软件构建的复杂性持续攀升,从而暴露出更多的攻击面,引发了多起软件供应链攻击事件。软件供应链安全不仅具有攻击门槛低、攻击方式多样、攻击隐蔽性强等特点,而且能够影响软件供应链下游安全,显著扩大了攻击范围,成为业界广泛关注的焦点。首先,本文介绍了软件供应链安全的背景,以大模型及软件供应链安全的相关概念为出发点,描述了软件供应链安全防护的发展历程。接着,本文着重探讨了大模型在软件开发环节供应链安全防护中的应用研究,通过系统梳理和分析现有研究成果,分别从顶级源、依赖项、软件包构件及其构建过程四个维度,介绍了大模型赋能软件供应链安全防护技术的研究现状。在此基础上,本文通过对比传统软件供应链安全防护的技术与方法,重点分析了大模型赋能软件供应链开发环节安全方面的优势和机遇。最后,结合对当前研究现状的调研分析,本文总结了大模型在软件供应链安全防护技术中面临的数据集构建、模型训练微调、模型稳定性以及引入新的供应链安全等问题,并据此提出了未来可能的研究方向,以期为推动该领域的持续发展提供有益的参考和启示。

基于人工智能的物联网恶意代码检测综述

近年来,随着物联网(Internet of things,IoT)设备的大规模部署,针对物联网设备的恶意代码也不断出现,物联网安全面临来自恶意代码的巨大威胁,亟需对物联网恶意代码检测技术进行综合研究.随着人工智能(artificial intelligence,AI)在计算机视觉和自然语言处理等领域取得了举世瞩目的成就,物联网安全领域也出现了许多基于人工智能的恶意代码检测工作.通过跟进相关研究成果,从物联网环境和设备的特性出发,提出了基于该领域研究主要动机的分类方法,从面向物联网设备限制缓解的恶意代码检测和面向性能提升的物联网恶意代码检测2方面分析该领域的研究发展现状.该分类方法涵盖了物联网恶意代码检测的相关研究,充分体现了物联网设备独有的特性以及当前该领域研究存在的不足.最后通过总结现有研究,深入讨论了目前基于人工智能的恶意代码检测研究中存在的问题,为该领域未来的研究提出了结合大模型实现物联网恶意代码检测,提高检测模型安全性以及结合零信任架构3个可能的发展方向.

GB/T 18336标准推动科研创新发展

国家标准GB/T 18336《信息技术安全技术信息技术安全评估准则》(以下简称“GB/T 18336标准”)等同采用国际安全标准ISO/IEC 15408,是国家信息技术产品安全测评领域的基础性标准。在当前国家着力推进数字中国建设的大背景下,GB/T 18336标准为强化信息技术产品安全性、提升产品国际竞争力、推动科研创新发展、维护国家网络安全起到了重要作用。

基于登录行为分析的失陷邮箱检测技术研究

发现失陷邮箱在安全运维、溯源取证工作中面临多种困难,例如,所依赖的威胁情报数据不充分、待分析的数据规模庞大、难以向邮箱所有者确认等。针对上述问题,提出了一种仅使用登录日志作为数据源且不依赖任何标记样本的失陷邮箱检测方法。首先,归纳针对邮箱账户的攻击手段,提炼出邮箱失陷模型。其次,基于所提出的邮箱失陷模型,从空间和时间的角度刻画攻击者在入侵邮箱账户时所暴露出的空间相似性和时间同步性。在利用空间相似性检测失陷邮箱时,使用图来描述邮箱之间的空间距离,再将空间距离相近的邮箱划分至同一社区,并根据社区规模来评价邮箱失陷的可能性;在利用时间同步性检测失陷邮箱时,提出一种异常登录行为的描述方法,并通过比较多个邮箱的异常行为是否集中在一定时期内来评价邮箱失陷的可能性。最后,根据失陷可能性输出一个排序的邮箱列表为分析人员提供优先级参考。实验结果表明,所提出的方法能够在降低约70%工作量的情况下检测出约98%的失陷邮箱,检测效果好于同类研究,且具备发现未知攻击者和未公开恶意IP地址的能力。

基于多视图表示学习的安卓恶意应用检测方法

安卓操作系统自发布以来一直保持着很高的市场份额,并且由于安卓应用的数量庞大、功能繁多、行为语义复杂,攻击者可采取多种手段将其真实攻击意图隐藏在合法功能之中。然而,现有检测方案往往只能识别有限类型的恶意应用及行为。为了解决这个问题,本文利用异构信息网络对现有的代表性检测方案进行高度抽象,并使用多视图表示学习和多视图融合方法对其进行深度挖掘与协同融合,以充分释放不同方案的检测潜力,构建更为精确且全面的恶意应用检测系统。为了实现上述目的,本文提出并实现了一个基于多视图表示学习的安卓恶意应用检测系统MVFDroid。该系统首先从敏感数据流、可疑控制条件和权限三个视角出发充分观察安卓应用,从而构建出异构信息网络,以描述应用行为的执行逻辑以及行为间的关联关系;然后采用基于视图的游走方式对异构信息网络进行采样,以生成不同视图下的应用行为表示向量;最后利用基于多视图融合的安卓恶意应用检测方法,将表示向量融合后送入深度神经网络(DNN)分类器中,从不同视角综合判断其目标应用的恶意性。实验表明,本文提出的方法可有效检测出安卓恶意应用,其检测的准确率为96.57%且F1值为95.56%,均优于当前的代表性检测方案Drebin、HinDroid和MaMaDroid。同时,实验结果表明,本文所使用的基于视图融合的表示学习方法可有效应用于安卓恶意应用检测任务,其效果优于基准方法DeepWalk、node2vec和metapath2vec。

基于网络行为的攻击同源分析方法研究

网络攻击威胁日益严峻,攻击溯源是增强防御能力、扭转攻防局势的重要工作,攻击的同源分析是溯源的重要环节,成为研究热点。根据线索类型的不同,攻击同源分析可以分为基于恶意样本的同源分析和基于网络行为的同源分析。目前基于恶意样本的同源分析已经取得了较为显著的研究成果,但存在一定的局限性,不能覆盖所有的攻击溯源需求,且由于恶意代码的广泛复用情况,使得分析结果不一定可靠;相比之下,基于网络行为的同源分析还鲜有出色的成果,成为溯源工作的薄弱之处。为解决现存问题,本文提出了一种基于网络行为的攻击同源分析方法,旨在通过抽取并分析攻击者或攻击组织独特的行为模式而实现更准确的攻击同源。为保留攻击在不同阶段的不同行为特征,将每条攻击活动划分为5个攻击阶段,然后对来自各IP的攻击行为进行了4个类别共14个特征的提取,形成行为特征矩阵,计算两两IP特征矩阵之间的相似性并将其作为权值构建IP行为网络图,借助社区发现算法进行攻击社区的划分,进而实现攻击组织的同源分析。方法在包含114,845条告警的真实的数据集上进行了实验,凭借实际的攻击组织标签进行结果评估,达到96%的准确率,证明了方法在攻击同源分析方面的有效性。最后提出了未来可能的研究方向。

Web追踪技术综述

Web追踪技术已经成为信息化时代背景下的研究热点,是对用户进行身份标识和行为分析的重要手段.通过跟进该领域的研究成果,从追踪技术和防御技术2方面分析Web追踪领域的研究与发展现状.首先按照技术的实现方式将Web追踪分为了存储型追踪技术和指纹型追踪技术,分析了当前研究追踪现状.其次按照追踪范围将Web追踪技术分为单浏览器追踪、跨浏览器追踪、跨设备追踪3个不同的层次,分析和讨论特征的获取技术和属性特点,论述特征、关联技术、追踪范围的关系;同时从Web追踪防御技术的形态角度,描述扩展防御、浏览器内嵌防御、防御框架工具和机制、防御对策或环境等不同技术的实现特点和抵御追踪的措施.最后总结现有研究概况,针对性分析Web追踪技术和Web防御技术的优劣势,指出当下面临的问题及可能的发展方向.

基于主机事件的攻击发现技术研究综述

在飞速发展的信息时代和数据时代,网络攻击对个人隐私、工作生活乃至生命财产安全带来了严重威胁。而主机作为人类进行日常工作交流、生活娱乐、数据存储的重要设备,成为了网络攻击的主要目标。因此,进行主机攻击发现技术的研究是紧迫且必要的,而主机事件作为记录主机中一切行为的载体,成为了当今网络攻防领域的重点研究对象。攻击者在主机中的各种恶意操作会不可避免地被记录为主机事件,但恶意事件隐藏在规模庞大的正常事件中难以察觉和筛选,引发了如何获取主机事件、如何识别并提取恶意事件、如何还原攻击过程、如何进行安全防护等一系列问题的学术研究。本文对基于主机事件的攻击发现技术相关研究进行了广泛的调研和细致的汇总,对其研究发展历程进行了梳理,并将本文所研究的基于主机事件的攻击发现技术与入侵检测、数字取证两大研究方向从分析对象、分析方法、作用时间、分析目的4个方面进行了对比,阐明了本文所研究问题的独特之处,并对其下定义。随后,本文对基于主机事件的攻击发现技术涉及的关键概念进行了解释,提出了该领域面临的依赖关系爆炸和及时性两大问题,并将研究按照阶段划分为主机事件采集、主机事件处理、主机事件分析三个类别,分别介绍了三个类别围绕两大问题共计12个细分方向的研究成果和进展,最后结合研究现状提出了主机事件记录的完整性和可信性、攻击发现的时效性、跨设备的攻击发现、多步骤攻击的发现、算法的运用等5个未来可能的研究方向。

安全漏洞等级划分关键技术研究

针对安全漏洞管理过程中涉及到的威胁等级划分问题,选取了访问途径、利用复杂度和影响程度3组安全漏洞评估要素,采用层次分析法建立安全漏洞等级划分模型,将安全漏洞等级评定为超危、高危、中危和低危4个级别。最终为安全漏洞国家标准制定、安全漏洞管理、安全漏洞处理、风险评估、风险减缓等方面的工作提供参考。

Flash跨站脚本漏洞挖掘技术研究

Flash引起的跨站脚本攻击能够导致用户隐私泄露,严重威胁Web安全.有必要对此类漏洞的挖掘技术进行深入研究,尽早发现并修复安全隐患.通过分析总结可以导致XSS(cross-site scripting)漏洞的不安全ActionScript函数,设计并实现了Flash跨站脚本漏洞挖掘工具(flash XSS detector,FXD).它将静态分析和动态测试技术相结合,能够自动地反编译Flash文件,分析ActionScript文件中包含的危险函数及对应参数,并通过动态测试方法加以验证.通过使用该工具对Alexa Top100站点中的Flash文件进行广泛的测试,发现18个站点的48个Flash应用可以导致XSS攻击.该测试结果表明了FXD的有效性和先进性.

安全漏洞标识与描述规范的研究

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容。该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准。

对抗机器学习在网络入侵检测领域的应用

近年来,机器学习技术逐渐成为主流网络入侵检测方案。然而机器学习模型固有的安全脆弱性,使其难以抵抗对抗攻击,即通过在输入中施加细微扰动而使模型得出错误结果。对抗机器学习已经在图像识别领域进行了广泛的研究,在具有高对抗性的入侵检测领域中,对抗机器学习将使网络安全面临更严峻的安全威胁。为应对此类威胁,从攻击、防御2个角度,系统分析并整理了将对抗机器学习技术应用于入侵检测场景的最新工作成果。首先,揭示了在入侵检测领域应用对抗机器学习技术所具有的独特约束和挑战;其次,根据对抗攻击阶段提出了一个多维分类法,并以此为依据对比和整理了现有研究成果;最后,在总结应用现状的基础上,讨论未来的发展方向。

基于机器学习的工业互联网入侵检测综述

过去几年中,机器学习算法在计算机视觉、自然语言处理等领域取得了巨大成功.近年来,工业互联网安全领域也涌现出许多基于机器学习技术的入侵检测工作.从工业互联网的自身特性出发,对目前该领域的相关工作进行了深入分析,总结了工业互联网入侵检测技术研究的独特性,并基于该领域中存在的3个主要研究问题提出了新的分类方法,将目前基于机器学习的互联网入侵检测技术分为面向算法设计的研究工作、面向应用限制和挑战的研究工作,以及面向不同ICS攻击场景的研究工作.该分类方法充分展现了不同研究工作的意义以及该领域目前研究工作中存在的问题,为未来的研究工作提供了很好的方向和借鉴.最后基于目前机器学习领域的最新进展,为该领域未来的发展提出了2个研究方向.

物联网访问控制安全性综述

近年来物联网安全事件频发,物联网访问控制作为重要的安全机制发挥着举足轻重的作用.但物联网与互联网存在诸多差异,无法直接应用互联网访问控制.现有的物联网访问控制方案并未重视其中的安全性问题,物联网访问控制一旦被打破,将造成隐私数据泄露、权限滥用等严重后果,亟需对物联网访问控制的安全性问题与解决方案进行综合研究.根据物联网架构复杂、设备多样且存储与计算性能较低的特性,梳理了物联网访问控制中的保护面和信任关系,形成信任链,并论述了信任链中的风险传递规律.围绕保护面和信任链,从感知层、网络层、应用层分别综述了现有的访问控制攻击面,分析了存在的安全风险.针对安全风险提出了应有的访问控制安全性要求,包括机制完善、应对攻击面、多级认证与授权、结合具体场景,基于这4个要求总结了现有的安全性解决方案和针对性的访问控制框架.最后讨论了物联网访问控制设计中所面临的挑战,指出了深入研究物联网云平台访问控制、物联网云对接标准化、引入零信任理念3个未来的研究方向.

面向OAuth2.0授权服务API的账号劫持攻击威胁检测

OAuth2.0授权协议在简化用户登录第三方应用的同时,也存在泄露用户隐私数据的风险,甚至引发用户账号被攻击劫持。通过分析OAuth2.0协议的脆弱点,构建了围绕授权码的账号劫持攻击模型,提出了基于差异流量分析的脆弱性应用程序编程接口(API)识别方法和基于授权认证网络流量监测的账号劫持攻击验证方法,设计并实现了面向OAuth2.0授权服务API的账号劫持攻击威胁检测框架OScan。通过对Alexa排名前10 000的网站中真实部署的3 853个授权服务API进行大规模测试,发现360个存在脆弱性的API。经过进一步验证,发现了80个网站存在账号劫持攻击威胁。相较类似工具,OScan在覆盖身份提供方(IdP)全面性、检测依赖方(RP)数量和威胁检测完整性等方面均具有明显的优势。

基于双向循环神经网络的安卓浏览器指纹识别方法

2010年浏览器指纹的概念被提出用于识别用户身份,目前这项技术已趋于成熟并被广泛应用在一些流行的商业网站进行广告投放.然而传统的指纹技术在追踪用户方面问题颇多,无论系统升级、浏览器更新还是篡改程序伪造导致的指纹特征值改变,都会使浏览器指纹发生变化.在对浏览器指纹属性进行研究的基础上,采集了安卓用户的浏览器指纹,提出了一种用于身份识别的监督学习框架RNNBF.RNNBF的鲁棒性分别体现在数据和模型方面,在数据方面构建基于指纹的数据增强技术生成增强数据集,在模型方面采用注意力机制令模型专注于具有不变性的指纹特征.在模型评估方面,RNNBF模型与单层LSTM模型和随机森林模型分别进行比较,当以F1-Score作为评估标准时,RNNBF模型的识别效果优于后两者,证明了RNNBF模型在动态链接指纹上具有卓越的性能.

基于网络欺骗的家用无线路由器防护方法

随着移动智能终端、互联网、物联网等技术的高速发展,无线路由器已经成为家庭组网的首选.然而家用无线路由器安全问题众多,使得家用无线路由器自身以及接入无线路由器的智能终端面临极大的安全风险.在分析总结无线路由器硬件层面、固件层面、配置管理、通信协议等攻击面的基础上,提出一种基于网络欺骗的家用无线路由器防御方法,通过监测HTTP协议网络攻击行为,将疑似网络攻击流量牵引至影子服务器,进而降低无线路由器自身的安全风险,同时也为进一步的攻击取证分析以及攻击者追踪溯源提供数据支撑.设计实现基于OpenWrt的无线路由器防御框架原型系统OWCD,并部署于斐讯Phicomm K1无线路由器中进行测试,实验验证结果表明:OWCD能够有效对抗针对无线路由器的弱口令、CSRF、命令注入等攻击手段,是一种有效可行的防护方案.

基于功能代码片段的Java后门检测方法

随着软件供应链污染的兴起,Java开源组件的安全性正面临着越来越严峻的挑战,近年来也出现了若干起因Java开源组件被植入后门而导致大规模的软件污染的安全事件。为了更好地检测Java开源组件和Java程序的安全性,本文在大量分析Java后门样本的基础上,构建了Java后门的检测模型作为理论基础;在统计分析实际后门常用Java API的基础上,归纳了一系列适用于检测Java后门的规则;提出了基于功能代码片段的后门分析方法,并且结合自底向上的数据流分析方法,实现了首款面向Java源码的后门检测系统JCAT(Java Code Analysis Tool)。以阿里供应链大赛提供的119个样本验证JCAT的检测能力,取得了准确率90.22%的良好效果,并将漏报率和误报率分别控制在较低水平。

基于多类特征的Android应用恶意行为检测系统

目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.