基于异构溯源图学习的APT攻击检测方法

APT攻击(Advanced Persistent Threat),指黑客组织对目标信息系统进行的高级持续性的网络攻击。APT攻击的主要特点是持续时间长和综合运用多种攻击技术,这使得传统的入侵检测方法难以有效地对其进行检测。现有大多数APT攻击检测系统都是在整理各类领域知识(如ATT&CK网络攻防知识库)的基础上通过手动设计检测规则来实现的。然而,这种方式智能化水平低,扩展性差,且难以检测未知APT攻击。为此,通过操作系统内核日志来监测系统行为,在此基础上提出了一种基于图神经网络技术的智能APT攻击检测方法。首先,为捕捉APT攻击多样化攻击技术中的上下文关联,将操作系统内核日志中包含的系统实体(如进程、文件、套接字)及其关系建模成一个溯源图(Provenance Graph),并采用异构图学习算法将每个系统实体表征成一个语义向量。然后,为解决APT攻击长期行为造成的图规模爆炸问题,提出了一种从大规模异构图中进行子图采样的方法,在此基础上基于图卷积算法对其中的关键系统实体进行分类。最后,基于两个真实的APT攻击数据集进行了一系列的实验。实验结果表明,提出的APT攻击检测方法的综合性能优于其他基于学习的检测模型以及最先进的基于规则的APT攻击检测系统。

融合语法和语义的代码注释生成方法

代码注释生成技术通过分析源代码的语法和语义生成对应的自然语言描述,可以帮助开发人员理解代码,在软件开发和维护过程中起到重要作用.本文提出了一种基于Transformer的代码注释生成方法,可以同时学习源代码的语法结构特征和顺序语义特征.具体而言,将简化的抽象语法树(Abstract Syntax Tree,AST)通过多路树-LSTM建模,捕获树形语法结构编码,在Transformer中融合语法结构信息和顺序语义信息.实验结果表明,本文方法生成的注释质量优于其他基线方法.

基于联邦元学习的安全移动边缘计算卸载框架

移动边缘计算(MEC)技术通过卸载部分计算任务到边缘服务器,可将第5代网络(5G)、云计算、大数据和人工智能等技术延伸到物联网终端。针对如何高效卸载计算任务和保障边缘数据隐私安全2个关键问题,在综述计算卸载性能优化研究基础上,本文提出了一种融合联邦学习和元学习的计算卸载应用框架,通过对计算任务的计算卸载以及计算资源的联合优化,从而实现系统加权时延和最小。在不泄露用户数据隐私的前提下,联合多个边缘服务器共同训练一个全局模型,并实现边缘服务器个性化计算卸载应用。在新的计算任务场景下,全局模型的网络参数仅用少量训练样本就能快速收敛。实验测试结果表明,本文提出的基于联邦元学习的计算卸载框架可适应未来边缘计算应用的隐私安全需求。

基于插件的安全漏洞扫描系统设计

网络安全漏洞扫描应充分考虑执行效率和功能独立扩展问题。从网络攻击的角度提出一个系统安全漏洞的分类,阐述了一个实用的基于这些漏洞分类以及插件技术的网络安全漏洞扫描系统的设计。该系统采用C/S模型结构,服务器端的扫描程序以独立的插件形式执行,可方便地添加或删除,而客户端漏洞的扫描功能设置则基于漏洞的分类。系统采用证书认证机制来保障C/S交互的安全性。

一种新的快速特征选择和数据分类方法

针对数据分类问题提出一种新型高效的特征选择和规则提取方法.首先通过减少初始区间数量改进Chi-Merge离散化方法,再采用改进的Chi-Merge离散化连续型特征变量;特征离散化后,统计样本数据在每个特征子集划分下的频数表,并根据频数表计算数据不一致率,再利用顺序前向最优搜索的方法,快速确定特征数量由小到大的每一个最优特征子集;根据特征子集对应的数据不一致率差异最小化原则,完成特征个数最小化的最优特征子集筛选;根据最优特征子集的数据频数表,可直接提取数据分类规则.实验表明,快速提取的规则可获得较好的分类效果.基于该特征选择方法,提出一种面向分布式同构数据的快速分类模型,不但具有良好的分类效果,还支持对样本数据内容的隐私保护.

TinyTCSec:一种新的轻量级无线传感器网络链路加密协议

由于WSN节点的计算和存储资源非常有限,研究非传统的新型轻量级密码协议对W SN安全具有现实意义,在链路层设计实现高效的密码协议可大大减轻WSN应用程序在通信安全的处理开销。目前,W SN混沌密码已开始受到业界关注,且出现了多种加密方案,但面临一个最大的问题是缺乏有效的混沌密钥更新方法而使W SN混沌加密无法实用。在考虑引入混沌密钥更新机制的基础上,提出并实现一种基于树型奇偶机模型的全新链路层混沌加密协议TinyTCSec。TinyOS平台上的仿真测试表明TinyTCsec较TinySec在节点内存和能耗方面相当,但具有密钥安全性高、协议数据包简单等优势,更适用于WSN数据链路安全通信。

Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统

提出了一个Android恶意代码的静态检测系统Maldetect,首先采用逆向工程将DEX文件转化为Dalvik指令并对其进行简化抽象,再将抽象后的指令序列进行N-Gram编码作为样本训练,最后利用机器学习算法创建分类检测模型,并通过对分类算法与N-Gram序列的组合分析,提出了基于3-Gram和随机森林的优选检测方法.通过4 000个Android恶意应用样本与专业反毒软件进行的检测对比实验,表明Maldetect可更有效地进行Android恶意代码检测与分类,且获得较高的检测率.

IBE-XKMS:一个基于XML的IBE密钥管理服务体系

本文详细分析了基于身份的公钥加密体制(IBE)较PKI在XKMS方面的应用优势,提出了一个面向IBE的XKMS服务体系——IBE-XKMS,阐述了系统管理、身份认证、密钥生成、密钥管理等模块的功能架构以及系统服务的逻辑关系,设计了4类IBE密钥服务,除实现基本的XKMS密钥操作接口外,还设计了支持零客户端安全应用开发的数字信封和数字签名等服务接口,为下一代网络开发环境提供了一个完整的IBE密钥管理服务解决方案。本文实现了一个IBE-XKMS原型系统,并给出IBE-XKMS和PKI-XKMS在密钥服务响应时间和SOAP消息通信量等方面的测试结果,测试结果体现了IBE-XKMS的性能优势。

TinyIBE:面向无线传感器网络的身份公钥加密系统

由于无线传感器网络节点的资源受限,大部分公钥加密算法被认为无法适用。最近的研究则显示椭圆曲线加密算法ECC(Elliptic Curve Cryptography)在无线传感器节点上运算可行,基于身份的公钥密码体制IBE也因此成为研究热点,但尚无出现完整的解决方案。在分析面向TinyOS的公钥算法相关研究工作基础上,设计实现了一套基于Tate对的身份公钥加密系统TinyIBE。首先给出椭圆曲线选择及Tate对参数优化过程,再设计在线和离线PKG两种应用方案,最后在MICA2节点上给出测试结果。

基于字节码图像和深度学习的Android恶意应用检测

提出一种将字节码转换成彩色图像后,再采用深度学习模型的新型Android恶意应用检测方法。首先将Android应用的字节码文件映射为三通道的RGB彩色图像,同时计算局部信息熵值,并将其作为Alpha通道,与RGB图像融合为带透明度的RGBA彩色图像,最后利用卷积神经网络方法对图像进行分类,实现一个Android恶意应用检测原型系统。通过对8种恶意代码家族进行分类实验验证,并与灰度图等其他同类可视化成像方法进行对比,发现该方法具有检测速度快、精确度高等优点。

神经密码协议模型研究

利用离散的神经网络模型构建密码协议是信息安全领域一项新的研究内容.首先介绍了一个基于神经网络的树型奇偶机模型,在综述基于树型奇偶机的神经密码协议研究基础上,分析了神经密码协议的权值同步方案存在模型稳定性和同步判定安全性问题,分别提出在激活函数中增加阈值和利用hash函数判定同步权值的改进方法,并利用方差分析和统计实验给出仿真结果,证实了神经密码协议的可行性,最后讨论了协议模型的安全攻击问题.

一种改进的基于位置的攻击容忍WSN安全方案

基于身份的公钥体制(IBE)在无线传感网(WSN)中的安全应用越来越多,尤其是基于位置ID的攻击容忍安全方案研究已被广泛关注,但对WSN而言该方案主要面临两大问题:(1)基于双线性对的IBE计算耗费过大;(2)要求节点位置固定即不支持节点位置的移动。研究提出了一种面向WSN的轻量级IBE加密方案TinyCKE,利用ECC组合密钥实现基于ID的公钥加密机制,较基于双线性对的IBE更适用于计算资源受限的传感节点;基于TinyCKE设计改进了一种基于位置的攻击容忍安全方案,通过对节点位置范围标识及其ID私钥有效时间的统一管理,支持节点在允许范围内任意移动并支持基于ECC组合密钥的高效认证,且使恶意节点对私钥的攻击限定在一个更新周期内,具有对节点位置和私钥时间的攻击容忍性。

基于样本增强的网络恶意流量智能检测方法

为解决现有网络流量异常检测方法需要投喂大量数据且泛化能力较差的问题,提出了基于样本增强的网络恶意流量智能检测方法。所提方法从训练集中提取关键词,且基于关键词回避策略对训练集进行样本增强,提高了方法提取文本特征的能力。实验结果表明,所提方法通过小型训练数据集即可提高网络流量异常检测模型的准确率与跨数据集检测能力,相较于其他方法,在显著降低计算复杂度的同时得到了更佳的检测能力。

Web动态口令登录新方法设计与实现

随着Internet应用的快速发展,Web登录的安全问题变得日益重要。基于口令的Hash值比对是目前Web安全登录的普遍方法。针对用户在不同网站注册时,经常采用固定用户名和口令的习惯,提出一种结合目标网站URL的Hash口令安全登录方法,解决同口令脆弱性问题;为了保护用户口令信息不以任何形式,包括口令Hash值在网络上传输,提出一种全新的基于神经网络权值同步运算的动态口令登录方案。两种方案均采用ActiveX客户端控件实现,并通过Web口令登录测试,最后给出不同方案的性能和安全对比分析。

一种新的快速模糊规则提取方法

提出一种高效的规则提取算法,采用熵测量改进Chi-merge特征区间离散化方法,模糊划分输入空间.先为每个数据生成单条规则,再聚集相同前项的单条规则产生带概率属性的分类规则.提取的规则无需任何调整,应用模糊推理便可获得较理想的分类效果,同时支持增量式规则更新.最后给出了新方法的性能测试结果.

基于双线性对的可认证密钥协商协议

针对Smart等人提出的密钥协商方案存在主密钥托管单点失效安全问题,提出两个新的可认证双线性对密钥协商协议:一个通过向可信第三方获取对方注册的公钥,及实体唯一持有的私钥,实现身份认证和密钥协商;另外直接给出一个无第三方的简单密钥协商方案,先利用椭圆曲线上的数乘实现节点安全认证,再通过双线性对生成会话密钥。最后分析两个协议均满足基本的密钥协商安全属性,并给出协议性能的综合分析。

融合显性和隐性特征的中文微博情感分析

微博情感分析是研究社交网络舆情的一项关键技术。微博表情符号和情感词汇等是一类直观显性的情感特征,而微博的内容语义则可视为隐性特征,且对情感判定往往具有决定性作用,因此本文提出将两类特征因素融合的微博情感分析方法。首先构建情感分析词典、网络用语词典以及表情符号库,定义微博频繁特征词集,再根据频繁特征词集,利用最大频繁项集获得微博初始情感簇;针对初始簇间存在文本重叠情况,提出基于短文本扩展语义隶属度的簇间重叠消减算法,获得完全分离的初始簇;最后根据簇语义相似度矩阵,给出一种凝聚式情感聚类方法。利用NLPCC2013评测所提供的训练语料进行情感分类实验,说明了分析该文方法的性能优势,并以2014年3月8日马航事件微博数据为例,给出了利用微博情感分析公众随事态发展的情感变化,说明了该文方法的实用效果。

面向无线传感器网络的混沌加密与消息鉴别算法

针对数字混沌密码无法直接在轻量的传感节点上实现,介绍了一种基于整数型混沌映射的轻量级分组加密算法,并提出一种新型的消息鉴别码方案,具有输出长度可变、混沌序列复合安全等特点,最后实现了一个完整的无线传感网数据安全传输应用方案,并在Mica2节点上给出性能分析。实验表明该方案对无线传感网具有更高的实用性。

基于模型检测的无线体域网安全协议形式化验证

在研究无线体域网(WBAN)安全属性的基础上,为了对无线体域网安全协议进行安全分析,保证协议设计之初的安全性,提出并实现了一种基于模型检测的无线体域网安全协议形式化分析和验证方法.基于模型检测工具PAT研究建模语言CSP#及其扩展方法,提出一种支持网络节点可移动的抽象建模数据结构,便于对WBAN协议的形式化建模;根据Dolev-Yao模型,结合WBAN节点位置的可移动性,建立攻击者抽象模型.以Chitra等提出的基于双天线的WBAN安全协议为例,在PAT工具中应用笔者提出的方法对其进行建模并加以分析验证,体现了方法的实用性.

基于模型检测的无线传感网安全协议形式化分析与改进

针对Zhang等人提出的一种基于位置的无线传感网络安全方案,开展基于模型检测的形式化分析与改进研究。首先采用模型检测工具SPIN分析和验证邻居节点认证协议,发现节点移动后将导致邻居节点无法认证的问题;为支持节点可移动,直接对协议给出一种改进方案,并采用模型检测对改进后的协议重新建模分析,发现存在中间人攻击威胁;最后根据模型检测结果,进一步提出用时间戳替换随机数的改进方案,可有效抵御中间人攻击。本文工作表明,模型检测不仅能实现对无线传感网络安全协议的形式化分析与验证,还可有效协助实现安全协议的设计与改进。