重构网络空间安全防御模型——SARPPR

新型网络安全威胁层出不穷,建立有效的网络安全防御模型已经成为迫切需求和必然趋势。传统的网络安全防御模型包括PDR(Protection-Detection-Response)、PDRR(Protection-Detection-Response-Recovery)和APPDRR(As-sessment-PolicyProtection-Detection-Reaction-Restoration)模型等,其中经典的APPDRR模型通过风险分析、安全策略、系统防护、动态检测、应急响应和灾难恢复6个环节来提高网络安全性。随着网络攻防手段的不断发展,APPDRR模型已经不能满足网络安全防御的现实需求。随着网络安全态势分析、主动防御、拟态防御、盾立方等新兴网络安全防御技术的提出与发展,亟须对原来的网络空间安全防御模型进行重构和扩充。针对该问题,对APPDRR模型进行了重构,同时根据防护的实际情况,首次提出了“护卫模式+自卫模式+迭代模式”的SARPPR(Sensing-Assessment-Response-Pol-icy-Protection-Restoration)模型,以涵盖和指导网络空间安全防御的最新技术,应对复杂的网络安全威胁。从重要活动安全保障角度出发,在传统“自卫模式”的基础上,本模型提出了“护卫模式”和“迭代模式”,实现了事前预防、事中应对、事后复盘的全生命周期防御。该模型是首个覆盖防御全生命周期的网络空间安全保障模型,可以应对高隐蔽APT(AdvancedPersistentThreat)等未知网络安全威胁研判,以及现有信息系统内生安全能力建设等难题。该模型已应用于第24届冬季奥林匹克运动会(简称北京冬奥会)、杭州第19届亚洲运动会(简称杭州亚运会)、第31届世界大学生夏季运动会(简称成都大运会)、中国(深圳)国际文化产业博览交易会(简称文博会)、中国进出口商品交易会(简称广交会)等重大活动的网络安全保障,实现了零事故,实践结果验证了模型的有效性。

网络威胁情报共享与融合技术综述

随着网络空间新生威胁日趋复杂多变,攻击方式从单一化向协作化、隐蔽化发展,传统被动式网络安全防御体系受到极大挑战,其面临的一个主要难题是信息获取能力的不对称,导致防御方难以及时掌握和检测协作形式的规模化网络攻击。网络威胁情报(Cyber Threat Intelligence,CTI)记录攻击者的行为特征,通过对攻击线索进行关联分析能够有效地检测和研判复杂网络攻击,是主动协同网络安全防御体系的关键。然而,在威胁情报应用过程中需要提高情报共享的安全性和性能,并解决多源情报格式异构和概念冲突等问题,这引起了学术界和产业界的众多关注。深入调研近年来的相关成果,从情报共享和情报融合两个角度整理已有工作并进行总结,最后指出该领域未来的研究方向。通过梳理和分析现有威胁情报共享和融合的研究概况,推进我国威胁情报应用工作的发展,进一步提升网络空间主动协同防御的能力。

网络靶场研究现状与展望

当今社会各种网络安全事件不断发生,网络安全研究受到世界各国高度重视。为了更好地支撑网络安全技术研究,避免攻防演练和技术验证对真实的网络和生产环境造成不良影响,网络靶场应运而生。作为一种特殊的测试平台,网络靶场可提供逼真、可控、灵活的实验环境,能够有效降低研究成本、缩短研究周期、规避研究风险。因此,网络靶场是支持网络空间安全技术研究的重要基础设施和世界各国高度重视的科学实验平台。随着网络靶场基础支撑技术和计算模型的不断演进,网络靶场正面临新的问题与挑战。因此,介绍网络靶场的发展历程、典型分类及技术架构;分析国内外工业界和学术界的研究现状,归纳各国典型靶场的建设情况,梳理靶场关键技术的研究进展;总结网络靶场面临的挑战问题,并展望网络靶场的未来发展趋势,这项工作对国内网络靶场技术研究和网络靶场项目建设具有参考价值。

基于二阶对抗样本的对抗训练防御

深度神经网络(DNN)应用于图像识别具有很高的准确率,但容易遭到对抗样本的攻击。对抗训练是目前抵御对抗样本攻击的有效方法之一。生成更强大的对抗样本可以更好地解决对抗训练的内部最大化问题,是提高对抗训练有效性的关键。该文针对内部最大化问题,提出一种基于2阶对抗样本的对抗训练,在输入邻域内进行2次多项式逼近,生成更强的对抗样本,从理论上分析了2阶对抗样本的强度优于1阶对抗样本。在MNIST和CIFAR10数据集上的实验表明,2阶对抗样本具有更高的攻击成功率和隐蔽性。与PGD对抗训练相比,2阶对抗训练防御对当前典型的对抗样本均具有鲁棒性。

面向边缘智能的两阶段对抗知识迁移方法

对抗样本的出现,对深度学习的鲁棒性提出了挑战.随着边缘智能的兴起,如何在计算资源有限的边缘设备上部署鲁棒的精简深度学习模型,是一个有待解决的问题.由于精简模型无法通过常规的对抗训练获得良好的鲁棒性,提出两阶段对抗知识迁移的方法,先将对抗知识从数据向模型迁移,然后将复杂模型获得的对抗知识向精简模型迁移.对抗知识以对抗样本的数据形式蕴含,或以模型决策边界的形式蕴含.具体而言,利用云平台上的GPU集群对复杂模型进行对抗训练,实现对抗知识从数据向模型迁移;利用改进的蒸馏技术将对抗知识进一步从复杂模型向精简模型的迁移,最后提升边缘设备上精简模型的鲁棒性.在MNIST,CIFAR-10和CIFAR-100这3个数据集上进行验证,实验结果表明:提出的这种两阶段对抗知识迁移方法可以有效地提升精简模型的性能和鲁棒性,同时加快训练过程的收敛性.

一种基于二维码对抗样本的物理补丁攻击

深度学习技术在图像识别领域已经得到广泛应用,识别准确率超过人类平均水平。然而最近的研究表明,深度神经网络的性能会因对抗样本的存在而大幅降低。攻击者通过在待识别的图像中添加精心设计的微小扰动,误导分类器做出错误预测。另一个方面,在数字空间生成的扰动也能够转移到物理空间并用于攻击。为此,本文提出了一种基于二维码对抗样本的物理补丁攻击方法。将生成的二维码贴在道路交通标志表面的指定位置,使得分类器输出错误的分类。实验结果表明了本文方法的有效性,同时,将数字空间生成的对抗样本用于物理空间中的交通标志攻击,仍可以保持较高的成功率。

针对深度神经网络模型指纹检测的逃避算法

随着深度神经网络在不同领域的成功应用,模型的知识产权保护成为了一个备受关注的问题.由于深度神经网络的训练需要大量计算资源、人力成本和时间成本,攻击者通过窃取目标模型参数,可低成本地构建本地替代模型.为保护模型所有者的知识产权,最近提出的模型指纹比对方法,利用模型决策边界附近的指纹样本及其指纹查验模型是否被窃取,具有不影响模型自身性能的优点.针对这类基于模型指纹的保护策略,提出了一种逃避算法,可以成功绕开这类保护策略,揭示了模型指纹保护的脆弱性.该逃避算法的核心是设计了一个指纹样本检测器——Fingerprint-GAN.利用生成对抗网络(generative adversarial network,GAN)原理,学习正常样本在隐空间的特征表示及其分布,根据指纹样本与正常样本在隐空间中特征表示的差异性,检测到指纹样本,并向目标模型所有者返回有别于预测的标签,使模型所有者的指纹比对方法失效.最后通过CIFAR-10,CIFAR-100数据集评估了逃避算法的性能,实验结果表明:算法对指纹样本的检测率分别可达95%和94%,而模型所有者的指纹比对成功率最高仅为19%,证明了模型指纹比对保护方法的不可靠性.

一种新型玻璃3D打印方案

3D打印是一项可以变革制造业的新兴技术。通过数字模型生产三维实体,3D打印在近十年受到了社会各界的关注,越来越多的公司、研究机构研发新型3D打印技术及3D打印机,越来越多的行业开始使用3D打印提高生产效率,力推工业进步和发展。玻璃工艺是我国传统文化的一个重要标志,玻璃制品也是人们日常生活中最为常见的类型。然而,传统的玻璃生产工艺效率低,成品率差,难以完成复杂形状的定制。3D打印这项技术和玻璃产业的结合,不仅可以大大提高玻璃生产的效率,提高成品率,还可以完成复杂形状的打印,充分发挥玻璃艺术创作者的创作天赋,促进玻璃行业的快速发展。然而,玻璃3D打印和传统3D打印相比难度更大,挑战性更高。玻璃材质熔点高,玻璃液态固化成型需要精确的温度控制等问题,均成为阻碍玻璃3D打印发展的难题。本文充分利用3D打印现有技术,基于熔丝堆积打印原理,提出一种新型玻璃3D打印方案,同时结合温度和运动的精确控制,实现玻璃制品的打印。

一种应用于文本分类的段落向量正向激励方法

文本分类广泛应用于文档检索、网络搜索等领域,其中文本的向量化表示对于分类性能的提高具有重要的影响。在将变长文本表示成定长向量时,传统的段落向量化算法Doc2Vec忽视了该算法每轮训练的次数与段落长度高度相关的问题,以及长段落包含短段落信息的情况,限制了分类模型准确率的进一步提升。针对该问题,该文提出一种应用于文本分类的基于段落向量正向激励的方法。首先,根据中位数划分长、短段落向量,然后在分类模型输入过程中提升长段落向量的权重,实现提高模型分类准确率的目的。在Stanford Sentiment Treebank、IMDB和Amazon Reviews三个数据集上的实验结果表明,通过选择适当的激励系数,采用段落向量正向激励的分类模型可以获得更高的分类准确率。

面向人脸识别的口罩区域修复算法

遮挡下的人脸识别一直是现实场景中的一个难题。特别是新冠肺炎疫情爆发后,在机场、车站等需要鉴别入场人员身份信息的场所,口罩遮挡使得可供识别的面部特征大幅减少,原有的人脸识别算法准确率随之下降。对去除口罩遮挡进行了研究,提出了一个新的框架修复人脸,利用边缘生成网络还原遮挡区域的边缘,在此基础上再利用区域填充网络恢复被遮挡的人脸,同时保留身份信息。为提升模型的性能,提出空间加权对抗损失和身份一致性损失训练上述网络,并利用关键点信息,构建了两个戴口罩的人脸数据集。实验结果表明,恢复被口罩遮挡的人脸的图像使人脸识别算法ArcFace的准确率达到98.39%,比直接采用ArcFace识别遮挡人脸提升了4.13%的准确率。

基于人工智能的网络空间安全防御战略研究

网络空间是继陆、海、空、天之后的第五大活动空间,维护网络空间安全是事关国家安全、国家主权和人民群众合法权益的重大问题。随着人工智能技术的飞速发展和在各领域的应用,网络空间安全面临着新的挑战。本文分析了人工智能时代网络空间安全面临的新风险,包括网络攻击越来越智能化,大规模网络攻击越来越频繁,网络攻击的隐蔽性越来越高,网络攻击的对抗博弈越来越强,重要数据越来越容易被窃取等;介绍了人工智能技术在处理海量数据、多源异构数据、实时动态数据时具有显著的优势,能大幅度提升网络空间防御能力;基于人工智能的网络空间防御关键问题及技术,重点分析了网络安全知识大脑的构建及网络攻击研判,并从构建动态可扩展的网络安全知识大脑,推动有效网络攻击的智能化检测,评估人工智能技术的安全性三个方面提出了针对性的发展对策和建议。

大数据产业现状和挑战

系统地论述了大数据产业现状和挑战,介绍了大数据产业基本概念和范畴,分析了大数据产业生态中各环节,总结了大数据产业发展的政策环境以及投融资环境,最后,总结了大数据产业发展在数据共享、交易、隐私保护等方面面临的挑战。

针对卷积神经网络流量分类器的对抗样本攻击防御

随着深度学习的兴起,深度神经网络被成功应用于多种领域,但研究表明深度神经网络容易遭到对抗样本的恶意攻击。作为深度神经网络之一的卷积神经网络(CNN)目前也被成功应用于网络流量的分类问题,因此同样会遭遇对抗样本的攻击。为提高CNN网络流量分类器防御对抗样本的攻击,本文首先提出批次对抗训练方法,利用训练过程反向传播误差的特点,在一次反向传播过程中同时完成样本梯度和参数梯度的计算,可以明显提高训练效率。同时,由于训练用的对抗样本是在目标模型上生成,因此可有效防御白盒攻击;为进一步防御黑盒攻击,克服对抗样本的可转移性,提出增强对抗训练方法。利用多个模型生成样本梯度不一致的对抗样本,增加对抗样本的多样性,提高防御黑盒攻击的能力。通过真实流量数据集USTC-TFC2016上的实验,我们生成对抗样本的网络流量进行模拟攻击,结果表明针对白盒攻击,批次对抗训练可使对抗样本的分类准确率从17.29%提高到75.37%;针对黑盒攻击,增强对抗训练可使对抗样本的分类准确率从26.37%提高到68.39%。由于深度神经网络的黑箱特性,其工作机理和对抗样本产生的原因目前没有一致的认识。下一步工作对CNN的脆弱性机理进行进一步研究,从而找到更好的提高对抗训练效果的方法。

自动驾驶场景下对交通路标对抗攻击的防御

针对现有单一对抗防御方法不能使自动驾驶视觉系统有效抵御交通路标对抗攻击的问题,提出一种多阶段对抗防御方法。首先,应用焦点损失消除正负样本数量不平衡的影响,提高对抗训练过程中模型分类的准确率;同时为使模型拥有更强的泛化能力,对数据集做混合数据增强,并在训练开始前预热学习率。然后,使用知识蒸馏算法将教师模型群的"知识信息"迁移到学生模型群。最后,以加权的方式平均学生模型群体的预测结果。经本防御方法训练后,学生模型对交通路标对抗样本的分类准确率由8%~19%提升到了69%~83%;同时与单一对抗防御方法相比,学生模型群体的预测准确率高达85%,优于现有防御模型。在轻量级条件下,利用本防御方法训练的深度学习模型能有效抵御交通路标的对抗攻击,可为自动驾驶视觉系统防御对抗攻击提供参考。

基于对抗点的局部点云神经网络特征匹配攻击

对基于点云神经网络的局部形状特征匹配模型进行对抗攻击,有益于评估并提高其对抗鲁棒性.针对上述问题,提出了3种基于对抗点的攻击方法,包括通过移动原始待匹配局部点云中点的坐标进行对抗点扰动;计算局部点云的显著图,通过添加点到显著图中关键点的位置并施加位移进行对抗点添加;通过将显著图中的关键点移动到形状中心位置进行对抗点删除.在3DMatch数据集上针对DIP模型和SpinNet模型的实验结果表明,3种攻击方法均能实现有效攻击;攻击的效果与所设置的扰动大小有关;在保证隐蔽性的前提下,随着扰动的增大,攻击效果逐渐显著,如DIP模型被攻击后的特征匹配召回率可从100%降低至2%.

本科生——清华学堂计算机科学实验班(姚班)

目标：培养领跑国际拔尖创新计算机科学人才姚期智院士凭借美国MIT、Stanford、Princeton等经验亲自制定培养方案和教学计划，精心设置专业核心课程18门，覆盖计算机科学前沿领域，全英文教学，并亲自授课6门。