基于不平衡数据的物联网异常流量检测

为应对数据类别不平衡问题,导致物联网异常流量检测模型性能低下,提出一种基于不平衡数据的物联网异常流量检测方法.首先,采用基于马氏距离(Mahalanobis distance,MD)的K-means SMOTE-ENN算法生成无噪声的数据,以有效实现数据样本分布均衡.其次,针对异常流量检测模型性能低下,构建了卷积神经网络(convolutional neural network,CNN)和双向长短期记忆网络(bi-directional long short-term memory,BiLSTM)相结合的模型,提取异常流量的局部卷积特征以及关键特征.最后,通过全连接层和分类器进行分类.实验结果显示,相较于现有异常流量检测方法,所提出的方法在准确率、召回率、精确率和F1值等评价指标上均取得显著提升.该模型能够准确识别流量中的异常行为,准确率高达99.43%.

Tenda AX12路由器0-Day栈溢出漏洞挖掘方法

随着5G技术对物联网发展的加速,预计到2025年将会有约250亿台物联网设备连接到人们的生活。其中承担物联网设备网络管理角色的路由器使用量非常大,但是路由器存在众多安全问题,通过路由器设备进行攻击,可以非法获取用户信息。为了维护网络安全,提前发现路由器的漏洞具有重要的研究意义。本文以Tenda AX12路由器为研究对象,从固件入手对其进行0-Day栈溢出漏洞挖掘研究,并提出了基于危险函数追踪的逆向分析漏洞挖掘方法。首先从危险函数中分析函数所在前端的对应位置,将前后端对应;然后对固件中的Web服务进行分析,对其中可能发生栈溢出的httpd二进制代码进行危险函数分析,该方法使用反汇编代码对危险函数的普通形式和展开形式进行定位,并对危险函数进行参数分析和动态检测;接着通过搭建仿真模拟机在模拟机上运行该服务的二进制文件,并在Web前端页面对潜在漏洞位置进行数据包捕捉;最后根据前期分析的危险函数参数情况对包进行改写并发送,以此来触发漏洞,验证漏洞的存在性,同时验证该危险函数是否发生栈溢出。为了更真实地确定漏洞存在,我们又在真实设备上验证漏洞的真实存在性和可利用性。实验结果表明了该漏洞的挖掘检测方法的有效性,我们分别在不同型号的路由器上挖掘到4个0-Day漏洞,并且经过与SaTC工具进行对比实验结果表明该检测方法能够更准确的定位到出现漏洞的函数位置。

针对YOLOv8的全局对抗攻击方案设计

当前,基于深度学习的目标检测技术得到了快速发展,像YOLOv8等先进的目标检测器在自动驾驶等领域得到了广泛的应用。根据研究表明,此类目标检测器很容易受到对抗样本的攻击。本文针对当前先进的YOLOv8目标检测器的网络结构设计了一种不可察觉的全局扰动攻击方案Adam-TOG,该方案在梯度迭代攻击的基础上引入了Adam算法作为优化方案,很好的解决了梯度迭代过程中优化算法容易陷入欠佳的局部最优解的问题,进而提升了方案的攻击效果。实验结果表明,本文的攻击方案可以使YOLOv8目标检测器在VOC数据集上的检测精度下降至26%,相较于基线方案TOG(Targeted Adversarial Objectness Gradient Attacks)攻击成功率提高了15%,这充分说明本文提出的攻击方案的高效性。

电力物联网零信任架构下的分布式认证模型

针对智能电网大量分布式异构终端无限公网接入、新型电力交互业务、新信息技术应用在电力系统等行业发展趋势给电力系统带来的新型网络安全挑战,基于零信任安全架构,提出一种分布式认证模型,在电力物联网整体安全架构下,充分发挥零信任安全理念和技术的优势,结合电力终端硬件可信计算模块提供的可信信任根技术,拓展和延伸电力智能终端和接入网络的主动安全防护能力,以应对智能电网所面临的新型网络安全挑战.该模型将零信任安全架构中的动态信任评估和南向终端认证模块下沉到边缘智能设备,以终端可信模块提供的信任根为基础,进行信任和访问控制的细分及扩展,在兼容现有电力物联网认证模型基础上,充分发挥零信任安全理念和技术在终端安全接入、安全监控、业务细粒度防护方面的具体优势,提升电力物联网系统整体网络安全防护能力.

一种基于深度神经网络的多阶段PUF抗建模能力评估方法

针对现有评估方法均无法全面评估物理不可克隆函数(PUF)抗建模能力的问题,定义PUF面临的3级建模威胁模型,分别阐明3类攻击的目的、对手的知识能力、攻击策略和攻击模式。基于此,设计一种基于深度神经网络的PUF抗建模能力评估方法,使用前馈神经网络建模攻击和侧信道建模攻击作为评估工具,分3个阶段依次评估目标PUF抵御机器学习建模攻击、可靠性侧信道攻击和功耗/电磁侧信道攻击的能力,解决传统方法无法评估PUF抗侧信道建模能力的问题。评估结果表明,被测PUF中仅有少部分拥有抗机器学习建模和抗可靠性建模能力,但均不具备抗功耗侧信道建模能力。

生成式伪造语音安全问题与解决方案

生成式人工智能算法的发展使得生成式伪造语音更加自然流畅,人类听力难以分辨真伪.首先分析了生成式伪造语音不当滥用对社会造成的一系列威胁,如电信诈骗更加泛滥、语音应用程序安全性下降、司法鉴定公正性受到影响、综合多领域的伪造信息欺骗社会大众等.然后从技术发展角度,对生成式伪造语音的生成算法和检测算法分别进行总结与分类,阐述算法流程步骤及其中的关键点,并分析了技术应用的挑战点.最后从技术应用、制度规范、公众教育、国际合作4方面阐述了如何预防以及解决生成式伪造语音带来的安全问题.

一种基于模板的RSA-CRT模约减攻击方法

目前针对RSA-CRT的建模类攻击研究较少,本文以模约减操作为研究对象,提出了一种针对RSA-CRT实现的模板攻击方法.该方法的核心是解决了如何由模约减后中间值的汉明重量恢复RSA-CRT私钥的难题.该方法的特点是基于模约减后中间值的汉明重量模型建模,通过采集选择密文模约减的能量迹进行模板匹配获取模约减后中间值的汉明重量,由汉明重量变化值恢复中间值,进一步恢复RSA-CRT算法的私钥.另外,该方法的优点在于理想情况下,基于中间值汉明重量模型建立的模板之间可以共用,且对中间值以多少位大小建模没有限制,可以选择字节大小,64位大小,甚至私钥p相同大小,实际环境中可根据泄露信息情况进行选取.最后,本文选择对中间值的最低字节进行建模,验证了该方法的可行性,并给出了防护建议.

一种适用于物联网设备的基于异或门的Pico物理不可克隆函数

针对可重构Pico-PUF对机器学习建模攻击抵抗能力较弱,本文对RPPUF进行了改进,提出了一种基于异或门的抗ML攻击的可重配置Pico-PUF,即XORPPUF.通过将可配置逻辑中的每个非门替换为异或门,并将PUF的输出进行混淆处理,提高了PUF抗ML攻击能力,同时保持PUF性能.在Xilinx Spartan-6XC6SLX25FPGA开发板上实现并验证了提出的XORPPUF.实验结果表明,XORPPUF实现了46.01%的唯一性、99.10%的温度可靠性以及49.1%的均匀性.与RPPUF结构相比,提高了0.21%的唯一性、1.10%的均匀性以及72×的挑战开销比率.不仅如此,对于支持向量机、逻辑回归、决策树、随机森林和人工神经网络攻击时的识别准确率,提出的XORPPUF相比RPPUF分别降低了47.40%、31.37%、12.63%、13.83%和41.16%,即XORPPUF在抗ML攻击中也有着比RPPUF更好的表现.因此更适合资源有限的物联网设备.

基于标识密码的双向认证的安全启动协议

传统安全启动方案的认证环节是基于PKI体制实现,在设备数量剧增的情况下,证书的管理会增加系统复杂性,认证过程仅实现了单向认证,安全性不足;此外,由于选择了链式信任链,导致了在启动过程中的信任传递损失较大;针对上述问题,文章提出了一种基于IBC的Secure boot方案,即IBCEB方案;该方案使用了IBC体制的国家标准SM9算法作为实现方法,实现了无证书的双向认证协议,并对信任链模型进行了优化,降低了信任传递的损失;在ZC706评估板上进行了测试,测试结果表明,设备在双向认证后成功启动,提高了系统的安全性。

人工智能算力基础设施安全体系架构研究

人工智能算力基础设施是人工智能发展的重要基石,但由于其属性多样、节点复杂、用户数量多以及人工智能自身脆弱性等特性,使得人工智能算力基础设施在建设和运营过程中面临着严峻的安全挑战.分析了人工智能算力基础设施的内涵和安全发展的背景形势,从强化自身安全、保障运行安全、助力安全合规3方面提出了人工智能算力基础设施安全体系架构及发展建议,旨在为人工智能算力基础设施安全建设提供方法和思路,为选择使用安全的人工智能算力基础设施提供判别依据,为人工智能产业健康、持续发展提供决策参考.

银行业DAO数字化安全运营体系研究

在网络威胁呈爆发式增长的当下,随着业务模式数字化重塑与业务持续性增长,银行业面临因网络安全防线持续扩大所导致的安全设备冗杂、安全运营任务繁重、实战能力不足等问题.对银行业金融机构在安全运营中所面临的挑战进行分析,提出了融合平战一体化安全运营机制的银行业DAO(defence,ability and operation)数字化安全运营体系,重点研究纵深化防护基础、原子化能力中枢、数字化运营总台3层次架构,以及针对常态化、高强度、无间断防护目标的平战一体机制实施路径.

基于内存增强自编码器的轻量级无人机网络异常检测模型

为了解决传统智能攻击检测方法在无人机网络中存在的高能耗以及高度依赖人工标注数据的问题,提出一种基于双层内存增强自编码器集成架构的轻量级无人机网络在线异常检测模型。采用基于操作系统的消息队列进行数据包缓存,实现对高速数据流的持久化处理,有效提升了模型的稳定性和可靠性。基于衰减窗口模型计算数据流复合统计特征,以增量更新方式降低了计算过程中的内存复杂度。利用层次聚类算法对复合统计特征进行划分,将分离的特征输入集成架构中的多个小型内存增强自编码器进行独立训练,降低了计算复杂度,同时解决了传统自编码器因重构效果过拟合而导致的漏报问题。在公开数据集和NS-3仿真数据集上的实验表明,所提模型在保证轻量级的同时,与基线方法相比,假阴性率分别平均降低了35.9%和48%。

SSFuzz:状态敏感的网络协议服务灰盒模糊测试技术

网络协议服务作为个人设备与互联网交互的接口,其脆弱性严重威胁用户的隐私和信息安全。最先进的网络协议灰盒模糊测试工具在代码覆盖率的基础上引入了状态反馈,通过分析网络协议服务的状态信息,进一步筛选有效的变异种子。但是,不同的模糊测试工具对网络协议服务状态有着不同的定义,如AFLNET通过分析服务器响应数据包的内容提取状态,StateAFL定义长寿命内存作为程序状态。在状态收集上,SGFuzz通过分析Enum类型数据定义,识别状态变量的赋值语句并插桩。然而,SGFuzz无法识别状态变量的间接赋值语句,对于状态变量的识别并不全面。同时,在构建状态机时,不同的模糊测试技术对状态机节点有着不同的定义,难以在同一个模糊测试工具上同时使用多种状态收集策略。此外,在实验设计上,现有的方案倾向于比较相同时间内的代码覆盖率情况。但是,代码覆盖率的增长受到多方面因素的影响,如吞吐量、种子筛选策略等。相同时间内的代码覆盖率实验适用于不同模糊测试工具之间的比较,对于其中单个模块的改进实验则不适用。针对以上问题,提出了SSFuzz。具体地,SSFuzz研究了基于状态变量的插桩方式,依据代码编译过程中的抽象语法树信息,识别状态变量赋值的间接赋值方法,能够更精准地对状态变量赋值语句进行插桩;其次,SSFuzz对用于指导状态筛选的状态机进行了定义,该方法有助于不同的状态反馈策略共同构建状态机。实验结果表明,SSFuzz能够实现对大部分网络协议服务的插桩,并且相较于SGFuzz,能够实现对间接赋值语句的插桩。此外,讨论了适用于评估状态机有效性的实验方法,并证明了SSFuzz能够以更少的测试样例数量达到更高的路径覆盖率。

基于知识图谱嵌入的涉诈网络链接补全和关键节点识别

涉诈网站作为网络诈骗的常见载体之一,在网络犯罪中扮演着平台内容提供者的重要角色.该形式的犯罪具有高度的团队性与合作性,涉诈网站在内的涉诈资产之间往往呈现出极强的关联.涉诈资产、涉诈团伙等共同构成了一个庞大的涉诈网络.虽然已有不少研究者针对涉诈网站识别开展了相关研究,但目前针对涉诈资产的关联性研究还相对较少.由于涉诈网络中节点的匿名性,导致直接获取涉诈资产相关的身份信息极为困难.警务人员往往难以快速准确的对涉诈网站进行溯源反制.本文基于本体论构建了细粒度的涉诈知识图谱,创新性地将知识图谱嵌入应用于涉诈网站溯源领域,将涉诈网络中的关系抽象为多维复空间上的旋转操作,并以知识图谱嵌入向量为依据,通过向量的空间相似性探求涉诈实体间关系网络的相似性,利用模型进行实体关系的补全;此外,本文创新性地对涉诈知识图谱中关系对涉诈团队身份的揭示程度进行量化,利用加权后的涉诈关系来优化特征向量中心性算法,以挖掘其中的关键线索节点.实验结果表明,在资产关系补全上本文使用的模型有着较高的准确率,在包含37866个实体的数据集上的HITS@10准确率达到了47%,效果领先于其他知识图谱嵌入模型.在后续案例中证明,本文设计的关键线索挖掘方法能够有效地对涉诈资产进行关联溯源,并取得了显著的成效.

基于多维特征的涉诈网站检测与分类技术研究

随着互联网的发展与普及,涉诈团伙诈骗手法与反检测技术愈发先进,涉诈网站的检测与分类对于网络空间安全重要性更加显著,而传统的检测技术已无法应对现在的新型诈骗网站,并且针对涉诈网站分类的研究很少.针对此热点难题,本文分析了当今新型涉诈网站的多个典型特征并提出了一种基于多维特征的涉诈网站检测与分类系统.该系统共构建11种涉诈网站特征与3600个网页关键词来表示一个涉诈网站.系统首先利用爬虫获取待检测域名的网页截图、WHOIS信息与源码并交给特征抽取模块构建多维特征集.检测模块提取网站域名、代码结构以及网站WHOIS信息作为特征,构建随机森林模型实现检测任务.然后基于检测结果,网页分类模块利用双向GRU提取网页的文本特征,在置信度小于0.7的情况下使用BERT模型从而保证系统准确度与效率,并使用残差神经网络提取网页截图特征,同时计算网页内部图片与网站Logo相似度,创建随机森林模型进行分类,并设计了对比实验进一步分析模型的准确性.实验证明,本文提出的模型拥有很高的准确性,模型平均F1-score达到97.28%.实验结果表明,本文提出的多维特征模型能很好地区分涉诈网站与正常网站,克服了传统方法应对新型涉诈网站的识别问题,并适用于全球新增域名的涉诈网站快速检测与分类.

一种面向分布式新能源终端的安全性评估技术

随着分布式新能源行业的不断发展,海量的新型终端加入国家电网系统,增加了电网系统的安全风险。针对电力终端安全性检测功能单一、缺乏更加全面的检测手段的问题,文章首先分析了分布式新能源终端面临的安全威胁,分析了新型分布式新能源终端的安全防护需求,然后提出了一种面向分布式新能源终端的安全性评估技术,从硬件、软件、操作系统、网络等方面对终端进行安全评估并提供修复方案,最后通过仿真实验证明了该方案的可行性。

基于标签传播的加权网络重叠社团划分算法

针对加权复杂网络重叠社团划分的问题,提出一种基于SLPA算法改进的加权网络重叠社团划分算法。首先,采用PageRank升序序列固定标签传播顺序;其次,以标签的权重和为依据选择标签;最后,消除嵌套包含的社团结果。为验证算法,选择两种经典算法在人工仿真网络和真实网络中进行测试。结果表明:所提算法在不同划分难度下的加权LFR基准网络中重叠标准互信息(NMI)值均高于对比算法;在五个真实网络中的扩展模块度(EQ)和划分密度(PD)均高于对比算法。相较于SLPA算法,所提算法具有更好的适用性,能够发现高质量的社团结构。

固件边界二进制程序的危险路径收集与脆弱性检测

物联网(IoT)设备固件中Web服务程序的脆弱性对设备带来严重威胁,Web服务程序后端接收并处理前端输入,称为边界二进制程序。针对常用的污点分析、符号执行等脆弱性检测方法导致边界二进制程序检测误报率高的问题,提出一种利用前后端交互逻辑的方式检测设备固件中二进制程序的脆弱性框架。首先,对解包的固件文件系统进行自动扫描,识别出Web服务相关的边界二进制程序;其次,在边界二进制程序中搜索潜在脆弱性的危险路径;最后,通过危险路径的污点分析,检测脆弱性的有效性。在公开的固件集进行测试,与SaTC工具相比,该方法可以显著提高固件二进制程序中脆弱性的发现效率。

网络安全威胁检测中基于大语言模型的实时分析策略研究

随着网络技术的发展,网络安全威胁检测成为信息安全的重要研究课题。传统方法难以应对日益增长的数据量和复杂的攻击手段。基于大语言模型的实时分析策略在威胁检测中展现出独特优势。研究构建了一种基于来自Transformers的双向编码器表示(Bidirectional Encoder Representations from Transformers,BERT)模型的新架构,整合自然语言处理技术,提出了包含句子结构分析、语义关联识别和异常模式识别的多层检测算法。对比传统方法,该策略对高级持续威胁(Advanced Persistent Threat,APT)和零日攻击的检测率超过95%,且误报率较低。模型训练和测试集涵盖广泛攻击场景,可以确保检测前瞻性和广泛适用性。该策略不仅在技术层面创新,还提升了网络安全防御的实效性,显示出良好的适应性和扩展性,未来有望成为网络安全防御的新范式。

关键字敏感的嵌入式设备固件模糊测试方法

大部分嵌入式设备的固件提供Web接口,方便用户对设备进行配置和管理。然而,这些Web接口常常存在安全问题,给嵌入式设备的安全带来挑战。针对嵌入式设备固件中Web接口的漏洞检测方法误报率较高的问题,提出一种关键字敏感的嵌入式设备固件模糊测试方法KS-Fuzz(Keyword Sensitive Fuzzing),高效地对嵌入式设备固件中Web接口的处理逻辑进行模糊测试。该方法通过前后端文件的关联分析,生成高质量的测试用例,在模糊测试过程中记录目标设备后端文件对前端文件关键字的引用,引导测试用例的变异,扩大模糊测试的覆盖范围。文中使用KS-Fuzz对多款主流品牌的嵌入式设备进行测试,以评估KS-Fuzz的漏洞挖掘能力,并与SaTC,IOTScope,FirmFuzz等现有漏洞挖掘方法进行比较。结果表明,相比现有漏洞挖掘方法,KS-Fuzz通过对前后端文件关联性的分析,可以快速遍历目标设备的功能接口,在模糊测试过程中发现更多的安全问题。