夯实安全壁垒 筑牢网络屏障——访绿盟科技集团股份有限公司副总裁陈珂

党的二十大报告指出,“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”“必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作的各方面全过程,确保国家安全和社会稳定”“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。这些重要论断深刻阐明了新时代国家安全体系的目标任务等重大问题,提出了推进国家安全体系和能力现代化的工作举措,赋予了网络安全产业新的重要使命。

守好网络安全防线 筑牢网络强国基石——专访绿盟科技集团股份有限公司副总裁陈珂

网络安全是数字中国建设的重要基础,也是数字经济安全的重要内容,还是新安全格局的关键组成,更是新发展格局不可或缺的重要保障。今年政府工作报告中“安全”被提及高达29次,彰显出国家对于整体安全架构的极度重视。在这一背景下,在推动数字经济发展的过程中,网络安全问题不容忽视,尤其是在人工智能时代,网络安全不仅是保障数字经济稳健发展的基础,更是确保人工智能技术得以广泛应用的关键所在。本期《高层访谈》采访绿盟科技集团股份有限公司(以下简称绿盟科技)副总裁陈珂,对网络安全行业的发展现状、未来趋势、行业面临的困难与挑战以及技术产品创新应用、绿盟科技网络安全治理等内容作了深入阐述,以飨读者。

基于多源域适应的缺陷类别预测方法

随着规模和复杂性的迅猛膨胀,软件系统中不可避免地存在缺陷.近年来,基于深度学习的缺陷预测技术成为软件工程领域的研究热点.该类技术可以在不运行代码的情况下发现其中潜藏的缺陷,因而在工业界和学术界受到了广泛的关注.然而,已有方法大多关注方法级的源代码中是否存在缺陷,无法精确识别具体的缺陷类别,从而降低了开发人员进行缺陷定位及修复工作的效率.此外,在实际软件开发实践中,新项目通常缺乏足够的缺陷数据来训练高精度的深度学习模型,而利用已有项目的历史数据训练好的模型往往在新项目上无法达到良好的泛化性能.因此,首先将传统的二分类缺陷预测任务表述为多标签分类问题,即,使用CWE(common weakness enumeration)中描述的缺陷类别作为细粒度的模型预测标签.为了提高跨项目场景下的模型性能,提出一种融合对抗训练和注意力机制的多源域适应框架.该框架通过对抗训练来减少域(即软件项目)差异,并进一步利用域不变特征来获得每个源域和目标域之间的特征相关性.同时,该框架还利用加权最大均值差异作为注意力机制,以最小化源域和目标域特征之间的表示距离,从而使模型可以学习到更多的域无关特征.在构建的包含8个真实世界开源项目的数据集上的实验表明,所提方法对比最先进的基线方法取得了显著的性能提升.

一种虚实结合的工控安全实训靶场平台设计

针对目前实体工控安全实训靶场不能开展多人同时在线操作的实验教学、攻防比赛、红蓝对抗,以及虚拟工控安全实训靶场不能基于应用层和实体设备开展攻击演示、漏洞扫描与挖掘、安全研究等问题.设计了一种虚实结合的工控安全实训靶场平台,通过融合实体设备仿真和虚拟化应用层仿真的能力,满足用户开展实验教学、攻防演练、红蓝对抗、漏洞扫描与挖掘、攻击效果演示以及安全研究等工作,为今后我国工控安全实训靶场建设提供参考依据.

基于多元数据融合的网络侧告警排序方法

部署在网络节点上的网络安全监控系统每天会生成海量网络侧告警,导致安全人员面临巨大压力,并使其对高风险告警不再敏感,无法及时发现网络攻击行为.由于网络攻击行为的复杂多变以及网络侧告警信息的局限性,已有面向IT运维的告警排序/分类方法并不适用于网络侧告警.因此,提出了基于多元数据融合的首个网络侧告警排序方法NAP(network-side alert prioritization).NAP首先设计了一个基于源IP地址与目的IP地址的多策略上下文编码器,用于捕获告警的上下文信息;其次,NAP设计了一个基于注意力机制双向GRU(gatedrecurrent unit)模型与ChineseBERT模型的文本编码器,从告警报文等文本数据中学习网络侧告警的语义信息;最后,NAP构建了排序模型得到告警排序值,并按其降序将攻击性强的高风险告警排在前面,从而优化网络侧告警管理流程.在3组绿盟科技网络攻防数据上的实验表明:NAP能够有效且稳定地排序网络侧告警,并且显著优于对比方法.例如:平均排序指标NDCG@k(k∈[1,10])(即前1-10个排序结果的归一化折损累计增益)均在0.8931-0.9583之间,比最先进的方法提升64.73%以上.另外,通过将NAP应用于天津大学真实的网络侧告警数据,进一步证实了其实用性.

基于半监督学习的邮件伪装攻击检测方法

【目的】伪装攻击是电子邮件系统中一种典型攻击,通过非法获取用户真实的身份验证凭证来访问未经授权的服务,造成重大损害。由于邮件使用场景复杂,数据分布不均匀,能获得的标记异常数据数量有限导致邮件系统伪装攻击异常检测困难。【方法】针对上述问题,本文提出了一种基于规则的自训练自动编码器异常检测框架。首先,针对SMTP邮件协议的日志数据,对其应用场景进行分析和分类,并提出粗粒度的标签修正规则。其次,利用自动编码器通过自训练进行迭代检测,通过规则对每次检测结果进行修正。最后,使用核密度估计方法找到合适的阈值减少误报率。【结果】本文使用了6,736个真实企业邮箱账户连续3个月的数据,检测到7个异常账号和12个异常IP地址,与企业安全运营中心(SOC)和3种先进算法比较,效果达到最优。本文方法所检测到的异常账号数量比SOC多75%,同时误报账号减少81.3%。

基于溯源图的网络攻击调查研究综述

网络攻击调查是实现主动防御、溯源反制的重要手段.面向高隐蔽、强对抗的现代网络攻击,研究高效率、自动化攻击调查方法,提升己方快速响应复杂网络攻击能力,是智能网络攻防关键技术之一.现有研究通过将系统审计日志建模成可表达攻击事件因果依赖关系的溯源图,利用溯源图强大的关联分析和语义表达能力,对复杂隐蔽网络攻击进行调查,相较传统方法效果提升显著.在全面收集分析基于溯源图的攻击调查研究工作的基础上,根据溯源图利用方式及特征挖掘维度的差异,将基于溯源图的攻击调查方法划分为基于因果分析、基于深度表示学习和基于异常检测三类,总结凝练每类方法具体工作流程和通用框架.梳理溯源图优化方法,剖析相关技术从理论向产业落地的能力演变历程.归纳攻击调查常用数据集,对比分析基于溯源图的攻击调查代表性技术和性能指标,最后展望了该领域未来发展方向.

商用密码在工业互联网的应用模式研究

《商用密码管理条例》和《商用密码应用安全性评估管理办法》分别于2023年的7月1日和11月1日施行。工业互联网企业需要更加严格遵守商用密码管理的相关规定,其网络安全建设也迎来了新的合规要求。网络安全等级保护、关键信息基础设施保护、商用密码应用安全评估的衔接更加紧密。商用密码应用安全评估成为工业互联网领域重要网络和信息系统上线、运行的前提条件之一。因此,工业互联网企业应当结合业务发展需要,采取技术方式实现商用密码应用。本文通过研究商用密码在工业互联网场景下的应用模式以及构建认证信任服务体系的技术实现方式,为工业互联网企业开展商用密码应用建设提供了借鉴,有助于提升网络安全水平,确保网络和信息系统的稳定运行。

公共数据开放共享模式分析与安全体系设计

数据已经成为第5个关键生产要素.数字中国建设的全局和战略依托于以数据为关键要素的数字经济.各级政府部门、企事业单位在依法行政履职或提供公共服务过程中产生的公共数据成为重要的数据要素供给来源.通过分析公共数据共享模式和安全风险,设计了数据安全共享防护体系,为公共数据的主体提供一种实现开放和安全的平衡机制.

新技术赋能数据要素安全流通

鉴于数据要素将成为国家经济的重要推动力,数据要素安全已成为数据安全的新趋势,因此有必要研究数据要素安全流通过程中采用的新技术,阐述数据要素安全与传统数据安全的差异,分析可赋能数据要素安全的隐私计算、机密计算等新技术,并通过行业实践案例场景化分析如何使用新技术推动数据要素安全流通。

智能网联汽车信息安全挑战与思考

随着智能网联汽车智能化、网联化的技术推动,车联网信息安全威胁也呈现持续升级的态势。车载系统、通信网络和云端平台面临的隐私数据泄露、数据跨境传输、汽车网络渗透等风险急剧提升,车联网相关网络与数据安全事件层出不穷,汽车智能网联信息安全已成为全球汽车产业的重要话题。安全是夯实我国汽车产业健康可持续发展的基石,也是车企数字化转型升级进军海外市场的前提。

安全验证导向的漏洞管理方案分析

为了衡量漏洞管理的成效,漏洞管理产品需要具备一种机制,能够实时验证被防护系统的安全状态,管控过程的进展,并将此进展与漏洞管理活动进行反馈、互动和闭环。安全验证导向的漏洞管理关键在于提出可量化、可呈现的管理效能指标体系,以及基于此指标的采集验证流程、评价分析模型和处置驱动机制等,使得漏洞管理能够按偏离负反馈方式持续导向系统自动化运行和人员运营,并最终达到用户事先定义的漏洞管理基线水平。

基于MITRE Engage模型的网络安全能力建设思路

基于MITRE Engage模型在获取攻击方TTPs方面的优势,提出了基于MITRE Engage模型的网络安全建设思路。以识别网络安全建设关键过程域为主线,网络安全能力建设为内容,网络安全成熟度等级为结论展开网络安全能力建设的研究。基于MITRE Engage模型,识别了网络欺骗、对抗行动和行为分析3个关键过程域;构建了伪装、引导、遏制、检测、促进、收集、推理7项安全能力维度;基于安全能力维度,区分了普通、进阶和高级3级威胁防御成熟度。该思路能够使MITRE Engage模型快速落地,建立清晰的网络安全体系,提高网络安全防御能力,确保网络系统的安全稳定运行。

电力交易数据安全分类分级管理综述

随着智能电网的发展和电力市场化改革的深入,电力交易数据量急剧增加,数据类型日趋复杂。有效的数据分类分级对于提升电力系统运行效率、保障电力市场稳定运行具有重要意义。本文旨在深入探讨电力交易数据的分类与分级方法,并分析其在电力交易、市场监管和数据分析等领域的应用。首先,本文分析了电力交易数据的特性,并基于这些特性提出了一个综合的数据分类框架;其次,根据不同级别的数据敏感性和重要性进行了分级研究;在分类与分级的基础上,本文进一步分析了电力交易数据在各个领域的应用。本文通过深入探讨电力交易数据的分类分级管理,为电力市场的规范化、透明化和高效化提供了新的理论和方法指导。

AIGC技术在软件测试中的应用探讨

软件测试是软件研发过程中一个非常重要的环节,如何高效及时完成测试工作一直是软件测试领域的难题之一。随着ChatGPT的火爆发展,AIGC技术在软件测试领域得到了广泛的应用,甚至改变了传统的软件测试模式。系统介绍了AIGC在软件测试领域的应用情况:首先,概述了AIGC的发展,并对AIGC技术以及特点进行简要介绍;其次,详细阐述AIGC在测试用例自动生成、缺陷检测和修复、测试代码生成、测试数据生成方面的潜在用途;再次,剖析了AIGC技术在软件测试中的挑战;最后,探讨了其在软件测试中的应用前景。

基于多重异质图的恶意软件相似性度量方法

现有恶意软件相似性度量易受混淆技术影响,同时缺少恶意软件间复杂关系的表征能力,提出一种基于多重异质图的恶意软件相似性度量方法RG-MHPE(API relation graph enhanced multiple heterogeneous ProxEmbed)解决上述问题.方法首先利用恶意软件动静态特征构建多重异质图,然后提出基于关系路径的增强型邻近嵌入方法,解决邻近嵌入无法应用于多重异质图相似性度量的问题.此外,从MSDN网站的API文档中提取知识,构建API关系图,学习Windows API间的相似关系,有效减缓相似性度量模型老化速度.最后,通过对比实验验证所提方法RG-MHPE在相似性度量性能和模型抗老化能力等方面表现最好.

智慧机场物联网应用及网络安全挑战

为推进机场运行协同化、作业智能化和建养数字化,提升其安全保障能力和协同运行效率,物联网技术在智慧机场中得到了广泛应用。首先,基于智慧机场物联网三层架构,详细分析了其感知层、网络层和应用层的构成及特点;然后,结合机场核心业务,归纳了物联网在智慧机场空侧、航站楼和陆侧的典型应用场景;最后,全面分析了智慧机场物联网面临的主要安全挑战。

基于生成对抗网络与变异策略结合的网络协议漏洞挖掘方法

随着信息化和工业化的深度融合,工业物联网网络协议安全问题日益突出。现有网络协议漏洞挖掘技术以特征变异和模糊测试为主,存在依赖专家经验和无法突破未知协议的局限。针对工业物联网协议的漏洞挖掘挑战,文中从漏洞检测规则的自动化分析与生成展开研究,提出基于生成对抗网络与变异策略结合的网络协议漏洞挖掘方法。首先,采用一种基于生成对抗网络的网络协议分析模型,通过对报文序列进行深层信息挖掘,提取报文格式及相关特征,实现对网络协议结构的识别。然后,结合基于变异算子库指导的迭代变异策略,构建有导向性的测试用例生成规则,缩短漏洞发现的时间;最终,形成面向未知工控网络协议的自动化漏洞挖掘方法,满足现有工控应用领域对协议自动化漏洞挖掘的需求。基于上述方法,对两种工控协议(Modbus-TCP和S7)进行测试,并对生成用例的测试接收率、漏洞检测能力、用例生成时间及其多样性方面进行了评估。实验结果表明,所提方法在TA指标上高达89.4%,本方法检测模拟系统ModbusSlave的AD指标为6.87%,缩短了有效用例的生成时间,提升了工控协议漏洞挖掘的效率。

融合多维时空特征的交通流量预测模型

为了精准预测交通流量,充分提取交通流中复杂的线性和非线性特征及其依赖关系,提出了融合多维时空特征的CLABEK模型。其中,由Conv-LSTM、BiLSTM和Dense神经网络分别提取时空特征、周期特征和额外特征(节假日、天气状况以及温度等),并通过将上述模型融合从而全面获取交通流的非线性特征;由卡尔曼滤波提取交通流的线性特征。在公开数据集上的对比实验证明,CLABEK模型在短期交通流预测任务上表现出最好的预测效果。

可编程控制器(PLC)的安全问题研究

随着工业数字化的高速发展,越来越多控制设备、设备上云,打破了原本封闭可信的生产环境,面临了来自信息网、互联网以及第三方网络的病毒、木马、勒索软件、工业间谍、黑客等威胁,这样先天缺乏安全基因的PLC控制器就容易被这些威胁利用导致安全事件。为此,本文以西门子PLC为研究对象,对其存在的安全问题进行分析,分别从安全漏洞、协议脆弱性以及不安全的配置基线等三个方面进行分析论证,研究出西门子PLC存在的安全隐患,并给出安全建议,为今后对PLC的防护以及控制器设备的防护提供理论指导。