漏洞挖掘与威胁检测

近年来,网络空间已成为继陆、海、空、天之后的第五大战略空间,是影响国家安全、社会稳定、经济发展和文化传播的核心、关键和基础.习近平总书记指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”.网络空间的安全与稳定不仅关乎国家利益和民族尊严,也关乎人民群众的切身利益和幸福感.因此,保障网络空间安全是我们面临的重大战略任务和紧迫挑战.

智能化漏洞挖掘与网络空间威胁发现综述

当前网络空间面临的威胁日益严重,大量研究关注网络空间安全防御技术及体系,其中漏洞挖掘技术可以应用于网络攻击发生前及时发现漏洞并修补,降低被入侵的风险,而威胁发现技术可以应用于网络攻击发生时及发生后的威胁检测,进而及时发现威胁并响应处置,降低入侵造成的危害和损失.分析并总结了基于智能方法进行漏洞挖掘与网络空间威胁发现的研究.其中,在智能化漏洞挖掘方面,从结合人工智能技术的漏洞补丁识别、漏洞预测、代码比对和模糊测试等几个应用分类方面总结了当前研究进展;在网络空间威胁发现方面,从基于网络流量、主机数据、恶意文件、网络威胁情报等威胁发现涉及的信息载体分类方面总结了当前研究进展.

面向云原生的API攻击诱捕技术研究

应用程序接口(API)作为连接服务和传输数据的核心通道,在蕴含巨大价值的背后也隐藏着不可忽视的安全风险,其作为互联网上最重要的信息基础设施已成为攻击者的主要攻击目标。为弥补现有API安全方案针对API广泛攻击面无法进行充分保护的短板问题,重点关注云原生API安全问题。基于主动诱捕思想,提出了一种面向云原生的API攻击诱捕框架,针对不同的云服务层次特点构造了相应的API诱饵及高交互诱捕环境。其中,在容器编排层(平台层),围绕云组件Kubernetes及Docker的脆弱点构造了3个API诱饵;在应用层,选取危害性较大且利用频率较高的API漏洞构造了15个API诱饵。同时,针对应用层API诱饵物理资源需求较高的问题,提出了一种基于当前网络流量的动态调度算法,在充分利用物理资源的同时最大化捕获效果。基于诱捕框架实现了原型系统并在真实环境中部署应用,系统最终捕获到1270个独立互联网协议(IP)地址以及4146个请求。实验结果表明,提出的API攻击诱捕技术可有效发现云原生环境下的API攻击行为。

基于网络行为的攻击同源分析方法研究

网络攻击威胁日益严峻,攻击溯源是增强防御能力、扭转攻防局势的重要工作,攻击的同源分析是溯源的重要环节,成为研究热点。根据线索类型的不同,攻击同源分析可以分为基于恶意样本的同源分析和基于网络行为的同源分析。目前基于恶意样本的同源分析已经取得了较为显著的研究成果,但存在一定的局限性,不能覆盖所有的攻击溯源需求,且由于恶意代码的广泛复用情况,使得分析结果不一定可靠;相比之下,基于网络行为的同源分析还鲜有出色的成果,成为溯源工作的薄弱之处。为解决现存问题,本文提出了一种基于网络行为的攻击同源分析方法,旨在通过抽取并分析攻击者或攻击组织独特的行为模式而实现更准确的攻击同源。为保留攻击在不同阶段的不同行为特征,将每条攻击活动划分为5个攻击阶段,然后对来自各IP的攻击行为进行了4个类别共14个特征的提取,形成行为特征矩阵,计算两两IP特征矩阵之间的相似性并将其作为权值构建IP行为网络图,借助社区发现算法进行攻击社区的划分,进而实现攻击组织的同源分析。方法在包含114,845条告警的真实的数据集上进行了实验,凭借实际的攻击组织标签进行结果评估,达到96%的准确率,证明了方法在攻击同源分析方面的有效性。最后提出了未来可能的研究方向。

基于聚类过采样和自动编码器的网络入侵检测方法

近年来,随着互联网技术的不断发展,入侵检测在维护网络空间安全方面发挥着越来越重要的作用。但是,由于网络入侵行为的数据稀疏性,已有的检测方法对于海量流量数据的检测效果较差,模型准确率、F-measure等指标数值较低,并且高维数据处理的成本过高。为了解决这些问题,本文提出了一种基于稀疏异常样本数据场景下的新型深度神经网络入侵检测方法,该方法能够有效地识别不平衡数据集中的异常行为。本文首先使用k均值综合少数过采样方法来处理不平衡的流量数据,解决网络流量数据类别分布不平衡问题,平衡网络流量数据分布。再采用自动编码器来处理海量高维数据并训练检测模型,来提升海量高维流量中异常行为的检测精度,并在两个真实典型的入侵检测数据集上进行了大量的实验。实验结果表明,本文所提出的方法在两个真实典型数据集上的检测准确率分别为99.06%和99.16%,F-measure分别为99.15%和98.22%。相比于常用的欠采样和过采样方法,k均值综合少数过采样技术能够有效地解决网络流量数据类别分布不平衡的问题,提升模型对低频攻击行为的检测效果。同时,与已有的网络入侵检测方法相比,本文所提出的方法在准确率、F-measure和检测性能上均有明显提升,证明了本文所提出的方法对于海量网络流量数据的检测具有较高的检测精度和良好的应用前景。

基于主机事件的攻击发现技术研究综述

在飞速发展的信息时代和数据时代,网络攻击对个人隐私、工作生活乃至生命财产安全带来了严重威胁。而主机作为人类进行日常工作交流、生活娱乐、数据存储的重要设备,成为了网络攻击的主要目标。因此,进行主机攻击发现技术的研究是紧迫且必要的,而主机事件作为记录主机中一切行为的载体,成为了当今网络攻防领域的重点研究对象。攻击者在主机中的各种恶意操作会不可避免地被记录为主机事件,但恶意事件隐藏在规模庞大的正常事件中难以察觉和筛选,引发了如何获取主机事件、如何识别并提取恶意事件、如何还原攻击过程、如何进行安全防护等一系列问题的学术研究。本文对基于主机事件的攻击发现技术相关研究进行了广泛的调研和细致的汇总,对其研究发展历程进行了梳理,并将本文所研究的基于主机事件的攻击发现技术与入侵检测、数字取证两大研究方向从分析对象、分析方法、作用时间、分析目的4个方面进行了对比,阐明了本文所研究问题的独特之处,并对其下定义。随后,本文对基于主机事件的攻击发现技术涉及的关键概念进行了解释,提出了该领域面临的依赖关系爆炸和及时性两大问题,并将研究按照阶段划分为主机事件采集、主机事件处理、主机事件分析三个类别,分别介绍了三个类别围绕两大问题共计12个细分方向的研究成果和进展,最后结合研究现状提出了主机事件记录的完整性和可信性、攻击发现的时效性、跨设备的攻击发现、多步骤攻击的发现、算法的运用等5个未来可能的研究方向。

黑客入侵防护体系研究与设计

该文全面地介绍了黑客及黑客攻击造成的危害，列举了一些著名的黑客攻击工具，在详细分析黑客攻击手段及其防范措施的基础上，结合实践经验和研究成果，给出一个有效的黑客入侵防护体系的设计与实现。

对等网技术及应用概述

随着信息技术的发展,许多对等网应用软件被广泛使用,对等网技术与应用成为当前人们研究与关注的焦点。作者结合参与的相关课题研究工作,在调研国内外相关研究的基础上,归纳介绍了对等网的相关研究、关键技术、主要应用及存在的问题,以期能对对等网研究人员提供借鉴和帮助。

Gnutella协议及数据包结构分析

结合作者参与的相关课题研究工作,在调研国内外相关研究的基础上,该文对Gnutella的协议及数据包结构进行了分析和归纳,可为进一步研究Gnutella类软件的运行机制提供借鉴和帮助。

嵌入内核式动态防火墙的设计与实现

提出一种新型的可嵌入内核的动态防火墙模型,描述了一个基于该模型的安拓防火墙系统的组成结构和实现机制。讨论了该系统实""现中的关键技术及其解决方法,包括:状态检测技术、动态规则技术、可动态加载内核模块技术及自身安全保护设计等。归纳了该系统的特点及应用前景,并总结了今后的研究方向。

计算机网络安全应急响应技术的分析与研究

结合实际工作经验和研究成果,在分析安全应急响应技术发展动态的基础上,对网络入侵检测、事件隔离与应急恢复、取证、网络陷阱及诱骗等应急响应关键技术进行了分析和研究。构建了一个网络安全应急响应系统,并对系统的工作机制进行了分析。

主动型安全防护措施-陷阱网络的研究与设计

介绍了陷阱网络的设计、实现及关键技术，提出了一个陷阱网络的模型。分析与模拟结果表明：陷阱网络能实现Windows、Linux、Solaris操作系统及FTP、telnet、WWW等网络基本服务的模拟，可与防火墙、入侵检测系统联动，实现对入侵行为的主动引入及对入侵过程的记录和监控。

网络隐患扫描系统设计与实现

提出了一个基于CVE标准和漏洞库的网络隐患扫描系统模型,描述了一个基于该模型的“安拓”网络隐患扫描系统的组成结构和实现机制。讨论了该系统实现中的关键技术及其解决方法,包括:漏洞库的设计实现、隐患扫描手段的升级维护机制、系统硬件化技术及自身的安全机制等。归纳了该系统的特点及应用前景,并总结了今后的研究方向。

网络安全评估方法的研究与实践

网络安全评估技术和方法的研究对网络安全防护体系的建设具有重要意义。该文结合实际工作经验和研究成果,在分析安全评估技术发展现状的基础上,提出了一种定性分析与定量计算相结合的风险评估模型,给出了具体算法及基于该算法的风险评估流程,并加以实际应用。实践结果证明,应用该算法和模型实施的风险评估对被评估单位的网络安全防护和管理工作起到了良好的指导作用。

基于模型的网络安全综合防护系统研究

结合当前网络安全问题及其防护技术的发展动态,在分析黑客攻击手段及其防范措施发展变化的基础上,结合实践经验和研究成果,提出了一种具有可操作性的网络安全综合防护系统的设计及建设方案。该防护系统使用了安全防护、预警检测、应急响应及灾备恢复4个中心,实现了网络安全的综合防护功能。实践应用证明,该系统可以有效提高网络系统的整体安全防护性能。

黑客入侵防范体系的设计与实现

在分析黑客防范体系理论模型及相关研究的基础上，论述了黑客入侵防范体系的组成部件及若干关键单元技术，给出一种以评估为基础，以策略为核心，以防护、侦测、响应和恢复技术为工具，以管理为落实手段的动态、多层次的黑客入侵防范体系模型—EPPDRR-SM模型，基于该模型，实现了一个实用的黑客入侵防范体系。目的是为我国黑客入侵防范体系的研究、设计与实现提供一个参考模型。实验证明，该体系对黑客攻击具有较好的防护性能。

网站实时监控与自动恢复系统

为了更好的保护信息的不可篡改性,提高网络信息发布系统的安全性能,高能所网络安全课题组于2000年起,对网站实时监控与自动恢复技术的研究向国家有关部门提出申请,课题组先后得到国家计算机网络系统安全技术研究计划、国家自然科学基金、部委信息安全专项资金及部队安全课题经费的资助。

基于Hash函数和自动恢复技术的网站抗毁系统研究与实现

文章提出了一种基于Hash函数和自动恢复技术的网站抗毁系统模型,介绍了一个基于该模型的“磐石”网站监控与自动恢复系统的组成结构和实现机制。讨论了该系统实现中的一些关键技术,并介绍了该系统的主要功能和特点及典型应用环境。最后给出了该项目今后的工作方向。

由尼姆达病毒现象谈病毒防范与修复技术

近期,随着红色代码、蓝色代码、尼姆达、W32.Vote或WTC.exe(美国恐怖事件病毒)等几种病毒的相继登台和大规模发作,IT业界的注意力又集中到了病毒防范与修复技术的讨论上,各种媒体纷纷展开跟踪报道,各防病毒软件厂商和相关机构纷纷推出自己的解决办法和相关活动,如:在红色代码病毒极度肆虐期间,中国计算机网络应急处理协调中心(CNCERT)紧急组建了"CodeRed网络病毒应急同盟",开始了针对CodeRed网络病毒的网络与信息安全防范工作.

浅谈信息安全学科建设与人才培养

本文结合当前网络安全问题的发展动态,在分析国内外信息安全学科建设现状的基础上,论述了信息安全人才培养对我国信息化建设顺利发展的重要意义,探讨了信息安全人才培养面临的几个关键问题。针对这些问题,结合实践经验和研究体会,作者就信息安全人才培养给出了几点建议。