重构网络空间安全防御模型——SARPPR

新型网络安全威胁层出不穷,建立有效的网络安全防御模型已经成为迫切需求和必然趋势。传统的网络安全防御模型包括PDR(Protection-Detection-Response)、PDRR(Protection-Detection-Response-Recovery)和APPDRR(As-sessment-PolicyProtection-Detection-Reaction-Restoration)模型等,其中经典的APPDRR模型通过风险分析、安全策略、系统防护、动态检测、应急响应和灾难恢复6个环节来提高网络安全性。随着网络攻防手段的不断发展,APPDRR模型已经不能满足网络安全防御的现实需求。随着网络安全态势分析、主动防御、拟态防御、盾立方等新兴网络安全防御技术的提出与发展,亟须对原来的网络空间安全防御模型进行重构和扩充。针对该问题,对APPDRR模型进行了重构,同时根据防护的实际情况,首次提出了“护卫模式+自卫模式+迭代模式”的SARPPR(Sensing-Assessment-Response-Pol-icy-Protection-Restoration)模型,以涵盖和指导网络空间安全防御的最新技术,应对复杂的网络安全威胁。从重要活动安全保障角度出发,在传统“自卫模式”的基础上,本模型提出了“护卫模式”和“迭代模式”,实现了事前预防、事中应对、事后复盘的全生命周期防御。该模型是首个覆盖防御全生命周期的网络空间安全保障模型,可以应对高隐蔽APT(AdvancedPersistentThreat)等未知网络安全威胁研判,以及现有信息系统内生安全能力建设等难题。该模型已应用于第24届冬季奥林匹克运动会(简称北京冬奥会)、杭州第19届亚洲运动会(简称杭州亚运会)、第31届世界大学生夏季运动会(简称成都大运会)、中国(深圳)国际文化产业博览交易会(简称文博会)、中国进出口商品交易会(简称广交会)等重大活动的网络安全保障,实现了零事故,实践结果验证了模型的有效性。

基于异构观测链的容器逃逸检测方法

针对现有容器逃逸检测技术漏报率较高的问题,提出一种异构观测的实时检测方法。首先对利用内核漏洞的容器逃逸行为建模,选取进程的关键属性作为观测点,提出以“权限提升”为检测标准的异构观测方法;然后利用内核模块实时捕获进程的属性信息,构建进程起源图,并通过容器内外进程边界识别技术缩小起源图规模;最后基于进程属性信息构建异构观测链,实现原型系统HOC-Detector。实验结果表明,HOC-Detector可以成功检测测试数据集中利用内核漏洞的容器逃逸,并且运行时增加的总体开销低于0.8%。

从自卫到护卫:新时期网络安全保障体系构建与发展建议

随着网络攻防技术的快速发展,网络安全保障体系面临诸多挑战,研究新型网络安全保障体系成为推进我国信息化发展的迫切需要,对进一步提升网络安全性、可用性具有重要意义。本文梳理了我国以“自卫模式”为主的网络安全保障体系的运行现状;分析了当前体系面临的“捕不全”“拦不住”“看不清”和“抓不住”四大安全问题;提出了以近身蜜点、前置蜜庭、网关蜜阵、外溢蜜洞的“四蜜”威胁感知体系为代表的“护卫模式”网络安全保障体系,包括纵深威胁感知的蜜点技术、攻击观测和判别的蜜庭技术、协同联动的蜜阵技术和网络威慑与攻击绘制的蜜洞技术等重点发展的技术任务,以及“蜜点”加持的网络安全保险产业任务。研究建议,探索“护卫模式”网络安全保障机制,全面提升国家网络安全防护水平;探索“护卫模式”安全防护技术研究和应用,实现新旧安全防护技术的融合统一;探索面向“护卫模式”的网络安全人才培养新模式,培育创新实践型网络人才,为新时期我国网络安全保障体系研究提供参考。

僵尸网络发展研究

僵尸网络(botnet)作为最有效的网络攻击平台,给当今互联网安全带来了巨大威胁.虽然近几年关于僵尸网络的攻防技术研究取得了显著进展,然而,伴随着互联网应用的多元化以及通信技术的不断革新,僵尸网络的形态和命令控制机制也在不断发生变化,这给防御人员带来了新的挑战.深入了解僵尸网络运行机理和发展趋势对有效应对僵尸网络引发的安全威胁具有重要意义.以僵尸网络攻击技术为核心,从形式化定义、传播方式、生命周期、恶意行为、命令控制信道方面对僵尸网络机理进行全面介绍,按时间顺序将僵尸网络的发展历程划分为PC攻击和广泛攻击2个阶段,对各阶段的技术特点、行为特性、代表案例以及演化规律进行详细阐述,总结当今僵尸网络防御方法和研究成果,对已有研究遗留的问题和未来可能研究热点进行讨论.

泛在网络空间大数据“雾云计算”软件体系结构

随着网络空间从传统互联网向人、机、物、服务与应用互联的泛在网络空间扩展,计算模式从“以云端集中计算为中心”向“前端、中间层和云端相结合”的方式转变,传统的云计算、边缘计算等计算模式难以满足泛在网络空间大数据计算需求。本文针对泛在网络空间大数据计算面临的问题,在知识体基础上,提出了一种泛在网络空间大数据“雾云计算”软件体系结构,在多知识体协同计算语言与模型基础上,实现雾端、中间层和云端多知识体的协同计算,为泛在网络空间大数据计算提供解决方案。

并行社区发现算法的可扩展性研究

社交网络中往往蕴含着大量用户和群体信息,如话题演化模式、群体聚集效应以及信息传播规律等,对这些信息的挖掘成为社交网络分析的重要任务。社交网络的群体聚集效应作为社交网络的一种特征模式,表现为社交网络的社区结构特性。社区结构的发现已成为其他社交网络分析任务的基础和关键。随着在线社交网络用户数量的急剧增长,传统的社区发现手段已经难以适应,从而催生了并行社区发现技术的发展。对当前主流并行社区发现方法 Louvain算法和标签传播算法在超大规模数据集上的可扩展性进行了研究,指出了各自的优缺点,为后续应用提供参考。

BotCatcher:基于深度学习的僵尸网络检测系统

机器学习技术在僵尸网络检测领域具有广泛应用,但随着僵尸网络形态和命令控制机制逐渐变化,人工特征选取变得越来越困难。为此,提出基于深度学习的僵尸网络检测系统——BotCatcher,从时间和空间这2个维度自动化提取网络流量特征,通过结合多种深层神经网络结构建立分类器。BotCatcher不依赖于任何有关协议和拓扑的先验知识,不需要人工选取特征。实验结果表明,该模型性能良好,能够对僵尸网络流量进行准确识别。

定向网络攻击追踪溯源层次化模型研究

定向网络攻击对网络空间安全构成了极大的威胁,甚至已经成为国家间网络对抗的一种主要形式。本文认为定向网络攻击难以避免,传统的以识别并阻断攻击为核心的防御体系不能很好地应对复杂先进的定向网络攻击,遂提出将追踪溯源作为威慑性防御手段。本文给出了定向网络攻击追踪溯源的形式化定义和分类;充分借鉴了网络欺骗等领域的研究成果,提出通过构建虚实结合的网络和系统环境,采用主被动相结合的方式,追踪溯源定向网络攻击;构建了包括网络服务、主机终端、文件数据、控制信道、行为特征和挖掘分析六个层次的定向网络攻击追踪溯源模型,并系统阐述了模型各层次的内涵及主要技术手段;以此模型为基础,建立了以"欺骗环境构建"、"多源线索提取"、"线索分析挖掘"为主线的追踪溯源纵深体系,多维度追踪溯源定向网络攻击;结合现有攻击模型、追踪溯源理论和典型溯源案例,论证了所建立的模型的有效性。

TSL：基于连接强度的Facebook消息流行度预测模型

在线社交网络的迅速发展使信息呈现爆炸式增长,然而不同消息的流行度存在较大差异,对其准确预测一直是领域内的研究难点。流行度预测的任务是根据消息传播早期过程中涌现的特征预测其未来的传播趋势,现有基于传播网络特征与拟合函数的预测模型难以解决预测准确率低的问题,因此借助社会学中的弱连接理论,引入连接强度的概念,并融合消息传播早期的流行度构建多元线性回归方程,提出了一种针对Facebook知名主页的消息流行度的预测模型TSL。通过在Facebook真实数据集(含154万次转发)上与其他具有代表性的基准模型进行比较,实验表明TSL模型可以对消息的最终转发流行度进行有效预测,预测性能优于同类方法。

基于人工智能的网络空间安全防御战略研究

网络空间是继陆、海、空、天之后的第五大活动空间,维护网络空间安全是事关国家安全、国家主权和人民群众合法权益的重大问题。随着人工智能技术的飞速发展和在各领域的应用,网络空间安全面临着新的挑战。本文分析了人工智能时代网络空间安全面临的新风险,包括网络攻击越来越智能化,大规模网络攻击越来越频繁,网络攻击的隐蔽性越来越高,网络攻击的对抗博弈越来越强,重要数据越来越容易被窃取等;介绍了人工智能技术在处理海量数据、多源异构数据、实时动态数据时具有显著的优势,能大幅度提升网络空间防御能力;基于人工智能的网络空间防御关键问题及技术,重点分析了网络安全知识大脑的构建及网络攻击研判,并从构建动态可扩展的网络安全知识大脑,推动有效网络攻击的智能化检测,评估人工智能技术的安全性三个方面提出了针对性的发展对策和建议。

DNS隐蔽信道综述

DNS隐蔽信道是网络安全中不容忽视的重要安全问题。利用DNS访问服务器的操作广泛存在于传统PC、智能手机及新型基础设施的联网通信中,防火墙等基础防御设施一般不会对DNS数据进行过多过滤。泛在性、隐蔽性使其成为攻击者手中较理想的秘密信道,因此关注已有研究成果及发展趋势都十分必要。首先,将DNS隐蔽信道的发展历程概括为3个发展阶段,并分析各个阶段的情况。然后,对其进行形式化定义,深入剖析构建机理,并对其存在的不可绕过的异常点进行分析归纳,总结检测方法并将其分为传统检测方式、人工智能赋能的检测方式,提出现存问题。最后,总结当前DNS隐蔽信道的主要研究方向,并对其未来的发展趋势进行展望。

一种抗污染的混合P2P僵尸网络

基于Peer-list的混合型P2P僵尸网络代表了一类高级僵尸网络形态,这种僵尸网络的优势是可抵抗传统P2P僵尸网络易受的索引污染(Index Poisoning)攻击和女巫(Sybil)攻击,然而却引入了新的问题——易受Peer-list污染攻击。本文提出一种新颖的混合P2P僵尸网络设计模型,在僵尸网络构建和Peer-list更新的整个生命周期中引入信誉机制,使得Peer-list污染攻击难以发挥作用。实验证明该模型具备很强的抗污染能力和很高的健壮性,因此对网络安全防御造成了新的威胁。最后,我们提出了若干可行的防御方法。本文旨在增加防御者对高级僵尸网络的理解,以促进更有效的网络防御。

基于词频-逆文档频率和法律本体的相似案例检索算法

智慧检务是近年来研究的热点问题,而相似案例检索是智慧检务中公共法律服务模块的基本需求。传统的基于关键词的检索方式使案例的相似性仅局限在浅显的词语层面上,无法满足用户在文章和语义层面上的检索需求。针对公共法律服务中的相似案例检索问题,该文以公共法律服务案例为研究对象,引入能够突出法律语义的案例要素,并以其为依据为案例建模,提出了一种基于语义的相似案例检索算法。该算法首先结合词频-逆文档频率和法律本体,提取出语料库中全部案例要素,再基于向量空间模型,通过欧氏距离计算出用户输入案例和语料库中各案例的相似程度,从而实现语义层面上的相似案例检索。通过对12348中国法网司法行政(法律服务)案例库中案例的分类实验可知,与传统的词频-逆文档频率提取关键词方法相比,该算法在监狱教改类案例分类上,其F1值提高了36.36%。

人工智能赋能网络攻击的安全威胁及应对策略

人工智能(AI)在为社会进步带来显著推动效应的同时,也在促进网络空间安全领域的重大变革,研究AI和网络空间安全结合带来的安全问题具有迫切意义。本文采用自顶向下的分析方法,从加剧现实安全威胁、催生新型安全威胁两个角度分析了AI和网络空间安全结合带来的政治安全、经济安全、社会安全、国防安全等重大问题,提炼了自主化规模化的拒绝服务攻击、智能化高仿真的社会工程学攻击、智能化精准化的恶意代码攻击等新型威胁场景,总结了环境自适应隐蔽攻击、分布式自主协作攻击、自我演化攻击等未来发展趋势。为有效应对AI赋能网络攻击的安全威胁,建议从防范安全威胁、构建对等能力角度加强智能化网络攻防体系建设和能力升级;加强AI安全数据资产的共享利用,采取以数据为中心的AI网络攻防技术发展路径;加强对抗评估和测试验证,促进AI网络攻防技术尽快具备实用性。

分布式环境下话题发现算法性能分析

社交网络成为现在人们生活的一种重要方式,越来越多的人选择通过社交网络表达观点、抒发心情。在海量的数据下,快速发现讨论的内容得到越来越多的研究者的关注,随即出现了大量的话题发现算法。在大规模新浪微博数据环境下,针对3种经典分布式话题发现算法,结合社交网络平台的特点提出了分析性能的测试方案,并根据测试方案比较与分析了3种算法的性能,指出了各算法的优缺点,为后续应用提供参考。

基于记忆效应的社交网络信息传播模型

在线社交网络已成为当代社会信息交互的重要集散地,其信息传播日益活跃。为了探究社交网络中的信息传播规律,本文通过引入信息曝光度曲线与社交网络个体影响力,提出了一种基于信息转发传播过程中记忆效应的信息传播模型。在规则网络、随机网络与人人网数据集上进行仿真,研究发现谣言、爱好等具有兴趣累积型记忆效应的信息更容易在规模较大的规则网络上传播,且这种趋势会随着网络规模增大而更加显著,符合社交网络特性。而具有时效衰减性质的信息,在随机网络上传播的效果更好,这对Centola的行为传播实验结论提供了补充。

Geometric Name Routing for ICN in Dynamic World

A new paradigm of scalable routing for ICN is to combine a geometric routing scheme with a Distributed Hash Table. However, for most routing schemes in this paradigm, when a node joins or leaves, large numbers of nodes, even the whole topology, need to be re-embedded, and a great number of contents need to be re-registered. In this paper, we propose D-Griffin, a geometric routing scheme on flat names for dynamic topologies. D-Griffin provides two advantages. First, it avoids re-embedding the topology by using an online greedy embedding scheme and a void handling greedy forwarding scheme. Second, it decreases the number of re-registrations by using a name mapping scheme with a tradeoff between topology independence and load balancing. Theoretical and experimental analyses show that D-Griffin provides guaranteed content lookup, low description complexity, low path stretch, scalable routing update, and acceptable load balancing.

Two-Phased Method for Detecting Evasive Network Attack Channels

With the rapid developments of information technology,various industries become much more dependent on networks.Driven by economic interests and the game between countries reflected by growing cyberspace confrontations,evasive network attacks on information infrastructures with high-tech,high concealment and longterm sustainability become severe threats to national security.In this paper,we propose a novel two-phased method for the detection of evasive network attacks which exploit or pretend to be common legal encryption services in order to escape security inspection.Malicious communications which camouflage themselves as legal encryption application are identified in the SSL'session structure verification phase firstly,and then by serverside X.509 certificate based anomaly detection,suspicious attack behaviors are further distinguished effectively.Experiment results show that our method is very useful for detecting the network activities of certain unknown threats or new malwares.Besides,the proposed method can be applied to other similar services easily.

面向Web新闻与博客的内容提取方法

Web深刻地改变了社会生活,新闻和博客网站作为其中代表性的消息来源,为人们提供了方便的信息获取方式。在Web分析的实际业务中,广告、文章推荐等无关信息的存在,给新闻和博客网页中主要内容的提取带来了负面影响。本文提出了一种区别于抽取模板的新闻和博客内容提取方法CEVC,通过定义有效字符,对网页内容文件的DOM树进行递归计算,确定最具代表性的子节点作为主要内容节点。实验选取了中文与英文网页作为数据集,定义了提取新闻和博客内容的性能指标。对比实验的结果表明,CEVC在Web内容提取方面的性能优于现有方法。

针对新顶级域名的Web浏览器行为测试与分析

为进一步满足发展互联网空间的需要,2011年互联网名称与数字地址分配机构(ICANN)通过新顶级域批案[1](New gTLD),宣布放开通用顶级域名的注册限制,允许企业和机构使用自创名称注册通用顶级域名。截至17年6月,全球范围内顶级域的数量已经增长到1563个。本文提出一种对新顶级域名在Web浏览器中的行为进行测试和分析的方法,设计和实现了基于UIA的浏览器自动测试系统,应用该系统在根据百度统计的浏览器市场份额排名前十的浏览器中进行了测试。测试对象包含真实新顶级域和虚拟新顶级域。测试发现,浏览器行为特征主要表现为3种类型:跳转搜索并解析;跳转搜索不解析;不跳转搜索且解析。根据内核分类的不同,浏览器在针对不同类型顶级域的2次测试表现出的行为特征有明显的差异。对于测试浏览器中70%无法正常显示国际域名的浏览器,本工作统计了其显示异常的数量。