基于CloudStack的网络攻防虚拟实验云平台

网络安全实验通常需要复杂的实验环境,网络攻防本身具有一定破坏性和不可逆性,为教学而在系统中设置安全漏洞会产生巨大风险,环境搭建和维护具有较高成本。因此,使用虚拟化和SDN手段搭建虚拟实验教学平台具有重要意义。基于CloudStack开源云架构和XEN虚拟化技术,以IAAS为服务模式所搭建的网络攻防虚拟实验云平台,能够解决当前网络安全实验教学环境存在的问题。通过对snort与Iptables联动搭建防护墙实验的介绍和分析,实验表明,实验云平台在提升实验教学质量,培养学生工程实践能力和工程创新能力方面已经起到了效果,云平台本身具有广阔的发展和应用前景。

Evaluation of Hypervisor Stability towards Insider Attacks

Virtualization technology plays a key role in cloud computing.Thus,the security issues of virtualization tools（hypervisors,emulators,etc.） should be under precise consideration.However,threats of insider attacks are underestimated.The virtualization tools and hypervisors have been poorly protected from this type of attacks.Furthermore,hypervisor is one of the most critical elements in cloud computing infrastructure.Firstly,hypervisor vulnerabilities analysis is provided.Secondly,a formal model of insider attack on hypervisor is developed.Consequently,on the basis of the formal attack model,we propose a new methodology of hypervisor stability evaluation.In this paper,certain security countermeasures are considered that should be integrated in hypervisor software architecture.

Illegal Access Detection in the Cloud Computing Environment

In this paper detection method for the illegal access to the cloud infrastructure is proposed. Detection process is based on the collaborative filtering algorithm constructed on the cloud model. Here, first of all, the normal behavior of the user is formed in the shape of a cloud model, then these models are compared with each other by using the cosine similarity method and by applying the collaborative filtering method the deviations from the normal behavior are evaluated. If the deviation value is above than the threshold, the user who gained access to the system is evaluated as illegal, otherwise he is evaluated as a real user.

Server-aided access control for cloud computing

With the massive diffusion of cloud computing, more and more sensitive data is being centralized into the cloud for sharing, which brings forth new challenges for the security and privacy of outsourced data. To address these challenges, the server-aided access control(SAAC) system was proposed. The SAAC system builds upon a variant of conditional proxy re-encryption(CPRE) named threshold conditional proxy re-encryption(TCPRE). In TCPRE, t out of n proxies can re-encrypt ciphertexts(satisfying some specified conditions) for the delegator(while up to t-1 proxies cannot), and the correctness of the re-encrypted ciphertexts can be publicly verified. Both features guarantee the trust and reliability on the proxies deployed in the SAAC system. The security models for TCPRE were formalized, several TCPRE constructions were proposed and that our final scheme was secure against chosen-ciphertext attacks was proved.

云存储抗边信道攻击的密文数据去重算法

考虑云储存中密文数据相似性较高,导致去重难度过大的问题,提出一种基于执行机构的密文数据去重算法。构建密文动态平衡跳跃表,根据对动态平衡跳跃表的构建与描述,得到抗边信道攻击的密文数据动态叠加特点。基于密文动态平衡跳跃表构建与更新结果,提出一种抗边信道攻击的数据去重框架,云储存提供商执行数据加密、数据标签查询以及数据去重三个过程。云端储存使用标签代表数据查询操作,一旦查询计数超过阈值,执行数据加密程序对该文件进行加密,并按照云储存服务商提供的执行命令对重叠密文进行去重。实验结果证明,所提方法对密文数据去重效果表现较佳,去重后云储存空间占用情况得到了明显改善。

基于多智能体遗传算法的云平台抗虚假数据注入攻击方法

为确保云平台内数据传输安全,提出一种基于多智能体遗传算法的云平台抗虚假数据注入攻击方法。采用开源平台OpenStack搭建云平台,并分析云平台虚假数据注入攻击过程;以该攻击过程为基础,结合Copula函数与GAN生成对抗网络构建虚假数据注入攻击检测框架,利用Copula GAN函数模型中的判别器与生成器对云平台原始量测数据进行对抗训练,再采用极端随机树分类器检测虚假数据,判断云平台中是否存在虚假数据注入攻击情况;利用三层攻防博弈模型防御云平台中的虚假数据注入攻击,同时由该模型为各条数据传输线路分配防御资源,并设置对应的约束条件;采用多智能体遗传算法对模型进行优化求解,完成云平台虚假数据注入攻击目标防御。实验结果表明,该方法可以精准检测云平台虚假数据并及时采取防御措施,具备较强的抗虚假数据注入攻击能力。

面向连接关键词可搜索加密的查询恢复攻击

为了恢复连接关键词可搜索加密方案中的用户查询,提出了2种针对连接查询可搜索加密方案的攻击方法,分别是交叉泄露攻击和频率匹配攻击。首先,从泄露中提取候选关键词集合;然后,分别利用关键词对结果模式泄露和查询频率信息进行过滤。结果表明,在交叉泄露攻击中,当攻击者仅掌握10%的数据集时,若关键词在空间为100,查询恢复的准确率可高达90%,将关键词空间扩大至1000,攻击者依然能够恢复50%以上的查询;在频率匹配攻击中,即使攻击者仅已知不准确的频率分布信息,也至少可以准确恢复70%的查询。

可信赖云计算的通信防火墙攻击捕获系统设计

为提高通信防火墙攻击捕获的有效性,提出基于可信赖云计算的通信防火墙攻击捕获系统。系统硬件设计过滤器、内核防火墙和捕获器,过滤器执行数据分流过滤,内核防火墙执行iptables命令和ebtables命令完成信息匹配,捕获器对5种虚拟路径进行分析,完成信息捕获。可信赖云计算软件设计,构建不同数据包的概率密度函数,判读数据是否为攻击信息。实验结果表明,所设计系统能够保证计算密集型任务的执行成功率达到90%以上,降低计算过程的收敛程度。

可搜索加密的安全性研究进展

可搜索加密是一种在云计算和大数据环境下解决数据安全和隐私保护问题的关键技术,其允许用户在不解密的情况下,对加密数据进行安全搜索。然而,近年来针对可搜索加密的攻击研究层出不穷且破坏了安全搜索的功能。为了深入理解可搜索加密的安全性,对可搜索加密的安全性研究进展进行梳理和探讨。可搜索加密主要分为公钥可搜索加密和对称可搜索加密。首先介绍了公钥可搜索加密的概念,现有公钥可搜索加密方案面临着用户隐私、关键词猜测攻击和密文关键词等值测试等严峻的挑战,并给出具体的解决思路与方法。进一步阐述了对称可搜索加密的安全模型,对称可搜索加密方案的攻击方法和防御方法。最后,讨论了可搜索加密需进一步研究的问题和未来发展方向。

三维点云目标识别对抗攻击研究综述

当前,人工智能系统在诸多领域都取得了巨大的成功,其中深度学习技术发挥了关键作用。然而,尽管深度神经网络具有强大的推理识别能力,但是依然容易受到对抗样本的攻击,表现出了脆弱性。对抗样本是经过特殊设计的输入数据,能够攻击并误导深度学习模型的输出。随着激光雷达等3维传感器的快速发展,使用深度学习技术解决3维领域的各种智能任务也越来越受到重视。采用深度学习技术处理3维点云数据的人工智能系统的安全性和鲁棒性至关重要,如基于深度学习的自动驾驶3维目标检测与识别技术。为了分析3维点云对抗样本对深度神经网络的攻击方式,揭示3维对抗样本对深度神经网络的干扰机制,该文总结了基于3维点云深度神经网络模型的对抗攻击方法的研究进展。首先,介绍了对抗攻击的基本原理和实现方法,然后,总结并分析了3维点云的数字域对抗攻击和物理域对抗攻击,最后,讨论了3维点云对抗攻击面临的挑战和未来的研究方向。

基于模糊广义去重的图像轻量安全云存储方法

广义去重是实现云数据安全去重的一种重要手段。现有的广义去重方法仅支持精确去重,且无法与图像加密技术有机结合。而图像加密技术本身也将给用户带来巨大的计算开销。针对以上挑战,本文提出一种基于模糊广义去重的图像轻量级安全云存储方法。首先对图像数据开展整数小波变换并提取低频分量作为基,高频分量作为偏移量,通过提出一种基于异或的轻量级加密算法,把图像的机密性保护方法与广义去重技术有机结合。此外,本文还对偏移量进行云端模糊去重,使得云端仅保存高度相似的偏移量数据的单个副本,实现了图像云数据的模糊广义去重。在相关的图像数据集上开展实验,结果表明在实现安全性的前提下,本文所提方法在改善通信效率和存储效率上有显著效果。

高校网络安全实验教学平台建设实践

为了在高校中培养行业实际需要的网络安全人才,搭建网络安全实验教学平台至关重要。本文提出一种基于云计算的网络安全实验教学平台构建方案,并对平台架构、关键实现技术以及组成功能模块进行了详细阐述。实践的结果表明,该平台具有较好的实用性和扩展性,可以很好地满足培养具备实战能力的网络安全人才的需求。

考虑安全的边—云协同计算卸载成本优化

为满足边缘计算安全高效的计算卸载需求,计算卸载方案不仅要考虑对正常计算任务卸载的成本优化,还要考虑防御DDoS攻击所产生的安全成本,在多用户、多任务边缘计算系统中,文章提出考虑安全的边—云协同计算卸载方案(E-CCOCS)。首先,对计算卸载过程进行建模,利用安全模型对恶意卸载流量进行检测并根据检测结果生成所有终端设备的信任度,将时延、能耗和安全成本的联合卸载成本优化问题构建为一个混合整数非线性规划问题。其次,针对终端设备—边缘、边缘—云的协同卸载场景,提出双层改进粒子群优化算法(DLI-PSO)对卸载成本优化问题进行求解。仿真实验结果表明,DLI-PSO算法的收敛性优于对比算法,E-CCOCS的成本低于对比方案的成本,可有效应对DDoS攻击。

基于自适应MSB可逆信息隐藏的图像云数据密文安全去重机制

随着信息技术的飞速发展,越来越多以图像为代表的多媒体数据被重复上传到云平台进行存储,造成了用户通信开销和云端存储开销的极大浪费。此外,明文状态的图像数据存储在云端,导致数据机密性被破坏。尽管密文图像云数据去重技术在一定程度上解决了以上问题,但去重过程中产生的可区分响应为攻击者创建了一个侧信道,将泄露用户数据的存在性隐私。同时,为实现加密密钥在数据持有者间的传递,用户和云均需要付出巨大的额外代价。鉴于此,提出了一种基于自适应MSB可逆信息隐藏的高效密文图像安全去重机制,其能够在有效抵抗侧信道攻击的同时实现较低的通信开销和存储开销。具体来说,创新性地将密文域可逆信息隐藏技术引入密文去重框架,将用于传递随机密钥的辅助信息嵌入加密图像中并发送给云,从而消除辅助信息的传输和存储开销。此外,优化了现有的去重方案,即使请求图像并未存储于云端,用户也无需开展额外的密文上传工作,从而保证响应的不可区分性。安全性分析和实验结果表明,与现有方案相比,该方案能够以轻量级的方式抵抗侧信道攻击。

线云隐私攻击算法的并行加速研究

线云定位方法能保护场景隐私,但也存在被隐私攻击算法破解的风险。该攻击算法能从线云恢复近似点云,但其计算效率较低。针对该问题,提出了一种并行优化算法,并对其运行时间和加速比进行了分析。具体来说,分别采用SPMD模式和流水线模式实现了CPU多核并行和GPGPU并行。然后,进一步结合数据并行模式实现了异构计算,以达到最高的并行度。实验结果表明,并行优化算法加速比最大为15.11,最小为8.20;相比原算法,并行优化算法的还原点云相对误差控制在原误差的0.4%以内,保证了算法的精度。该研究对线云隐私攻击算法以及其他密度估计问题、不同场景下的线云隐私保护算法等有重要意义和参考价值。

云计算背景下网络信息安全技术研究

新时期,信息技术蓬勃发展,越来越多的先进科学技术形态应运而生,并广泛应用于各行各业,这其中就包括云计算技术。该技术的诞生与运用,为信息时代进一步发展奠定了良好的基础。用户基于云计算平台可以实现资源共享、网络访问等多种目标。但不可否认的是,由于云计算平台具有开放性、共享性等特点,所以容易受到病毒入侵、黑客攻击等因素的影响,导致网络信息安全隐患层出不穷。该文将结合实践经验,基于云计算视角,分析网络安全技术运用面临的常见问题,并展望网络安全技术未来的发展趋势,旨在为保障网络信息安全提供一点参考。

基于云理论的坦克分队进攻队形综合评价

对坦克分队进攻队形的评价在坦克兵战术研究领域具有重要的意义。依据战术规则制定出了评价进攻队形的指标体系,运用AHP法给出了各指标的权重。在综合评价中引入了云理论,制定了各指标的云模型参数确定方法,运用虚拟云算法对各指标进行综合运算,最后将评价结果以云数字特征图以及概率分布的形式分别表示出来。经实例验证,该方法科学合理,评价结果直观、符合实际。

可搜索加密技术研究综述

从可搜索加密的两类基本问题出发,回顾了相关研究历史.介绍了可搜索加密的分类,包括其应用场景和应用模型,并探讨了相应的解决策略,从构造角度,将其分为对称可搜索加密和非对称可搜索加密.基于这种分类,围绕基本定义、典型构造和扩展研究,对可搜索加密相关工作进行了综述.最后,总结和展望了待解决的关键性问题和未来的研究方向.这些工作将对可搜索加密的进一步研究起到一定的促进作用.

云环境中基于SDN的高效DDoS攻击检测与防御方案

针对云环境中2类典型的分布式拒绝服务(DDo S)攻击问题,提出一种基于软件定义网络架构的DDo S攻击检测与防御方案——SDCC。SDCC综合使用链路带宽和数据流这2种检测方式,利用基于置信度过滤(CBF)的方法计算数据分组CBF分数,将分数低于阈值的数据分组判断为攻击分组,添加其属性信息至攻击流特征库,并通过控制器下发流表将其拦截。仿真实验表明,SDCC能有效检测并防御不同类型DDo S攻击,具有较高检测效率,降低了控制器计算开销,并保持较低误判率。

云应用程序编程接口安全研究综述:威胁与防护

云时代,云应用程序编程接口(API)是服务交付、能力复制和数据输出的最佳载体。然而,云API在开放服务和数据的同时,增加了暴露面和攻击面,攻击者通过数据劫持和流量分析等技术获取目标云API的关键资源,能够识别用户的身份和行为,甚至直接造成背后系统的瘫痪。当前,针对云API的攻击类型繁多,威胁与防护方法各异,缺乏对现有攻击和防护方法的系统总结。该文梳理了云API安全研究中云API面临的威胁和防护方法,分析了云API的演化历程和类别划分;讨论了云API的脆弱性以及云API安全研究的重要性;提出了云API安全研究框架,涵盖身份验证、云API分布式拒绝服务(DDoS)攻击防护、重放攻击防护、中间人(MITM)攻击防护、注入攻击防护和敏感数据防护6个方面相关研究工作综述。在此基础上,探讨了增加人工智能(AI)防护的必要性。最后给出了云API防护的未来挑战和发展趋势。