区块链中的区块按照时间历史顺序进行排列,同时通过数据加密技术以及共识机制使区块链具有不可篡改性,这使产品溯源成为区块链的重要应用场景。选择产品信息追溯技术要考虑技术的可行性同时要考虑产品以及生产者的市场属性,这使许可链代替公有链成为产品信息溯源的重要部署方式。现有研究成果中对溯源许可链的研究多停留在机制设计和框架建构上,少有对适用于产品信息溯源的共识算法进行研究。在技术工程实践过程中,联盟链中多选用实用拜占庭容错(PBFT,practical byzantine fault tolerance)作为溯源链的共识机制(如超级账本项目 Hyperledger),但随着参与节点数量的增加,溯源链的运行效率明显下降,延迟时间明显提高,致使多数项目依然处于实验阶段。基于此,提出基于双层架构的溯源许可链共识机制(DLPCM)。首先将参与者在垂直维度上化分为两层,其次在不同层次上根据区块链的不同部署方式采用不同的共识机制,最后对该共识机制下的溯源信息查询机制进行介绍,为基于许可链的溯源系统的开发和设计提供了重要借鉴。
为了解决在共享模式下设备所有者在委托授权时权限敏感度保护以及中间代理滥用授权的问题,综合基于信任度访问控制模型和代理签名的特征,提出了一种基于信任度的可控部分权限委托授权机制。该机制采用基于角色和信任度值的授权策略,通过代理签名实现可控的部分权限委托传递。经安全分析证明,该机制可满足权限传递所需的可验证性、不可否认性、可区分性、可识别性和不可滥用性等安全属性,确保了设备所有者权限的可控安全传递,有效防止中间代理过度授权的问题。
软件静态漏洞检测依据分析对象主要分为二进制漏洞检测和源代码漏洞检测。由于源代码含有更为丰富的语义信息而备受代码审查人员的青睐。针对现有的源代码漏洞检测研究工作,从基于代码相似性的漏洞检测、基于符号执行的漏洞检测、基于规则的漏洞检测以及基于机器学习的漏洞检测4个方面进行了总结,并以基于源代码相似性的漏洞检测系统和面向源代码的软件漏洞智能检测系统两个具体方案为例详细介绍了漏洞检测过程。
Tor(the onion router)是部署最多的匿名通信系统,提供在线匿名和隐私保护,而隐形互联网I2P (invisible Internet project)允许应用程序通过使用大蒜路由,以匿名和安全方式相互发送消息。匿名网络Tor和I2P目前已受到学术界、工业界的高度重视,也受到用户的欢迎。网络Tor和I2P之间的设计理念区别关键在于:I2P试图将现有的互联网服务转移到I2P网络,并在框架内提供服务实现,而Tor则允许匿名访问分别实施和操作外部互联网服务。对匿名网络Tor、I2P分别从使用术语、项目开发、匿名服务、关键技术、威胁类型等多个方面进行比较,揭示两种匿名网络的内在联系与本质区别。
大数据平台具有开放性和共享性,但随着数据量不断增加且用户访问上下文环境复杂多变,RBAC模型难以满足大数据环境下细粒度、灵活的访问控制。针对这一问题,提出了大数据平台下多源异构数据的访问控制模型。该模型根据属性动态地确定角色权限,并构建基于数据组的层次结构,实现数据属性的简单管理。对该模型进行了形式化定义,阐述了在 Hadoop 平台中的实现和工作流程,并通过实验验证了所提方案的性能开销相对较小。
软件定义网络将数据平面与控制平面解耦,旨在更快地引入网络创新,并从根本上实现大型网络的自动化管理。架构创新带来了挑战与机遇,安全问题限制了软件定义网络的广泛采用。针对数据平面的攻击可能会损毁整个软件定义网络,首先介绍了数据平面结构与发展趋势;然后分析了数据平面安全风险,指出漏洞,确定潜在的攻击场景,并给出2种具体解决方案,讨论其意义与局限性;最后展望未来的安全研究方向。
网络入侵检测系统在防护网络安全中占据重要地位,随着科技不断发展,目前的入侵技术没有考虑到检测技术的可扩展性、可持续性以及训练时间长短,无法应对现代复杂多变的网络异常流量。针对这些问题,提出了一种新的深度学习方法,使用无监督的非对称卷积自编码器,对数据进行特征学习。另外,提出了一种新的基于非对称卷积自编码器和多类支持向量机相结合的方法。在 KDD99 数据集上进行了实验,实验结果表明,该方法取得了良好的结果,与其他方法相比显著减少了训练时间,进一步提高了网络入侵检测技术。
随着移动通信网技术的演进,网络安全问题日益突出,如何在提供高质量通信服务的同时保护合法用户的隐私不被非法窃取、运营商网络不被入侵成为移动通信安全领域的一个重要问题。用户与网络的相互鉴权是用户和网络彼此判定对方合法性的重要手段,鉴权手段也随着网络演进而不断演进,从历代移动通信网络(GSM、CDMA、UMTS、LTE)鉴权认证技术入手,分析鉴权技术优缺点,并重点剖析了即将商用的第五代(5G)移动通信的鉴权技术、统一认证技术,最后对未来鉴权技术的发展进行了展望。
可信计算组织(TCG,trusted computing group)提出的虚拟机远程证明方案可以为云计算平台提供虚拟机完整性验证服务,而直接使用 TCG 提出的方案性能较低,并且会受到布谷鸟攻击的威胁。利用虚拟机自省技术(VMI,virtual machine introspection)设计了新的虚拟机远程证明方案。通过在虚拟机监视器(VMM,virtual machine monitor)中获取虚拟机远程验证证据的方法消除在虚拟机内执行布谷鸟攻击的路径,利用物理可信平台模块(TPM,trusted platform module)保证虚拟机远程验证证据的完整性,减少了身份证明密钥(AIK,attestation identity key)证书的产生数量,降低了私有证书颁发机构的负载。实验表明,方案可以有效验证虚拟机的完整性状态,在虚拟机数量较多的情况下,性能优于TCG提出的虚拟机远程证明方案。
本体是知识共享的重要工具,也是知识图谱的上层结构。随着数据规模和本体复杂性的增长,本体理解与应用日益困难。本体摘要作为缩小本体规模的一项技术,为加速本体理解与应用提供了技术支持。给出了本体摘要的不同定义;对本体摘要方法进行比较分析;介绍了本体摘要评估的指标体系;最后提出本体摘要的进一步研究方向
目前,僵尸网络检测方法大多依靠对僵尸网络通信活动或通信内容的分析,前者对数据流的特征进行统计分析,不涉及数据流中的内容,在检测加密类型方面具有较强优势,但准确性较低;后者依赖先验知识进行检测,具有较强的准确度,但检测的通用性较低。因此,根据杰卡德相似度系数定义了通信相似度,并提出了一种基于用户请求域名系统(DNS,domain name system)的通信相似度计算方法,用于基于网络流量的僵尸网络节点检测。最后,基于Spark框架对所提出的方法进行了实验验证,实验结果表明该方法可以有效地用于僵尸网络节点检测。
网络安全度量面临的主要挑战之一,即如何准确地识别目标网络系统中入侵者利用脆弱性之间的依赖关系进行威胁传播,量化对网络系统的潜在影响。攻击图由于具备优越的可视化展示能力,是解决该问题的有效途径之一。首先,介绍了安全度量的概念、发展历程和通用测度模型;然后,阐述攻击图构建、分类和应用的相关研究;其次,提出一种基于攻击图的层次化安全度量框架,从关键“点”、攻击“线”和态势“面”3个层次总结归纳了现有网络安全度量方法;最后,阐述了目前研究面临的难点问题与发展趋势。
实体关系抽取旨在识别网络文本中的实体,并提取出文本中实体之间隐含的关系。研究表明,深度神经网络在实体关系抽取任务上具有可行性,并优于传统关系抽取方法。目前的关系抽取方法大都使用卷积神经网络(CNN)和长短期记忆神经网络(LSTM),然而CNN只考虑连续词之间的相关性而忽略了非连续词之间的相关性。另外,LSTM虽然考虑了长距离词的相关性,但提取特征不够充分。针对这些问题,提出了一种CNN和LSTM结合的实体关系抽取方法,采用3种结合方法进行了实验,验证了该方法的有效性,在F1值上有一定的提升。
机器学习作为实现人工智能的一种重要方法,在数据挖掘、计算机视觉、自然语言处理等领域得到广泛应用。随着机器学习应用的普及发展,其安全与隐私问题受到越来越多的关注。首先结合机器学习的一般过程,对敌手模型进行了描述。然后总结了机器学习常见的安全威胁,如投毒攻击、对抗攻击、询问攻击等,以及应对的防御方法,如正则化、对抗训练、防御精馏等。接着对机器学习常见的隐私威胁,如训练数据窃取、逆向攻击、成员推理攻击等进行了总结,并给出了相应的隐私保护技术,如同态加密、差分隐私。最后给出了亟待解决的问题和发展方向。
伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。
软件定义网络是基于开放标准的灵活架构,通过控制层管理网络功能和服务,具有控转分离、集中控制的特性;移动目标防御技术致力于构建一个不断变换的环境以提高网络系统的视在不确定性,需要灵活可定制、集中可控制的网络架构加以实施,因此将移动目标防御与软件定义网络相结合已成为更具应用价值研究热点。首先,分别介绍了软件定义网络和移动目标防御的基本概念,概括了软件定义网络所面临的安全威胁,阐述了面向SDN的移动目标防御的实现模型;其次,分别从SDN数据层、控制层和应用层归纳了移动目标防御的技术方法;最后,总结了现有SDN动态防御面临的挑战,对面向SDN的移动目标防御技术发展方向进行了展望。
随着云计算的迅速发展,为保护用户外包数据的安全和用户隐私,越来越多的企业和用户选择将数据加密后上传。因此,对云服务器上加密数据的有效搜索成为用户关注的重点。可搜索加密技术是允许用户对密文数据进行检索的密码原语,利用云服务器的强大计算资源进行关键词检索。根据使用密码体制的不同,介绍了可搜索加密的分类,将其分为对称可搜索加密和非对称可搜索加密。基于这种分类,首先介绍了典型方案,之后从可搜索加密的语句表达能力和安全性2方面进行介绍,并指出了该领域当前研究中急需解决的问题及未来研究方向。
随着互联网上的信息呈爆炸式增长,如何从海量信息中提取有用信息成了一个关键的技术问题。文本摘要技术能够从大数据中压缩提炼出精炼简洁的文档信息,有效降低用户的信息过载问题,成为研究热点。分类整理分析了近些年来国内外的文本摘要方法及其具体实现,将传统方法和深度学习摘要方法的优缺点进行了对比分析,并对今后的研究方向进行了合理展望。
针对移动目标防御中网络攻击面缺少客观风险评估的不足,为了有效地实现网络系统的安全风险评估,实现对潜在的攻击路径进行推算,提出一种基于贝叶斯攻击图的网络攻击面风险评估方法。通过对网络系统中资源、脆弱性漏洞及其依赖关系建立贝叶斯攻击图,考量节点之间的依赖关系、资源利用之间的相关性以及攻击行为对攻击路径的影响,推断攻击者到达各个状态的概率以及最大概率的攻击路径。实验结果表明了所提网络攻击面风险评估方法的可行性和有效性,能够为攻击面动态防御措施的选择提供很好的支撑。
提出自适应选取差分隐私 GAN 梯度裁剪阈值的方法。该方法假设可以接触到与隐私数据同分布的小部分公开数据,通过从公开数据中随机选取一批数据,设置裁剪阈值为这批数据的平均梯度范数,迭代上述操作直到网络聚合。在 Mnist 和 Cifar10 数据集上对所提方法进行了实验验证,结果表明,在合理隐私预算下与差分隐私辅助分类GAN相比,卷积神经网络(CNN)分类器准确率提高1%~4%,而评估分数(inception scores)提升0.6~1.2。
在社交网络中,Spammer未经接收者允许,大量地发送对接收者无用的广告信息,严重地威胁正常用户的信息安全与社交网站的信用体系。针对现有社交网络Spammer检测方法的提取浅层特征与计算复杂度高的问题,提出了一种基于图卷积网络(GCN)的社交网络Spammer检测技术。该方法基于网络结构信息,通过引入网络表示学习算法提取网络局部结构特征,结合重正则化技术条件下的 GCN 算法获取网络全局结构特征去检测 Spammer。在 Tagged.com 社交网络数据上进行了实验,结果表明,所提方法具有较高的准确率与效率。
区块链技术的兴起是一个类似于互联网崛起的范式转换事件,引起广泛关注。区块链技术具有去中心化、不可篡改和追踪溯源等特性。通过分析近几年来国内外的区块链相关论文,解构区块链的核心技术原理,探讨应用区块链技术的场景,如金融服务、征信和权属管理、公共网络服务等领域,指出各应用领域仍存在的问题,对区块链技术的发展与应用提出一些见解,致力于为区块链技术与应用的相关研究提供帮助。
根据目前我国征信体系现状,结合传统征信体系结构所产生的问题,从监管层面提出基于区块链技术的征信行业体系结构和2种数据交易模式以及征信数据交易平台技术架构,具有去中心化、安全可信、集体维护、不可篡改等特点。阐述数据交易的各个过程,探讨区块链在征信行业应用的优势:促进征信数据共享、提升对征信业监管质量、确保信息主体隐私权、有效提升征信数据维度。
代码复用攻击利用被攻击目标的固有程序代码实施攻击,打破了恶意行为总是源自外部的传统假设,是先进内存攻击技术的典型代表,也是近期软件安全领域的研究热点。首先,阐述了该技术的产生背景和实现机理;其次,从改进与变体、不同架构平台下的实现方法、自动化以及包括盲代码复用攻击和基于代码复用的非控制数据攻击在内的代码复用攻击技术的重要拓展等方面系统阐述了近年来国内外相关研究进展;再次,对代码复用攻击的防御机制和对抗防御机制的方法进行了讨论;最后,对代码复用对抗技术的发展趋势和研究方向进行了展望。
在社交网络中,异常用户检测问题是网络安全研究的关键问题之一,异常用户通过创建多个马甲进行虚假评论,网络欺凌或网络攻击等行为严重威胁正常用户的信息安全和社交网络的信用体系,因此大量研究人员对该问题进行了深入研究。回顾了近年来该问题的研究成果,并总结出一个整体架构。数据收集层介绍数据获取方式与相关数据集;特征表示层阐述属性特征、内容特征、网络特征、活动特征与辅助特征;算法选择层介绍监督算法、无监督算法与图算法;结果评估层阐述数据标注方式与方法评估指标。最后,展望了该领域未来的研究方向。
网络拓扑结构可视化作为网络检测管理和网络安全态势感知的基础,在呈现网络的整体状况和发现存在于网络拓扑中的潜在规律方面发挥着重要作用。介绍了网络拓扑结构可视化的基本内容,从网络数据自身特点和用户需求角度分析目前网络拓扑可视化研究中存在的主要挑战。抽象领域专家分析理解网络拓扑结构中节点和连接状况,洞察网络拓扑信息中性能瓶颈、网络安全、时变特性等潜在规律的过程,提出一个自顶向下的VPI分析流程模型,包括视觉接收、过程感知和交互参与。以VPI模型为指导,从视觉感知增强、时变过程增强以及探索式交互增强3个方面综述了网络拓扑可视化方法的研究现状,并结合应用需求展望未来的发展趋势。
在网络空间威胁手段日益复杂化的背景下,网络安全数据分析技术亟待提高。数据可视化技术已成为各类数据分析的理论框架和应用中的必备要素,并成为科学计算、商业智能、安全等领域中的普惠技术。网络威胁安全数据可视化通过提供有效的信息可视化交互手段,有效提升网络安全专家在分析网络空间安全问题过程中的认知能力。介绍了网络威胁安全数据可视化技术的研究现状和面临的问题,并对未来的发展趋势进行了展望。
互联网的蓬勃发展给人类生产和生活方式带来了史无前例的变革,成为各国经济发展的新引擎。然而,互联网在带来社会发展新机遇的同时,其安全问题也面临巨大挑战。各国都在积极推进网络空间安全体系建设及关键技术研究,以期保障在这一新型空间中的可持续健康发展。因此,宏观论述了网络空间安全发展态势,并系统性分析了其核心要素及层次化模型。