当期目录

2020年 第6卷 第6期 刊出日期：2020-12-15

2020年 第6卷 第6期
刊出日期：2020-12-15

  

专栏：网络应用与防护技术

基于日志的异常检测技术综述

张颖君,刘尚奇,杨牧,张海霞,黄克振

2020, 6(6):  1-12.  doi:10.11959/j.issn.2096-109x.2020072

摘要 ( 2214 )   在线阅读 ( 394 )   PDF下载 (739KB) ( 2698 )   可视化   

数据和表 | 参考文献 | 相关文章

日志信息是信息系统快速发展中产生的重要信息资源，通过日志的分析，可以进行异常检测、故障诊断和性能诊断等。研究基于日志的异常检测技术，首先对主要使用的基于日志的异常检测框架进行介绍，然后对日志解析、日志异常检测等关键技术进行详细介绍。最后对当前技术进行总结，并对未来研究方向给出建议。

基于融合编译的软件多样化保护方法

熊小兵,舒辉,康绯

2020, 6(6):  13-24.  doi:10.11959/j.issn.2096-109x.2020075

摘要 ( 297 )   在线阅读 ( 41 )   PDF下载 (1061KB) ( 299 )   可视化   

数据和表 | 参考文献 | 相关文章

针对现有主流保护方法存在的特征明显、模式单一等问题，以 LLVM 开源编译框架为基础，提出了一种基于融合编译的软件多样化保护方法，该方法将目标软件进行随机化加密处理，并在编译层面与掩护软件进行深度融合，通过内存执行技术，将加密后的目标软件进行解密处理，进而在内存中以无进程的形式执行，利用掩护代码的多样性、融合策略的随机性来实现目标软件的多样化保护效果。选取了多款常用软件作为测试集，从资源开销、保护效果、对比实验等多个角度对所提方法进行了实例测试，从测试结果可以看出，所提方法资源开销较小，相较于混淆、加壳等传统方法，所提方法在抗静态分析、抗动态调试等方面具有较大优势，能有效对抗主流代码逆向分析和破解手段。

分支混淆中的条件异常代码构造研究

耿普,祝跃飞

2020, 6(6):  25-34.  doi:10.11959/j.issn.2096-109x.2020061

摘要 ( 174 )   在线阅读 ( 18 )   PDF下载 (1051KB) ( 249 )   可视化   

数据和表 | 参考文献 | 相关文章

当前分支混淆技术通过构造条件异常代码和异常处理替代条件跳转指令，隐藏分支选择指令的地址，提高约束条件获取的难度，从而对抗符号执行。当前方法构造的条件异常代码中，关键数据具有二值性问题，有利于分支混淆的检测、发现和约束条件获取，降低了混淆的隐蔽性和与符号执行的对抗性；基于该缺点，提出一种使关键数据具有多样性特征的条件异常代码构造方法，增加了混淆的隐蔽性和约束条件的获取难度，提高分支混淆对抗符号执行的强度；通过结构化异常处理实现了基于新型条件异常代码构造的分支混淆原型系统，并对混淆进行了测试和分析。

基于卷积神经网络恶意安卓应用行为模式挖掘

张鑫,羌卫中,吴月明,邹德清,金海

2020, 6(6):  35-44.  doi:10.11959/j.issn.2096-109x.2020073

摘要 ( 268 )   在线阅读 ( 38 )   PDF下载 (1943KB) ( 243 )   可视化   

数据和表 | 参考文献 | 相关文章

现有的安卓恶意应用检测方法所提取的特征冗余且抽象，无法在高级语义上反映恶意应用的行为模式。针对这一问题，提出一种可解释性检测方法，通过社交网络检测算法聚类可疑系统调用组合，将其映射为单通道图像，用卷积神经网络进行分类，并利用卷积层梯度权重类激活映射可视化方法发现最可疑的系统调用组合，从而挖掘理解恶意应用行为。实验结果表明，所提方法在高效检测的基础上，能够正确发现恶意应用的行为模式。

Docker组件间标准输入输出复制的DoS攻击分析

周天昱,申文博,杨男子,李金库,秦承刚,喻望

2020, 6(6):  45-56.  doi:10.11959/j.issn.2096-109x.2020074

摘要 ( 674 )   在线阅读 ( 85 )   PDF下载 (1740KB) ( 565 )   可视化   

数据和表 | 参考文献 | 相关文章

近年来，Docker 技术因其部署灵活、可扩展性强，获得了大规模应用。Docker 采用模块化设计，在降低开发和维护的复杂性的同时引入了针对组件间通信的拒绝服务（DoS）攻击。在Docker容器内频繁进行stdout输出会引起Docker组件消耗大量CPU，造成DoS攻击。经过分析，可发现容器实例中的stdout输出会触发Docker各个组件的goroutine，进行频繁输出复制。为系统化地找出可被DoS攻击的goroutine创建的路径，提出使用静态分析的方法来分析Docker各组件，设计并实现了Docker组件静态分析框架，最后在Docker上进行了测试，成功分析得到了34条此类路径，其中22条路径经验证，可成功被动态触发。

基于代码碎片化的软件保护技术

郭京城,舒辉,熊小兵,康绯

2020, 6(6):  57-68.  doi:10.11959/j.issn.2096-109x.2020063

摘要 ( 342 )   在线阅读 ( 41 )   PDF下载 (1166KB) ( 184 )   可视化   

数据和表 | 参考文献 | 相关文章

针对当前软件保护技术存在的不足，提出一种代码碎片化技术，该技术是一种以函数为单元，对函数进行代码shell化、内存布局随机化、执行动态链接化的新型软件保护技术，代码shell化实现代码碎片的位置无关变形，内存布局随机化实现代码碎片的随机内存加载，动态链接化实现对代码碎片的动态执行，通过上述3个环节实现对程序的碎片化处理。实验表明，代码碎片化技术不仅能实现程序执行过程中函数碎片内存位置的随机化，还能实现函数碎片的动态链接执行，增加程序静态逆向分析和动态逆向调试的难度，提高程序的抗逆向分析能力。

电子邮件安全扩展协议应用分析

尚菁菁,朱宇佳,刘庆云

2020, 6(6):  69-79.  doi:10.11959/j.issn.2096-109x.2020083

摘要 ( 344 )   在线阅读 ( 46 )   PDF下载 (1035KB) ( 500 )   可视化   

数据和表 | 参考文献 | 相关文章

电子邮件是黑客发起网络攻击的主要入口，其中身份仿冒是电子邮件欺诈重要手段。基于邮件身份验证机制，构建属性图以测量政府机构电子邮件安全扩展协议全球采用率。从邮件内容仿冒、域仿冒、信头仿冒 3 个维度研究安全扩展协议部署效果。结果表明，各国政府机构邮件系统中部署 SPF 协议的约占70%，部署DMARC协议的不足30%，电子邮件身份检测采用率较低。当欺诈邮件进入收件人邮箱后，邮件服务提供商针对仿冒邮件警告机制有待完善。

学术论文

政府开放数据的国家安全风险评估模型研究

王标,刘兴洋,许卡,刘汪洋,王克楠,夏宇清

2020, 6(6):  80-87.  doi:10.11959/j.issn.2096-109x.2020077

摘要 ( 421 )   在线阅读 ( 35 )   PDF下载 (721KB) ( 380 )   可视化   

数据和表 | 参考文献 | 相关文章

政府开放数据作为国家和社会发展重要战略资源，蕴含着巨大价值，但我国在政府开放数据的安全风险评估方面缺乏标准，国家数据安全面临风险。借鉴信息安全风险评估理论，以国家安全资产、开放数据脆弱性和安全威胁作为主要安全风险要素，构建政府开放数据的安全风险评估模型，利用层次分析法和模糊综合评价法对政府开放数据的安全风险进行量化评估，并通过实例验证模型的有效性。

基于跨域协同的网络空间威胁预警模式

熊钢,葛雨玮,褚衍杰,曹卫权

2020, 6(6):  88-96.  doi:10.11959/j.issn.2096-109x.2020078

摘要 ( 458 )   在线阅读 ( 65 )   PDF下载 (2313KB) ( 615 )   可视化   

数据和表 | 参考文献 | 相关文章

网络空间威胁发展呈现出主动性、隐蔽性、泛在性的特点，向传统被动式、局域性、孤立化的网络防御模式提出了严峻挑战。针对大数据、人工智能与网络安全融合的新趋势，提出一种跨域协同的威胁预警模式，为网络空间安全防护赋能增效。首先，该模式从网络空间结构出发，通过划分安全威胁域、解析系统功能、设计共享机制，构建具有合纵连横作用的功能框架；其次，为提升威胁信息检测能力，设计了分层司职的协同化技术体系，阐述了威胁信息感知、处理、应用等关键技术；最后，借助应用场景，定性化描述了所提预警模式的能力增量。

低故障恢复开销的软件定义网络控制器布局算法

吴奇,陈鸿昶

2020, 6(6):  97-104.  doi:10.11959/j.issn.2096-109x.2020066

摘要 ( 182 )   在线阅读 ( 9 )   PDF下载 (893KB) ( 171 )   可视化   

数据和表 | 参考文献 | 相关文章

控制器部署技术是软件定义网络的重要研究方向。现有控制器布局技术更多地关注节点故障时网络的鲁棒性布局方法，缺乏对连边故障情况下的灾备分析。为了解决这个问题，建立了一种低故障恢复开销软件定义网络控制器布局模型，该模型针对连边故障进行设计，并利用基于模拟退火思想的算法进行求解。仿真结果表明，该模型及算法在尽量少地损失网络时延代价的同时，有效降低了控制路径出现故障时网络的故障恢复开销。

基于TPCM的服务器可信PXE启动方法

刘国杰,张建标

2020, 6(6):  105-111.  doi:10.11959/j.issn.2096-109x.2020079

摘要 ( 469 )   在线阅读 ( 37 )   PDF下载 (813KB) ( 237 )   可视化   

数据和表 | 参考文献 | 相关文章

PXE 启动机制通过网络下载操作系统文件并启动操作系统，广泛应用于服务器网络启动。通过可信计算技术保障PXE启动过程的安全可信，防止PXE启动文件被恶意篡改，确保服务器的安全可信运行。网络安全等级保护标准要求基于可信根对服务器设备的系统引导程序、系统程序等进行可信验证。根据等级保护标准要求，提出一种基于TPCM的服务器可信PXE启动方法，保障服务器的BIOS固件、PXE启动文件、Linux系统文件的安全可信。在服务器进行PXE启动时，由TPCM度量BIOS固件，由BIOS启动环境度量PXE启动文件，由PXE启动环境度量Linux系统文件。以TPCM为信任根逐级度量、逐级信任，建立信任链，建立可信的服务器运行环境。所提方法在国产自主可控申威服务器上进行了实验，实验结果表明所提方法是可行的。

基于可分离卷积的轻量级恶意域名检测模型

杨路辉,白惠文,刘光杰,戴跃伟

2020, 6(6):  112-120.  doi:10.11959/j.issn.2096-109x.2020084

摘要 ( 216 )   在线阅读 ( 18 )   PDF下载 (1976KB) ( 568 )   可视化   

数据和表 | 参考文献 | 相关文章

考虑到基于深度学习的恶意域名检测方法计算开销大，难以有效应用于真实网络场景域名检测实际，设计了一种基于可分离卷积的轻量级恶意域名检测算法。该模型使用可分离卷积结构，能够对卷积过程中的每一个输入通道进行深度卷积，然后对所有输出通道进行逐点卷积，在不减少卷积特征提取效果的情况下，有效减少卷积过程的参数量，实现更加快速的卷积过程并不降低模型的准确性。同时，为了减轻模型训练过程中正负样本数量不平衡与样本难易程度不平衡的情况对模型分类准确率的影响，引入了一种聚焦损失函数。所提算法在公开数据集上与 3 种典型的基于深度神经网络的检测模型进行对比，实验结果表明，算法能够达到与目前最优模型接近的检测准确率，同时能够显著提升在CPU上的模型推理速度。

基于多层模糊综合评估的隐私保护效果评估方法

俞艺涵,付钰,吴晓平

2020, 6(6):  121-127.  doi:10.11959/j.issn.2096-109x.2020082

摘要 ( 264 )   在线阅读 ( 26 )   PDF下载 (745KB) ( 191 )   可视化   

数据和表 | 参考文献 | 相关文章

针对由单一数据层面进行隐私保护效果评估无法刻画网络环境整体隐私保护效果的问题，借助模糊综合评估方法，从数据全生命周期凝练隐私保护效果影响因子，通过分区块、多层次地模糊综合评估，并依据数据隐私差异确定各因子与各区块权重，综合计算得到网络环境整体隐私保护效果评估结果。实例分析表明，该方法可行有效。

三接收方公钥密码系统

赵琉涛,钟林,刘吉东,王彩群,吴丹

2020, 6(6):  128-136.  doi:10.11959/j.issn.2096-109x.2020080

摘要 ( 328 )   在线阅读 ( 25 )   PDF下载 (679KB) ( 197 )   可视化   

数据和表 | 参考文献 | 相关文章

提出一种三接收方公钥加密方案，该方案中发送方对消息进行加密，而三接收方均能够使用各自的私钥对消息进行解密。基于双线性映射，构造出两个安全性不同的三接收方公钥加密方案。形式化证明如果间隙双线性Diffie-Hellman问题和计算性Diffie-Hellman问题是困难的，则所提的两个方案分别具有选择明文攻击安全和适应性选择密文攻击安全。所提方案仅增加了一项指数运算和一项哈希运算，就实现了3个独立的接收方，因此该方案效率较高。分析表明，该方案能够提高 TLS 协议的安全性并应用于分级监管公钥密码系统。

移动平台典型应用的身份认证问题研究

张效林,谷大武,张驰

2020, 6(6):  137-151.  doi:10.11959/j.issn.2096-109x.2020081

摘要 ( 366 )   在线阅读 ( 23 )   PDF下载 (1440KB) ( 746 )   可视化   

数据和表 | 参考文献 | 相关文章

近年来的研究表明，针对USIM卡的攻击手段日益增多，在5G环境下攻击者也能使用复制的USIM卡绕过某些正常应用的身份认证，进而获取用户信息。在USIM可被复制的条件下，研究了移动平台上典型应用的身份认证流程，通过分析用户登录、重置密码、执行敏感操作的应用行为给出身份认证树。在此基础上，测试了社交通信、个人健康等7类58款典型应用，发现有29款认证时仅需USIM卡接收的SMS验证码便可通过认证。针对该问题，建议应用开启两步验证，并结合USIM防伪等手段完成认证。

基于循环神经网络的空载电动出租车的充电桩推荐方法

贾鉴,刘林峰,吴家皋

2020, 6(6):  152-163.  doi:10.11959/j.issn.2096-109x.2020085

摘要 ( 351 )   在线阅读 ( 19 )   PDF下载 (1915KB) ( 270 )   可视化   

数据和表 | 参考文献 | 相关文章

提出了一种基于循环神经网络的空载电动出租车的充电桩推荐方法（CPRM-IET，charging pile recommendation method for idle electric taxis），来为空载状态下的电动出租车推荐最佳充电桩。空载状态下的电动出租车移动一般依赖于驾驶人的潜意识移动倾向和驾驶习惯，因此需要根据其历史移动轨迹来预测其未来移动，从而找到充电额外移动最小的若干充电桩。在CPRM-IET中，使用了一种基于双阶段注意力机制的循环神经网络（DA-RNN，dual-stage attention-based recurrent neural network）模型来预测电动出租车的未来轨迹，DA-RNN模型包括输入注意力机制和时间注意力机制。输入注意力机制在每个时刻为输入的行驶记录分配权重，而时间注意机制为编码器的隐藏状态分配权重。根据预测轨迹，再选择额外移动最小的若干充电桩，并推荐给电动出租车驾驶人。仿真结果表明，CPRM-IET可以在额外移动和均方根误差方面取得较好的结果，反映了CPRM-IET可以准确地预测空载电动出租车的未来轨迹，并向这些电动出租车推荐合适的充电桩。

基于用户兴趣的微博溯源算法

杨潇,陈秀真,马进,梁浩喆,李生红

2020, 6(6):  164-173.  doi:10.11959/j.issn.2096-109x.2020086

摘要 ( 394 )   在线阅读 ( 53 )   PDF下载 (17025KB) ( 172 )   可视化   

数据和表 | 参考文献 | 相关文章

微博信息溯源通过分析在平台采集的话题数据集，挖掘相关话题的真正源头，即发布时间较早且影响力大的微博集合，实现网络舆论的管控与引导。提出一种基于用户兴趣的微博溯源算法，该算法根据博主的兴趣计算博主影响力，同时根据评论人、转发人的兴趣计算评论人、转发人的影响力，结合博主关注度和发表时间等因素，利用网页排序算法对微博评分，根据微博得分进行排序溯源。实验结果表明，该算法相较于传统溯源算法在查全率上提升了约21%。