Please wait a minute...

当期目录

      
    综述
    网络靶场研究现状与展望
    邹星, 胡宁, 顾钊铨, 贾焰
    2024, 10(5):  1-22.  doi:10.11959/j.issn.2096-109x.2024063
    摘要 ( 319 )   在线阅读 ( 82 )   PDF下载 (3147KB) ( 394 )   可视化   
    数据和表 | 参考文献 | 相关文章

    当今社会各种网络安全事件不断发生,网络安全研究受到世界各国高度重视。为了更好地支撑网络安全技术研究,避免攻防演练和技术验证对真实的网络和生产环境造成不良影响,网络靶场应运而生。作为一种特殊的测试平台,网络靶场可提供逼真、可控、灵活的实验环境,能够有效降低研究成本、缩短研究周期、规避研究风险。因此,网络靶场是支持网络空间安全技术研究的重要基础设施和世界各国高度重视的科学实验平台。随着网络靶场基础支撑技术和计算模型的不断演进,网络靶场正面临新的问题与挑战。因此,介绍网络靶场的发展历程、典型分类及技术架构;分析国内外工业界和学术界的研究现状,归纳各国典型靶场的建设情况,梳理靶场关键技术的研究进展;总结网络靶场面临的挑战问题,并展望网络靶场的未来发展趋势,这项工作对国内网络靶场技术研究和网络靶场项目建设具有参考价值。

    工业互联网蜜网技术综述
    陈曦, 姜亚光, 林昕, 周文
    2024, 10(5):  23-38.  doi:10.11959/j.issn2096-109x.2024064
    摘要 ( 110 )   在线阅读 ( 27 )   PDF下载 (2422KB) ( 234 )   可视化   
    数据和表 | 参考文献 | 相关文章

    工业互联网将互联网和物联网技术应用于传统工业领域,通过连接、监控和优化工业系统中的设备、机器和流程,实现生产效率的提升、资源利用的优化以及产品和服务的创新。然而,工业互联网中的复杂设备和协议容易存在安全漏洞,导致潜在诸多的安全威胁。蜜网是功能强大的网络安全手段,通过虚拟或模拟的系统、服务或资源,诱导攻击者进行攻击。一旦攻击者与蜜网互动,即可监控并记录攻击活动,有助于提前发现新型网络安全威胁,改进网络安全防御,并为安全研究提供数据。通过汇总大量工业互联网蜜网的相关文献和资料,总结了工业互联网蜜网的基本概念和发展过程,并介绍了工业互联网蜜网的关键技术,对设备仿真、协议模拟和部署分析进行了详细的技术介绍。此外,还针对工业互联网蜜网的功能和结构,提出了基于ATT&CK(adversarial tactics,techniques & common knowledge)的企业矩阵模型的蜜网评估体系,对几种工业互联网蜜网进行了评估,并对工业互联网未来的研究进行了展望。

    专题:互联网域名安全
    防护性 DNS服务关键技术研究综述
    马永征, 李洪涛, 马中胜, 胡卫宏, 张中献
    2024, 10(5):  39-55.  doi:10.11959/j.issn.2096-109x.2024065
    摘要 ( 88 )   在线阅读 ( 10 )   PDF下载 (1523KB) ( 255 )   可视化   
    数据和表 | 参考文献 | 相关文章

    域名系统(domain name system,DNS)作为互联网资源的名字标识服务,提供了从域名到IP地址的查询转换功能,是用户访问互联网应用的入口,也是用户侧安全威胁感知与防御的关键点。用户侧常见的DNS滥用及相关安全威胁有:网络钓鱼、域名不良应用、恶意软件以及利用DNS进行攻击等。防护性DNS(protective DNS,PDNS)服务是一种利用DNS协议和架构的网络安全防护技术,通过对DNS查询进行威胁检测与处置,能够从源头上阻止用户对网络钓鱼网站、不良网站、恶意软件的访问。目前学界对PDNS服务还缺少系统的介绍与研究。对PDNS已有研究工作、应用现状及架构与功能进行系统梳理,对PDNS所涉及的关键技术进行系统综述,主要包括域名威胁处置技术、DNS异常检测技术、威胁情报管理技术和数据存储管理技术,分析PDNS目前面临的问题与挑战,并对PDNS未来发展趋势与研究方向提出了展望。

    基于动态域名水印的IPv6 DNS服务发现方法
    韩丁康, 朱宇佳, 赵蕾, 焦亮, 刘庆云
    2024, 10(5):  56-70.  doi:10.11959/j.issn.2096-109x.2024066
    摘要 ( 57 )   在线阅读 ( 6 )   PDF下载 (4848KB) ( 216 )   可视化   
    数据和表 | 参考文献 | 相关文章

    IPv6环境下的域名系统(DNS,domain name system)服务发展迅速,开展IPv6环境下DNS服务发现方法研究,对分析DNS服务在IPv6环境下的全球发展态势,提升服务可靠性具有非常重要的意义。基于IPv4和IPv6的合作解析关系,通过跨栈服务关联发现IPv6 DNS服务是一种有效的方法。然而,现有基于跨栈服务关联的IPv6 DNS服务发现方法受DNS探测包长度限制,探测能力有限。针对此问题,提出一种基于动态域名水印的IPv6 DNS服务发现方法。该方法利用自建权威服务器构建动态域名资源记录,绕过探测包长度限制。相比传统方法,该方法发现的IPv6 DNS服务数量提升接近98%;同时,通过解析水印日志记录,发现了解析器间存在大量解析依赖和集中化现象。

    递归-权威侧部署加密DNS协议的隐私收益评估方法及测量分析
    段丽莹, 李瑞烜, 刘西蒙, 邵俊, 刘保君
    2024, 10(5):  71-80.  doi:10.11959/j.issn.2096-109x.2024067
    摘要 ( 92 )   在线阅读 ( 11 )   PDF下载 (1282KB) ( 183 )   可视化   
    数据和表 | 参考文献 | 相关文章

    加密DNS协议最初被设计用于保护用户和递归解析器之间(用户-递归侧)的DNS通信隐私。目前,加密DNS协议获得了广泛应用。然而,递归解析器和权威服务器之间(递归-权威侧)的DNS通信仍遭受着大量隐私威胁。历经4年的标准化进程,互联网工程任务组在2024年2月正式发布RFC 9539,提出可利用加密DNS协议来保障递归-权威侧的DNS通信隐私。聚焦于在递归-权威侧部署加密DNS协议所带来的隐私收益,提出评估互联网域名隐私收益的方法。针对243万个流行域名和4万个敏感域名,结合1 058个顶级域名的区域文件,分析权威服务器所托管的域名数量,从而判定目标域名的隐私收益等级。测量结果表明,超过90%的域名可获得递归-权威侧部署加密DNS协议的隐私保护,但是6.28%的敏感域名无法从递归-权威侧部署加密DNS协议中获得隐私收益。此外,一些高流行度的域名也没有获得足够的隐私收益。相较于大型域名托管商,小型域名托管商可为域名提供更高的隐私收益。将域名部署于仅托管单个域名的权威服务器上会极大地损害递归-权威侧加密DNS协议的隐私保护效果,管理人员应重新审视域名托管服务。

    递归侧 DNSSEC错误配置检测能力大规模探测分析
    刘林晖, 涂菲帆, 陈勇, 左鹏, 刘东杰, 张银炎, 耿光刚
    2024, 10(5):  81-94.  doi:10.11959/j.issn.2096-109x.2024068
    摘要 ( 60 )   在线阅读 ( 3 )   PDF下载 (4032KB) ( 175 )   可视化   
    数据和表 | 参考文献 | 相关文章

    DNSSEC(domain name system security extensions)是一种域名系统(DNS,domain name system)的安全扩展协议,通过为DNS记录添加签名来增加DNS的安全性。域名递归服务器能否有效验证DNSSEC配置的正确性,并且在配置错误时返回相应的错误类型,对保障整个DNS的安全至关重要。为此,基于 RFC 8914 标准,选择了8种在权威侧可配置的DNSSEC错误类型,并在8个不同的子域分别配置了相应的DNSSEC错误。接下来,面向全球范围内的公共DNS服务器,筛选出其中支持DNSSEC的递归服务器作为探测对象,针对上述8个子域发起解析请求,对探测结果进行了收集、分析及可视化。探测结果表明,对于部分错误,多数支持DNSSEC的递归服务器可以正确地检测出域名的DNSSEC错误配置,并且返回相应的错误类型,如signature_expired、signature_not_valid、RRSIG_missing、DNSKEY_missing等错误。对当前全球范围内重要递归服务器检测DNSSEC错误配置的能力开展了大规模测量分析,可有效指导未来DNSSEC广泛部署中递归侧的能力建设。

    基于Sketch的重要DNS查询缓存方法
    郝逸航, 刘紫千, 常力元, 佟欣哲, 杨成, 孙琦, 郭俊言
    2024, 10(5):  95-106.  doi:10.11959/j.issn.2096-109x.2024069
    摘要 ( 79 )   在线阅读 ( 9 )   PDF下载 (3376KB) ( 182 )   可视化   
    数据和表 | 参考文献 | 相关文章

    在网络信息技术快速发展背景下,域名系统作为互联网应用的入口,其性能和安全对网络服务的质量尤为关键。然而,从缓存的角度来看,当前域名解析器的域名缓存项管理机制尚不完善。为此,提出了一种基于Sketch技术的域名缓存管理方法,创新地引入了“重要度”评估指标,将网络测量方法应用于缓存管理,实现对缓存项的时间和频率两方面特征的综合度量,满足动态划定重要域名需求。实验结果表明,该缓存方法能够从真实网络环境产生的海量域名查询请求中,针对性地将重要域名添加到缓存予以保护,平均解析时间相比现有域名缓存解决方案减少超过18%。所提方法不仅能够对域名缓存实施更灵活的操作,提高域名系统的用户侧可用性和管理侧可维护性,更为域名缓存管理的研究提供了新的视角和解决方案。

    学术论文
    基于软硬件结合的控制流完整性保护技术
    梁浩, 何本伟, 王庆丰, 程国振, 马海龙
    2024, 10(5):  107-118.  doi:10.11959/j.issn.2096-109x.2024070
    摘要 ( 78 )   在线阅读 ( 8 )   PDF下载 (3124KB) ( 182 )   可视化   
    数据和表 | 参考文献 | 相关文章

    针对影子栈难以兼顾安全性和性能,软件实现的前向CFI(control-flow integrity)技术性能开销过大、难以进行实际部署,提出基于软硬件结合的CFI(control-flow integrity based on the combination of software and hardware,SHCFI)技术。通过二进制重写器对程序反编译,生成中间语言,并判断转移指令类型。对于后向控制流的保护,提出基于返回地址加密的平行影子栈方案,使用随机数对栈上的返回地址进行异或加密,将加密结果备份到原始栈固定偏移处的影子栈中,在函数返回时对影子栈中的地址异或解密,将解密结果作为实际的返回地址。对于前向控制流的保护,使用硬件ENDBRANCH状态机指令标记间接转移指令的目标地址,在运行时对目标地址进行合法性检查,以降低性能开销。实验结果表明,SHCFI加固后的程序能够有效地防御代码重用攻击,且具有良好的运行开销。

    面向金融领域大语言模型的提示注入攻击防御机制研究及应用
    牟大恩, 卫志华, 孙铭隆, 宋娜, 倪琳
    2024, 10(5):  119-133.  doi:10.11959/j.issn.2096-109x.2024071
    摘要 ( 145 )   在线阅读 ( 11 )   PDF下载 (3998KB) ( 264 )   可视化   
    数据和表 | 参考文献 | 相关文章

    大语言模型在金融领域具有广阔的应用前景,无论资产管理端还是财富管理端,大语言模型都将会发挥重要的作用。随着ChatGPT和GPT-4等大型语言模型的快速发展和广泛应用,大语言模型的安全问题也愈发受到人们的关注。金融行业是一个严监管和强监管行业,对安全性有着更高的要求。围绕金融行业大语言模型提示注入攻击问题及安全防御机制进行深入研究,构建了包含8类输入侧提示注入攻击形式和5类大语言模型输出侧安全场景的金融领域大模型风险分类体系,通过人机对抗方式构建了金融领域的大模型提示注入攻击数据集FIN-CSAPrompts,提出了一套端到端的针对大语言模型提示注入攻击的安全防御框架,选取主流的中文大模型进行了实验验证。结果表明,在金融领域应用该提示词防御框架,中文大模型的防御性能显著提升,有效减少了不当内容的生成,并增强了模型对提示注入攻击的抵抗力。为进一步研究中文大模型在金融领域的安全性提供了数据集、衡量指标及解决方案的参考与借鉴。

    基于高维GHZ态的动态分层量子秘密共享协议
    陈克勤, 邹峥, 蔡彬彬, 林崧
    2024, 10(5):  134-144.  doi:10.11959/j.issn.2096-109x.2024072
    摘要 ( 47 )   在线阅读 ( 2 )   PDF下载 (1054KB) ( 195 )   可视化   
    数据和表 | 参考文献 | 相关文章

    量子秘密共享是量子密码的一个重要研究分支。提出了一种基于高维GHZ(greenberger-horne-zeilinger)态的动态分层量子秘密共享协议。协议将所有参与者划分为多个层级,每个层级之间参与者的数量以及共享的秘密信息可以互不相同。协议充分利用高维GHZ态各粒子之间的纠缠特性,使处于同一层级的所有参与者只需要进行局域测量,之后通过合作即可恢复得到当前层级的秘密信息。并且,每一个参与者还能够恢复得到所有低于其所在层级的秘密信息,但无法得到高于当前层级的秘密信息,体现了所提协议的层次性。协议在实现分层结构的同时,还允许秘密信息的分发者在不改变某一层级所有原参与者已持有份额的情况下,实现该层级内多个参与者的动态加入和退出,使所提协议具有更好的灵活性和通用性。此外,给出数学证明对所提协议的正确性进行了验证。协议的安全性分析结果表明,所提协议能够抵御常见的截获-重发攻击、测量-重发攻击、纠缠-测量攻击和特洛伊木马攻击,以及内部不诚实参与者的合谋攻击。

    改进的Joltik-BC-128算法的中间相遇攻击
    李征, 任炯炯, 李曼曼, 陈少真
    2024, 10(5):  145-151.  doi:10.11959/j.issn.2096-109x.2024073
    摘要 ( 58 )   在线阅读 ( 7 )   PDF下载 (1136KB) ( 157 )   可视化   
    数据和表 | 参考文献 | 相关文章

    Joltik-BC是在2014年亚密会上发布的一种轻量级可调分组密码算法,该算法采用替换-置换网络(SPN,substitution-permutation network)结构和Tweakey框架。通过研究Joltik-BC算法的内部特征,利用控制调柄差分方法,并结合差分枚举技术和S盒的差分特性,构造了6轮Joltik -BC-128算法的中间相遇区分器。利用此区分器改进了9轮Joltik-BC-128算法的中间相遇攻击结果。改进后的9轮Joltik-BC-128算法的中间相遇攻击的存储复杂度为244.91个长度为64的比特块,时间复杂度为248次9轮Joltik-BC-128加密。相比已有中间相遇攻击结果,该算法的时间复杂度和存储复杂度均显著降低。

    基于深度强化学习的恶意ELF文件检测对抗方法
    孙贺, 张博成, 耿嘉炫, 吴迪, 王俊峰, 方智阳
    2024, 10(5):  152-162.  doi:10.11959/j.issn.2096-109x.2024074
    摘要 ( 118 )   在线阅读 ( 15 )   PDF下载 (3111KB) ( 215 )   可视化   
    数据和表 | 参考文献 | 相关文章

    近年来,基于深度学习的恶意可执行与可链接格式(executable and linkable format,ELF)文件检测研究取得了显著进展。同时,关于模型对抗性攻击的研究也得到了广泛关注,攻击者可以通过生成对抗样本误导神经网络,使恶意软件被错误归类为良性软件,从而逃逸检测。尽管已有多种生成对抗样本的方法被提出,但它们通常不适合对ELF文件进行修改,或缺乏在不同检测模型之间迁移的能力。为克服现有方法的局限性,提出了一种基于深度强化学习的恶意ELF文件检测对抗方法,该方法通过构造目标检测模型的最优扰动字节序列,能够在保留ELF文件原有功能的前提下生成对抗样本,而无须依赖目标模型的内部实现细节。实验结果表明,该方法生成的对抗样本针对目标检测模型的逃逸成功率达到76.80%,并能通过对抗训练提升目标检测模型的鲁棒性。

    基于数据增强的多视图对比学习图异常检测
    李一凡, 李家印, 林兴澎, 戴远飞, 许力
    2024, 10(5):  163-174.  doi:10.11959/j.issn.2096-109x.2024075
    摘要 ( 126 )   在线阅读 ( 6 )   PDF下载 (2247KB) ( 224 )   可视化   
    数据和表 | 参考文献 | 相关文章

    图异常检测在预防金融欺诈、网络入侵等有害事件上具有重要价值。基于对比的异常检测方法尽管能够根据异常节点实例对的不一致性有效挖掘异常信息,避免因采用自编码架构导致模型需要全图训练的弊端,但是现有的大多数基于对比的图异常检测方法仅关注节点-子图的对比模式,忽略了采样的节点-子图实例对中只包含目标节点的局部信息,同时没有考虑各子图对目标节点的重要性,导致节点全局信息缺失和对比模式过于泛化的问题。为解决上述问题,提升图异常检测的准确度,提出了一种基于数据增强的多视图对比学习图异常检测(data augmentation based multi-view contrastive learning graph anomaly detection,DAMC-GAD)方法。具体地,提出了一种用于异常检测的图数据增强方法,通过目标节点的相对局部结构和自身属性关联距离较远的节点,以构建全局信息丰富的增强视图。引入逐层采样结合节点-子图对比,根据子图重要性制定对比模型的优化策略。通过互补的融合策略构建基于数据增强的多视图对比学习模型,在合成异常与真实异常数据集上进行大量实验,实验结果表明,DAMC-GAD在两类数据集上均优于目前先进的基线模型。

    基于垂直分割的个人数据隐私保护方法
    阮华锋, 李睿, 罗凯伦
    2024, 10(5):  175-187.  doi:10.11959/j.issn.2096-109x.2024076
    摘要 ( 69 )   在线阅读 ( 7 )   PDF下载 (2710KB) ( 153 )   可视化   
    数据和表 | 参考文献 | 相关文章

    在分布式环境中,垂直分割是一种保护用户隐私的有效方法。然而,当前的垂直分割策略假设参与数据存储的各个云服务提供商(cloud service provider,CSP)之间不存在共谋。针对实际场景中CSP之间可能存在的共谋问题,探讨了如何在这种情况下保护用户数据隐私。假设有n个CSP参与数据存储,其中最多k个CSP可能会共谋,给出了垂直分割的(k, n)-安全定义,并提出了MLVP(machine learning vertical partitioning)方案。该方案利用机器学习算法分析属性之间的关联性,对得到的所有关联性进行优化,并将计算垂直分割方法问题转化成可满足性问题,再利用可满足性问题求解器得到分割方法。此外,对MLVP方案的安全性进行理论分析,并在真实数据集上进行实验,比较不同机器学习算法和隐私保护强度对分割效果和性能的影响;与两个不考虑CSP存在共谋的垂直分割方案(Oriol方案和Ciriani方案)在计算速度和查询速度上进行了比较。实验结果表明:在计算速度上,因为要保证CSP共谋时的安全性,MLVP方案略慢,在查询速度上,MLVP方案相较Oriol方案和Ciriani方案分别提升了32.6%和8.8%。

版权信息
主管单位:工业和信息化部
主办单位:人民邮电出版社
主  编:方滨兴
执行主编:李凤华
主  任:邢建春
地  址:北京市丰台区东铁匠营街道
     顺八条1号院B座“北阳晨光
     大厦”2层
邮政编码:100079
电  话:010-53879136
     010-53879138
     010-53879139
电子邮件:cjnis@bjxintong.com.cn
国际标准刊号:ISSN 2096-109X
国内统一刊号:CN 10-1366/TP
访问统计
总访问量
今日访问
在线人数