基于多层Sketch的SDN网络流量测量技术研究 被引量：1

1

作者 杨心怡 池亚平 王志强 《信息安全研究》 CSCD 北大核心 2024年第9期840-848,共9页

针对大流检测、突变流检测和基数估计等的网络流量测量对保障网络安全具有重要意义.但当前相关研究存在实时性不足、测量精度不高等问题.针对上述问题,设计了一种基于多层Sketch(multiple layer sketch, ML Sketch)的网络流量测量模型.... 针对大流检测、突变流检测和基数估计等的网络流量测量对保障网络安全具有重要意义.但当前相关研究存在实时性不足、测量精度不高等问题.针对上述问题,设计了一种基于多层Sketch(multiple layer sketch, ML Sketch)的网络流量测量模型.首先,该模型采用自主设计的ML Sketch结构,使用分类存储结构提高了流量测量的精度.其次,在SDN(software defined network)环境下利用流量实时回放技术,模拟了流量的动态发生场景.最后,在SDN控制平面实现了对大流、突变流和基数估计类流量的实时动态检测.在UNSW-NB15上的实验结果表明,与传统Sketch结构相比,所设计的ML Sketch结构在F1_Score指标上最高提高4.81%,相关误差最高降低81.12%,验证了该模型的有效性. 展开更多

关键词 网络测量 SDN SKETCH 流量回放 网络安全

在线阅读 下载PDF 职称材料

网络威胁情报实体识别研究综述

2

作者 王旭仁 魏欣欣 +4 位作者 王媛媛 姜政伟 江钧 杨沛安 刘润时 《信息安全学报》 CSCD 2024年第6期74-99,共26页

由于网络环境愈发复杂,网络安全形势日渐严峻,保护网络免受外来攻击成为一项重要的工作。为了使网络空间攻防技术变为主动防御的形式,网络威胁情报应运而生。通过对网络威胁情报进行分析和检测,搜集情报证据,能够预防攻击行为的发生。因... 由于网络环境愈发复杂,网络安全形势日渐严峻,保护网络免受外来攻击成为一项重要的工作。为了使网络空间攻防技术变为主动防御的形式,网络威胁情报应运而生。通过对网络威胁情报进行分析和检测,搜集情报证据,能够预防攻击行为的发生。因此,通过共享网络威胁情报来抵御网络攻击变得愈发重要。然而,网络威胁情报通常以非结构化的形式共享,将其转化为半结构化或结构化数据对后续很多任务来讲尤为重要,命名实体识别技术能够实现这一点。虽然在通用领域的命名实体识别已经取得了非常不错的成果,但在网络威胁情报领域却仍然存在很多问题。本文首先介绍威胁情报相关背景,及其与命名实体识别之间的联系。然后根据命名实体识别技术发展的时间顺序总结基于规则和词典的实体识别技术、基于无监督学习的实体识别技术、基于特征的监督学习实体识别技术、基于深度学习的实体识别技术等,全面总结威胁情报领域命名实体识别的研究现状和未来的发展方向。最后,对比研究威胁情报领域命名实体识别所使用的语料库,使用SOTA深度学习方法进行实验,分析总结出威胁情报领域数据集所存在的问题。提出的BBC(BERT-BiGRU-CRF)深度学习实体识别模型具有最好的实验效果,在AutoLabel数据集、DNRTI数据集、CTIReports数据集,以及APTNER数据集上分别达到97.36%、90.40%、82.87%、73.91%的F1值。 展开更多

关键词 命名实体识别 网络威胁情报 深度学习 网络威胁情报数据集

在线阅读 下载PDF 职称材料

一种基于妨碍特征的模糊测试工具测评方法

3

作者 郝高健 李丰 +1 位作者 霍玮 邹维 《信息安全学报》 CSCD 2024年第6期227-242,共16页

模糊测试是一种高效的软件漏洞发现技术,在学术界和工业界有着丰富的研究成果和广泛的实践应用,产生了许多模糊测试工具。这些工具在技术特点及性能方面有着明显各异,需要通过测试来评估其效能,从而为工具选用以及改进提供指导。然而现... 模糊测试是一种高效的软件漏洞发现技术,在学术界和工业界有着丰富的研究成果和广泛的实践应用,产生了许多模糊测试工具。这些工具在技术特点及性能方面有着明显各异,需要通过测试来评估其效能,从而为工具选用以及改进提供指导。然而现有的模糊测试工具测评方法普遍存在一些情况下测评结果无法解释的问题。我们发现这与现有测评普遍忽略了模糊测试妨碍特征(Fuzzing-hampering Feature)有关。对此,本文深入研究妨碍特征对模糊测试的影响,归纳、提炼出5种妨碍特征,提出了一种将妨碍特征作为控制变量的、细粒度对比测评方法,并运用代码合成技术构建了包含118个目标程序的测试集Bench4I。经过对6款不同模糊测试工具的测评,结果表明,运用该方法可准确解释目标程序样本对被测工具功效的影响,进而推断工具的具体能力,有效提升了测评的可解释性。本文根据测评结果对实验中的被测工具提出了使用与改进建议,并实践了对QSYM的改进,取得了良好的效果。 展开更多

关键词 模糊测试 测评 测试集 软件漏洞

在线阅读 下载PDF 职称材料

基于混合结构深度神经网络的HTTP恶意流量检测方法 被引量：20

4

作者 李佳 云晓春 +3 位作者 李书豪 张永铮 谢江 方方 《通信学报》 EI CSCD 北大核心 2019年第1期24-33,共10页

针对HTTP恶意流量检测问题,提出了一种基于裁剪机制和统计关联的预处理方法,进行流量的统计信息关联及归一化处理。基于原始数据与经验特征工程相结合的思想提出了一种混合结构深度神经网络,结合了卷积神经网络与多层感知机,分别处理文... 针对HTTP恶意流量检测问题,提出了一种基于裁剪机制和统计关联的预处理方法,进行流量的统计信息关联及归一化处理。基于原始数据与经验特征工程相结合的思想提出了一种混合结构深度神经网络,结合了卷积神经网络与多层感知机,分别处理文本与统计信息。与传统机器学习算法(如SVM)相比,所提方法效果提升明显,F1值可达99.38%,且具有更低的时间代价。标注了一套由45万余条恶意流量和2000万余条非恶意流量组成的数据集,并依据模型设计了一套原型系统,精确率达到了98.1%～99.99%,召回率达到了97.2%～99.5%,应用在真实网络环境中效果优异。 展开更多

关键词 异常检测 恶意流量数据 卷积神经网络 多层感知机制

在线阅读 下载PDF 职称材料

智能化漏洞挖掘与网络空间威胁发现综述 被引量：6

5

作者 刘宝旭 李昊 +3 位作者 孙钰杰 董放明 孙天琦 陈潇 《信息安全研究》 CSCD 2023年第10期932-939,共8页

当前网络空间面临的威胁日益严重,大量研究关注网络空间安全防御技术及体系,其中漏洞挖掘技术可以应用于网络攻击发生前及时发现漏洞并修补,降低被入侵的风险,而威胁发现技术可以应用于网络攻击发生时及发生后的威胁检测,进而及时发现... 当前网络空间面临的威胁日益严重,大量研究关注网络空间安全防御技术及体系,其中漏洞挖掘技术可以应用于网络攻击发生前及时发现漏洞并修补,降低被入侵的风险,而威胁发现技术可以应用于网络攻击发生时及发生后的威胁检测,进而及时发现威胁并响应处置,降低入侵造成的危害和损失.分析并总结了基于智能方法进行漏洞挖掘与网络空间威胁发现的研究.其中,在智能化漏洞挖掘方面,从结合人工智能技术的漏洞补丁识别、漏洞预测、代码比对和模糊测试等几个应用分类方面总结了当前研究进展;在网络空间威胁发现方面,从基于网络流量、主机数据、恶意文件、网络威胁情报等威胁发现涉及的信息载体分类方面总结了当前研究进展. 展开更多

关键词 人工智能 网络空间安全 网络攻击 网络入侵 漏洞挖掘 威胁发现技术

在线阅读 下载PDF 职称材料

面向动态生成代码的攻防技术综述 被引量：1

6

作者 吴炜 霍玮 邹维 《信息安全学报》 2016年第4期52-64,共13页

动态代码生成技术广泛使用在浏览器、Flash播放器等重要日常软件中,近年来其中曝出严重的安全问题,为控制流劫持攻击和相应的防御提供了新机会,受到越来越多的关注。针对动态生成代码在数据区且可被执行和直接依赖输入的特性,本文从代... 动态代码生成技术广泛使用在浏览器、Flash播放器等重要日常软件中,近年来其中曝出严重的安全问题,为控制流劫持攻击和相应的防御提供了新机会,受到越来越多的关注。针对动态生成代码在数据区且可被执行和直接依赖输入的特性,本文从代码注入攻击和代码重用攻击两个角度总结分析了控制流劫持攻击新技术,并从强制性防御和闪避防御(Moving target defense)两个角度对相关的主要防御新方法进行了阐述。同时提出动态代码生成系统安全性的衡量模型,对代表性防御技术进行对比分析和评估,并探讨了面向动态生成代码攻防技术的发展趋势和下一步的研究方向。 展开更多

关键词 软件安全 即时编译 动态二进制翻译 控制流劫持 防御技术

在线阅读 下载PDF 职称材料

基于深度学习的加密网站指纹识别方法

7

作者 池亚平 彭文龙 +1 位作者 徐子涵 陈颖 《信息安全研究》 北大核心 2025年第4期304-310,共7页

网站指纹识别技术是网络安全和隐私保护领域的一个重要研究方向,其目标是通过分析网络流量特征识别出用户在加密的网络环境中访问的网站.针对目前主流方法存在应用场景有限、适用性不足以及特征选取单一等问题,提出了一种基于深度学习... 网站指纹识别技术是网络安全和隐私保护领域的一个重要研究方向,其目标是通过分析网络流量特征识别出用户在加密的网络环境中访问的网站.针对目前主流方法存在应用场景有限、适用性不足以及特征选取单一等问题,提出了一种基于深度学习的加密网站指纹识别方法.首先,设计了一种新的原始数据包的预处理方法,可以基于直接抓包得到的原始数据包文件得到一个包含空间和时间双特征的具备层次结构的特征序列.然后,设计了一种基于卷积神经网络和长短期记忆网络的融合深度学习模型,充分学习数据中包含的空间和时间特征.在此基础上,进一步探索了不同的激活函数、模型参数和优化算法,以提高模型的识别准确率和泛化能力.实验结果表明,在洋葱匿名网络环境下不依赖其数据单元(cell)时,可展现出更高的网站指纹识别准确率,同时在虚拟私人网络场景下也取得了相较于目前主流机器学习方法更高的准确率. 展开更多

关键词 深度学习 加密流量 网站指纹识别 洋葱网络 虚拟私人网络

在线阅读 下载PDF 职称材料

基于能量分析技术的芯片后门指令分析方法 被引量：9

8

作者 马向亮 王宏 +4 位作者 李冰 方进社 严妍 白学文 王安 《电子学报》 EI CAS CSCD 北大核心 2019年第3期686-691,共6页

芯片后门指令是激活硬件木马的典型方式之一,其安全风险高,影响范围广,且难于检测.本文提出了一种基于能量分析的后门指令检测方法,通过对指令分段穷举、并分别采集其能量信息,可有效区分常规指令和后门指令.实验表明,通过简单能量分析... 芯片后门指令是激活硬件木马的典型方式之一,其安全风险高,影响范围广,且难于检测.本文提出了一种基于能量分析的后门指令检测方法,通过对指令分段穷举、并分别采集其能量信息,可有效区分常规指令和后门指令.实验表明,通过简单能量分析即可从能量迹中直接判定出后门指令.进一步,本文提出了一种自动化识别后门指令的相关能量分析方法,通过判断其相关系数与系数均值之间的关系,可高效、自动地完成后门指令分析. 展开更多

关键词 芯片 简单能量分析 差分能量分析 相关能量分析 后门指令 智能卡

在线阅读 下载PDF 职称材料

基于物联网设备局部仿真的反馈式模糊测试技术 被引量：2

9

作者 卢昊良 邹燕燕 +4 位作者 彭跃 谭凌霄 张禹 刘龙权 霍玮 《信息安全学报》 CSCD 2023年第1期78-92,共15页

近几年物联网设备数量飞速增长,随着物联网的普及,物联网设备所面临的安全问题越来越多。与物联网设备相关的安全攻击事件中,危害最大的是利用设备漏洞获得设备最高权限,进而窃取用户敏感数据、传播恶意代码等。对物联网设备进行漏洞挖... 近几年物联网设备数量飞速增长,随着物联网的普及,物联网设备所面临的安全问题越来越多。与物联网设备相关的安全攻击事件中,危害最大的是利用设备漏洞获得设备最高权限,进而窃取用户敏感数据、传播恶意代码等。对物联网设备进行漏洞挖掘,及时发现物联网设备中存在的安全漏洞,是解决上述安全问题的重要方法之一。通过模糊测试可有效发现物联网设备中的安全漏洞,该方法通过向被测试目标发送大量非预期的输入,并监控其状态来发现潜在的漏洞。然而由于物联网设备动态执行信息难获取以及模糊测试固有的测试深度问题,使得当前流行的反馈式模糊测试技术在应用到物联网设备中面临困难。本文提出了一种基于物联网设备局部仿真的反馈式模糊测试技术。为了获取程序动态执行信息又保持一定的普适性,本文仅对于不直接与设备硬件交互的网络服务程序进行局部仿真和测试。该方法首先在物联网设备的固件代码中自动识别普遍存在并易存在漏洞的网络数据解析函数,针对以该类函数为入口的网络服务组件,生成高质量的组件级种子样本集合。然后对网络服务组件进行局部仿真,获取目标程序代码覆盖信息,实现反馈式模糊测试。针对6个厂商的9款物联网设备的实验表明,本文方法相比Firm AFL多支持4款物联网设备的测试,平均可以达到83.4%的函数识别精确率和90.1%的召回率,针对识别得到的364个目标函数对应的网络服务组件共触发294个程序异常并发现8个零日漏洞。实验结果证明了我们方法的有效性和实用性。 展开更多

关键词 物联网设备 模糊测试 机器学习

在线阅读 下载PDF 职称材料

一种针对网络设备的已知漏洞定位方法

10

作者 王琛 邹燕燕 +6 位作者 刘龙权 彭跃 张禹 卢昊良 王鹏举 郭涛 霍玮 《信息安全学报》 CSCD 2023年第6期48-63,共16页

骨干级网络设备作为关键基础设施,一直是网络攻防中的焦点,与此同时,其作为一个封闭、复杂的信息系统,漏洞的公开研究资料相对较少、漏洞细节缺失较多。补丁对比是一种有效的漏洞分析手段,而骨干级网络设备固件解包后通常具有单体式可... 骨干级网络设备作为关键基础设施,一直是网络攻防中的焦点,与此同时,其作为一个封闭、复杂的信息系统,漏洞的公开研究资料相对较少、漏洞细节缺失较多。补丁对比是一种有效的漏洞分析手段,而骨干级网络设备固件解包后通常具有单体式可执行文件,这类文件具有函数数量多、文件规模大、调试符号信息缺失等特点,直接进行补丁比对会产生大量待确认的误报差异,同时启发式算法可能将两个不相关的函数错误匹配,导致正确的安全修补缺失及漏报。传统的补丁比对方法无法有效地解决这类文件的补丁分析问题,漏洞细节的分析遇到挑战。本文提出了一种针对单体式可执行文件中已知漏洞的定位方法MDiff,通过漏洞公告描述中的子系统概念与目标二进制文件的内部模块结构对目标进行了拆分,在基于局部性的二进制比对技术之上,利用语义相似度衡量方法对比对结果进行筛选排序。具体来讲,MDiff首先利用入口函数及局部性原理识别存在漏洞的网络协议服务代码,即粗粒度定位阶段。其次针对已识别出的、存在漏洞的网络协议服务代码模块中存在差异的函数进行动静态结合的语义信息分析,包括基于扩展局部轨迹的安全修补识别,基于代码度量的安全修补排序等步骤,即细粒度定位阶段。基于该两阶段漏洞定位方法,我们实现了一个原型系统,对4个厂商设备中已经披露的15个漏洞进行实验。实验结果表明,本文提出的漏洞定位方法可以提高网络设备的补丁分析效率,支持研究人员发现已知漏洞细节。 展开更多

关键词 网络设备 模块划分 补丁比对

在线阅读 下载PDF 职称材料

地铁中压环网供电系统可靠性评估方法 被引量：10

11

作者 林圣 崔臻 +2 位作者 杨茜茜 冯玎 臧天磊 《西南交通大学学报》 EI CSCD 北大核心 2020年第6期1155-1162,共8页

地铁中压环网供电系统起电能分配及传输作用,结构复杂且设备繁多,分析地铁中压环网供电系统可靠性具有重要意义.本文通过分析地铁中压环网供电系统的拓扑结构和运行方式,采用分区的思想对中压环网供电系统进行区域化、模块化处理,简化... 地铁中压环网供电系统起电能分配及传输作用,结构复杂且设备繁多,分析地铁中压环网供电系统可靠性具有重要意义.本文通过分析地铁中压环网供电系统的拓扑结构和运行方式,采用分区的思想对中压环网供电系统进行区域化、模块化处理,简化复杂系统并提出系统“最小基本单元”的概念,建立系统可靠性评估通用性模型,并运用序贯Monte Carlo法计算中压环网供电系统可靠性评估指标.通过算例分析可知,在不考虑系统设备磨损的情况下,当抽样次数为50000次时,求得某条地铁中压环网供电系统稳态可用度为99.996%,验证了通用性模型的可行性. 展开更多

关键词 中压环网供电系统 通用性模型 可靠性评估 Monte Carlo法

在线阅读 下载PDF 职称材料

一种基于无害处理识别的嵌入式设备漏洞检测方法 被引量：3

12

作者 周建华 李丰 +2 位作者 湛蓝蓝 杜跃进 霍玮 《信息安全研究》 CSCD 2023年第10期954-960,共7页

嵌入式设备的安全问题日益突出,其根源在于设备厂商对安全性的忽视.为有效地发现嵌入式设备中存在的漏洞,污点分析是一种常用且有效的技术手段.无害处理操作(sanitizers)是污点分析中消除污点数据安全风险的关键环节,其识别精度直接决... 嵌入式设备的安全问题日益突出,其根源在于设备厂商对安全性的忽视.为有效地发现嵌入式设备中存在的漏洞,污点分析是一种常用且有效的技术手段.无害处理操作(sanitizers)是污点分析中消除污点数据安全风险的关键环节,其识别精度直接决定了漏洞检测效果.针对检测嵌入式设备漏洞时现有方法基于简单模式匹配导致对无害处理操作识别存在的漏报问题,提出了一种基于无害处理识别的嵌入式设备漏洞检测方法(简称ASI),在保证轻量级的基础上提升无害处理操作识别的精度,降低漏洞检测结果的误报率.该方法通过建立变量之间的“内容-长度”关联关系,找到潜在的代表内容长度的变量,从而识别出基于污点长度变量进行路径条件约束的无害处理操作;同时基于启发式方法识别出进行特殊字符过滤的无害处理函数.对5个厂商的10款设备固件的实验结果显示,相较于已有ITS技术,ASI的漏洞检测误报率降低了9.58%,而检测时间开销仅增加了7.43%. 展开更多

关键词 嵌入式设备 网络安全 漏洞检测 污点分析 无害处理识别

在线阅读 下载PDF 职称材料

基于深度学习的Android恶意软件检测:成果与挑战 被引量：8

13

作者 陈怡 唐迪 邹维 《电子与信息学报》 EI CSCD 北大核心 2020年第9期2082-2094,共13页

随着Android应用的广泛使用,Android恶意软件数量迅速增长,对用户的财产、隐私等造成的安全威胁越来越严重。近年来基于深度学习的Android恶意软件检测成为了当前安全领域的研究热点。该文分别从数据采集、应用特征、网络结构、效果检测... 随着Android应用的广泛使用,Android恶意软件数量迅速增长,对用户的财产、隐私等造成的安全威胁越来越严重。近年来基于深度学习的Android恶意软件检测成为了当前安全领域的研究热点。该文分别从数据采集、应用特征、网络结构、效果检测4个方面,对该研究方向已有的学术成果进行了分析与总结,讨论了它们的局限性与所面临的挑战,并就该方向未来的研究重点进行了展望。 展开更多

关键词 移动安全 Android恶意软件 ANDROID应用 深度学习 机器学习

在线阅读 下载PDF 职称材料

SiCsFuzzer:基于稀疏插桩的闭源软件模糊测试方法 被引量：1

14

作者 刘丽艳 李丰 +4 位作者 邹燕燕 周建华 朴爱花 刘峰 霍玮 《信息安全学报》 CSCD 2022年第4期55-70,共16页

传统的基于覆盖率反馈的模糊测试工具通过跟踪代码覆盖率来指导测试用例的变异,从而发现目标程序中潜在的漏洞。但在闭源软件的模糊测试过程中,跟踪覆盖率不仅带来额外的开销,而且在模糊测试开销中占据主导。本文通过对Windows平台闭源... 传统的基于覆盖率反馈的模糊测试工具通过跟踪代码覆盖率来指导测试用例的变异,从而发现目标程序中潜在的漏洞。但在闭源软件的模糊测试过程中,跟踪覆盖率不仅带来额外的开销,而且在模糊测试开销中占据主导。本文通过对Windows平台闭源软件模糊测试开销的剖析,锁定其中两个主要来源,插桩开销和“预热”开销。基于上述分析,提出了一种基于稀疏插桩跟踪的模糊测试方法,在不影响覆盖率计算精度的前提下,采用基于稀疏插桩的跟踪策略,仅对目标程序中覆盖率不可推导的基本块或分支进行插桩跟踪,并根据跟踪结果推导其余基本块或分支的被覆盖情况;同时结合“预热”优化,避免因动态插桩平台反复启动以及对目标程序代码的重复翻译所引入的时间开销。基于上述方法实现的原型工具SiCsFuzzer,在Windows平台9个规模在286KB~19.3MB,类型涉及图片处理、视频处理、文件压缩、加密和文档处理等类型应用所组成的测试集上,跟踪覆盖率引入的额外开销为程序正常执行时间的1.1倍,比传统的基于覆盖率反馈的模糊测试工具快3倍,并发现PDFtk和XnView程序最新版本中的未知漏洞各1个。 展开更多

关键词 基于覆盖率反馈的模糊测试 基于稀疏插桩的跟踪方法 “预热”优化

在线阅读 下载PDF 职称材料

处理器微体系结构安全研究综述 被引量：4

15

作者 尹嘉伟 李孟豪 霍玮 《信息安全学报》 CSCD 2022年第4期17-31,共15页

在CPU指令流水线中,为了提高计算机系统的执行效率而加入的Cache、TLB等缓存结构是不同进程共享的,因此这些缓存以及相关执行单元在不同进程之间的共享在一定程度上打破了计算机系统中基于内存隔离实现的安全边界,进而打破了计算机系统... 在CPU指令流水线中,为了提高计算机系统的执行效率而加入的Cache、TLB等缓存结构是不同进程共享的,因此这些缓存以及相关执行单元在不同进程之间的共享在一定程度上打破了计算机系统中基于内存隔离实现的安全边界,进而打破了计算机系统的机密性和完整性。Spectre和Meltdown等漏洞的披露,进一步说明了处理器微体系结构所采用的乱序执行、分支预测和推测执行等性能优化设计存在着严重的安全缺陷,其潜在威胁将涉及到整个计算机行业的生态环境。然而,对于微体系结构的安全分析,到目前为止尚未形成较为成熟的研究框架。虽然当前针对操作系统内核及上层应用程序的漏洞检测和安全防护方面已经有较为成熟的方法和工具,但这些方法和工具并不能直接应用于对微体系结构漏洞的安全检测之中。一旦微体系结构中出现了漏洞将导致其危害更加广泛并且难以修复。此外,由于各个处理器厂商并没有公布微体系结构的实现细节,对于微体系结构安全研究人员来说,微体系结构仍然处于黑盒状态,并且缺少进行辅助分析的工具。这也使得微体系结构的安全分析变得十分困难。因此本文从当前处理器微体系结构设计中存在的安全威胁入手,分析了其在设计上导致漏洞产生的主要原因,对现有处理器微体系结构的7种主流攻击方法进行了分类描述和总结,分析对比现有的10种软硬件防护措施所采用的保护方法及实用效果,并从微体系结构漏洞研究方法、漏洞防护及安全设计等方面,进一步探讨了处理器微体系结构安全的研究方向和发展趋势。 展开更多

关键词 处理器微体系结构安全 微指令集漏洞 信息泄露 侧信道攻击 防御技术

在线阅读 下载PDF 职称材料