摘要:高级可持续性威胁(advanced persistent threat, APT)是一种新型网络攻击, 具有极强的组织性、隐蔽性、持续性、对抗性和破坏性, 给全球网络安全带来严重危害. 传统APT攻击防御倾向于构建模型检测攻击的恶意性或识别家族类别, 以被动防御为主, 缺乏全面及深入地梳理APT攻击溯源和推理领域的工作. 基于此, 围绕APT攻击的溯源和推理的智能化方法开展综述性研究. 首先, 提出APT攻击防御链, 有效地将APT攻击检测、溯源和推理进行区分和关联; 其次, 详细比较APT攻击检测4个任务的相关工作; 然后, 系统总结面向区域、组织、攻击者、地址和攻击模型的APT攻击溯源工作; 再次, 将APT攻击推理划分为攻击意图推理、攻击路径感知、攻击场景还原、攻击阻断和反制这4个方面, 对相关研究进行详细总结和对比; 最后, 讨论APT攻击防御领域的热点主题、发展趋势和挑战.

摘要:部署在网络节点上的网络安全监控系统每天会生成海量网络侧告警, 导致安全人员面临巨大压力, 并使其对高风险告警不再敏感, 无法及时发现网络攻击行为. 由于网络攻击行为的复杂多变以及网络侧告警信息的局限性, 已有面向IT运维的告警排序/分类方法并不适用于网络侧告警. 因此, 提出了基于多元数据融合的首个网络侧告警排序方法NAP (network-side alert prioritization). NAP首先设计了一个基于源IP地址与目的IP地址的多策略上下文编码器, 用于捕获告警的上下文信息; 其次, NAP设计了一个基于注意力机制双向GRU (gated recurrent unit)模型与ChineseBERT模型的文本编码器, 从告警报文等文本数据中学习网络侧告警的语义信息; 最后, NAP构建了排序模型得到告警排序值, 并按其降序将攻击性强的高风险告警排在前面, 从而优化网络侧告警管理流程. 在3组绿盟科技网络攻防数据上的实验表明: NAP能够有效且稳定地排序网络侧告警, 并且显著优于对比方法. 例如: 平均排序指标NDCG@k (kÎ[1,10]) (即前1-10个排序结果的归一化折损累计增益)均在0.893 1-0.958 3之间, 比最先进的方法提升64.73%以上. 另外, 通过将NAP应用于天津大学真实的网络侧告警数据, 进一步证实了其实用性.

摘要:恶意软件检测是网络空间安全研究中的热点问题, 例如Windows恶意软件检测和安卓恶意软件检测等. 随着机器学习和深度学习的发展, 一些在图像识别、自然语言处理领域的杰出算法被应用到恶意软件检测, 这些算法在大量数据下表现出了优异的学习性能. 但是, 恶意软件检测中有一些具有挑战性的问题仍然没有被有效解决, 例如, 基于少量新颖类型的恶意软件, 常规的学习方法无法实现有效检测. 因此, 小样本学习(few-shot learning, FSL)被用于解决面向小样本的恶意软件检测(few-shot for malware detection, FSMD)问题. 通过相关文献, 提取出FSMD的问题定义和一般流程. 根据方法原理, 将FSMD方法分为: 基于数据增强的方法、基于元学习的方法和多技术结合的混合方法, 并讨论每类FSMD方法的特点. 最后, 提出对FSMD的背景、技术和应用的展望.

摘要:在网络安全领域, 由域名生成算法(domain generation algorithm, DGA)产生的虚假域名被称为DGA域名. 与正常域名类似的是, DGA域名通常是字母或数字的随机组合, 这使得DGA域名具有较强的伪装性. 网络黑客利用DGA域名的伪装性实施网络攻击, 以达到绕过安全检测的目的. 如何有效地对DGA域名进行检测, 进而维护信息系统安全, 成为当前的研究热点. 传统的统计机器学习检测方法需要人工构建域名字符特征集合. 然而, 人工或者半自动化方式构建的域名特征存在质量参差不齐的情况, 进而影响检测的准确性. 鉴于深度神经网络强大的特征自动化抽取和表示能力, 提出一种基于多视角对比学习的DGA域名检测方法(MCL4DGA). 与现有方法不同的是, 所提方法结合了注意力神经网络、卷积神经网络和循环神经网络, 能够有效地捕获域名字符序列中的全局、局部和双向多视角特征依赖关系. 除此之外, 通过多视角表示向量之间的对比学习而产生的自监督信号, 能够增强模型的学习能力, 进而提高检测的准确性. 通过在真实数据集上与当前DGA域名检测方法实验对比验证了所提方法的有效性.

摘要:随着计算机网络规模和复杂度的日益增长, 网络管理人员难以保证网络意图得到了正确实现, 错误的网络配置将影响网络的安全性和可用性. 受到形式化方法在硬软件验证领域中成功应用的启发, 研究人员将形式化方法应用到网络中, 形成了一个新的研究领域, 即网络验证(network verification), 旨在使用严格的数学方法证明网络的正确性. 网络验证已经成为当下网络和安全领域的热点研究, 其研究成果也在实际网络中得到了成功应用. 从数据平面验证、控制平面验证和有状态网络验证3个研究方向, 对网络验证领域的已有研究成果进行了系统总结, 对研究热点内容与解决方法进行了分析, 旨在整理网络验证领域的发展脉络, 为本领域研究者提供系统性文献参考和未来工作展望.

摘要:随着国家电网电力物联网的逐步推进, 作为其核心支撑技术的边缘计算框架逐渐成为研究热点. 首先, 总结了物联网和边缘计算框架方面的已有研究工作; 其次, 通过分析电力物联网在业务场景、边缘计算、信息安全等方面的关键技术难题, 提出了一种适应于电力物联网的可信边缘计算框架SG-Edge; 随后, 结合边缘框架的可信防护关键难题, 给出了硬件可信引导、软件行为动态度量等关键技术方法; 最后, 从业务适应性、安全性以及性能等方面对SG-Edge进行了全面评估, 并对未来研究可能面临的挑战进行了展望.

摘要:近年来，人工智能（artificial intelligence，简称AI）以强劲势头吸引着学术界和工业界的目光，并被广泛应用于各种领域.计算机网络为人工智能的实现提供了关键的计算基础设施.然而，传统网络固有的分布式结构往往无法快速、精准地提供人工智能所需要的计算能力，导致人工智能难以实际应用和部署.软件定义网络（software defined networking，简称SDN）提出集中控制的理念，中央控制器能够按需快速地为人工智能适配计算能力，从而实现其全面部署.将人工智能与SDN网络相结合，实现智能化软件定义网络，既可以解决棘手的传统网络问题，也能够促进网络应用创新.因此，首先研究将人工智能应用于软件定义网络所存在的问题，深入分析基于人工智能的SDN的优势，说明软件定义网络与人工智能结合的必要性.其次，自底向上地从SDN的数据平面、控制平面和应用平面角度出发，思考了不同网络平面与人工智能的结合.通过描述智能化软件定义网络的相关研究历程，介绍了智能软件定义网络在路由优化、网络安全和流量安全这3个方面的关键技术和所面对的挑战.最后，结合其他新兴领域说明智能软件定义网络的优势和前景，并对未来研究工作进行了展望.

摘要:软件定义网络（software defined networking，简称SDN）是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口，以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全，防御恶意流量攻击.对SDN异常流量检测进行了全面的研究，归纳了数据平面和控制平面可能遭受到的网络攻击；介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架；探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制；最后指明SDN异常流量检测在未来工作中的研究方向.

摘要:IP协议的“无状态”特征引发了许多网络安全管理问题.为此，人们提出了单包溯源技术.然而，已有方法因激励性能低、无法增量部署、维护成本高等问题，一直未被大规模推广.基于此，提出一种联盟模式下高效单包溯源方法，简称TIST.该方法首先在大规模网络上构建溯源联盟体系结构，通过剪除搭便车自治域来提高部署激励性；然后，通过融合IP流标记和对等过滤技术，设计一种面向溯源联盟的链路指纹建立策略，它能弱化自治域之间的溯源耦合性，实现增量部署；最后，定义一种新的面向网络前缀的计数布鲁姆过滤器，并通过优化其参数，使溯源路由器能够快速识别溯源分组，进而实现链路指纹的选择性建立，降低维护成本.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验，结果表明：相对于以往方案，TIST在可部署性方面确实有了很大的改善.

摘要:测量技术是状态监测、性能管理、安全防御等网络研究的基础，在网络研究领域具有重要地位.相较于传统网络，软件定义网络在标准性、开放性、透明性等方面的优势给网络测量研究带来了新的机遇.测量数据平面和测量控制平面的分离，启发了通用和灵活的测量架构的设计与实现；标准化的编程接口，使得测量任务可以快速地开发和部署，中心化的网络控制可以基于反馈的测量结果实时地优化数据平面的硬件配置和转发策略，数据平面基于流表规则的处理机制支持对流量更加精细化地测量.但是，软件定义网络测量中额外部署的测量机制造成的资源开销与网络中有限的计算资源、存储资源、带宽资源产生了矛盾，中心化的控制平面也存在一定的性能瓶颈，这是软件定义网络测量研究中的主要问题和挑战.分别从测量架构、测量对象两方面对当前软件定义网络测量研究成果进行了归纳和分析，总结了软件定义网络测量的主要研究问题.最后，基于现有研究成果讨论了未来的研究趋势.