基于IPT硬件的内核模块ROP透明保护机制

Return-Oriented Programming（ROP）是一种流行的利用缓冲区溢出漏洞进行软件攻击的方法,它通过覆写程序栈上的返回地址,使程序在之后执行返回指令时,跳转到攻击者指定位置的代码,因而违反了程序原本期望的控制流.控制流完整性（Control-flow Integrity,简称CFI）检查是目前最流行的ROP防御机制,它将每条控制流跳转指令的合法目标限制在一个合法目标地址集合内,从而阻止攻击者恶意改变程序的控制流.现有的CFI机制大多用于保护用户态程序,然而当前已经有诸多针对内核态的攻击被曝出,其中Return-oriented rootkits^[1] （ROR）就是在有漏洞的内核模块中进行ROP攻击,达到执行内核任意代码的目的.相较于传统的基于用户空间的ROP攻击,ROR攻击更加危险.根据Linux CVE的数据统计,在2014-2016年中,操作系统内核内部的漏洞有76%出现在内核模块中,其中基本上所有被公布出来的攻击都发生在内核模块.由此可见,内核模块作为针对内核攻击的高发区,非常危险.另一方面,当前鲜有针对操作系统内核的CFI保护方案,而已有的相关系统都依赖于对内核的重新编译,这在很大程度上影响了它们的应用场景.针对这些问题,本文首次提出利用Intel Processor Trace （IPT）硬件机制,并结合虚拟化技术,对内核模块进行透明且有效的保护,从而防御针对其的ROP攻击.实验表明该系统具有极强的保护精确性、兼容性和高效性.     

基于区块链的物联网设备自主管控方案

传统物联网设备管理系统可能存在隐私数据易泄露、设备运行情况难掌握、异常事件难追溯等痛点, 给个人、企业乃至社会层面都带来了不利影响. 针对以上问题, 本文设计了一种基于区块链的物联网设备自主管控及管控行为审计方案, 通过区块链存证技术将接入系统的设备信息锚定至区块链, 对设备全生命周期进行管理; 基于智能合约技术实现对物联网设备的数据采集、分析及远程管控的一体化自主管控流程; 最后, 结合区块链不可篡改和可追溯的特性对用户行为进行安全审计. 分析结果表明, 本方案具备安全性高、扩展性强等特点, 为构建物联网系统安全管理架构提供了思路.     

基于中国剩余定理的区块链存储扩展模型

区块链以分布式账本的形式存储交易数据,其节点通过存储哈希链来持有当前数据的副本。由于区块链链式结构的特殊性,区块的数量会随着时间推移不断增加,节点承受的存储压力也随之增大,因此存储扩展性成为区块链发展的瓶颈之一。针对该问题,提出了一种基于中国剩余定理（CRT）的区块链存储扩展模型。模型将区块链分为高安全性区块和低安全性区块,并对它们采取不同的存储策略。其中,低安全性区块以全网保存（所有节点都需保存）的形式进行存储,高安全性区块被基于CRT的分割算法分片后以分布式的形式进行存储。此外,利用冗余余数系统（RRNS）的错误检测与纠正来防止恶意节点攻击,进而提高数据稳定性和完整性。实验结果与安全性分析表明,所提模型在具有安全性、容错性的同时保障了数据的完整性,还能有效地减少节点的存储消耗,增强区块链系统的存储扩展性。     

基于区块链的ARP欺骗攻击防御方法

为了改善静态绑定方法在抵御 ARP 攻击时存在的不易维护的问题,利用区块链技术思想,设计了一种防御成本低、后期易维护的 ARP 欺骗攻击防御方法。改进了区块链结构,设计了交易索引表结构,通过对比发现攻击并及时更新数据,防止后续攻击。正常改动IP后更新交易索引表中内容,保证查询正确性。分析及实验表明,基于区块链的防御方法具有较高安全性,能够保证数据不被篡改,维护成本低,能有效防御ARP欺骗攻击。     

区块链中的自私挖掘研究与分析

自私挖掘是区块链中的一种挖掘策略,通过选择性地公布挖到的区块以“增加”自己的收益。针对目前区块链挖掘中的自私挖掘行为破坏正常挖掘过程、浪费算力的问题,给出了基于概率的SAPV决策模型。首先总结了针对区块链的典型攻击,详细分析自私挖掘的过程,得到自私挖掘过程中出现的不同状态,计算了自私挖掘在不同状态下的概率分布。为增大自私挖掘的相对收益份额,给出了通过求解自私与诚实挖掘概率大小的方法来决定是否公布隐藏的区块。实验模拟了不同算力下自私挖掘池的相对收益,分析了不同算力对矿池收益的影响,最后给出了保证系统诚实节点安全运行的算力阈值,为区块链安全的进一步研究提供参考价值。     

跨链接入的区块链安全强度评估方法北大核心CSCD

目前针对跨链安全评估的研究较为薄弱,文章针对目前出现的各类区块链跨链系统安全问题,提出一整套跨链区块链安全强度评估方法,将安全问题分为跨链信任问题、跨链共识问题、跨链安全问题和跨链网络问题4种类型,同时根据其评价特性结合层次分析法和模糊综合评价法,构建评估矩阵提炼权重系数,对系统进行定量及定性评估并计算隶属度,可根据结果分析系统安全性,对跨链平台、系统评估及提升自身安全性具有一定意义。为研究评估方法的有效性,在样例跨链系统上进行安全强度评估。评估结果表明,该系统总体评价为良,得分为78.27,还具有一定提升空间。此评估方法对跨链接入的区块链系统的安全评估具有一定的借鉴意义。     

基于区块链的物联网大坝监测系统架构

针对大坝监控数据存在的安全性与可靠性隐患问题,本文提出了一种基于区块链(BC)的由传感器云和无人机云组成的系统架构,以用于监控大坝和确保数据的安全性与可靠性.其中传感器云提供各种感测数据,无人机(UAV)云则收集这些数据并将其传送到大坝监控中心(DMC),区块链技术用于保证数据的完整性、真实性、安全性和可追溯性.分析表明,所提出的系统具有很好的伸缩性,并可以有效保证大坝监测数据来源的可靠性,数据传输的安全性以及预防潜在的数据攻击.最后,本文通过评估数据传递延迟率来评估工作绩效,仿真结果表明,所设计系统的延迟率与生成事件概率、重访时间成正相关,与警报间隔时间成负相关,且具有更高的支付成功率.     

区块链系统攻击与防御技术研究进展

区块链作为一种多技术融合的新兴服务架构,因其去中心化、不可篡改等特点,受到了学术界和工业界的广泛关注.然而,由于区块链技术架构的复杂性,针对区块链的攻击方式层出不穷,逐年增加的安全事件导致了巨大的经济损失,严重影响了区块链技术的发展与应用.本文从层级分类、攻击关联分析两个维度对区块链已有安全问题的系统架构、攻击原理、防御策略展开研究.首先,按照区块链层级架构对现有区块链攻击进行归类,介绍了这些攻击方式的攻击原理,分析了它们的共性与特性.其次,分析总结了已有解决方案的思路,提出一些有效的建议和防御措施.最后,通过攻击关联分析归纳出多个区块链攻击簇,构建了一个相对完整的区块链安全防御体系,展望了区块链技术在未来复杂服务场景下的安全态势.     

基于区块链技术架构的隐私泄露风险评估方法

区块链技术的广泛应用导致其隐私泄露问题日益严重。为有效评估区块链技术存在的隐私泄露风险,从区块链技术架构的角度,通过基于博弈的方法对攻击进行量化,提出一种区块链隐私泄露风险评估方法。考虑用户对区块链技术架构层中各攻击的敏感性程度不同,构建用户敏感度矩阵,分别计算主观敏感度与客观敏感度。利用区块链诚实用户与恶意攻击者之间的策略交互过程构建不完全信息静态贝叶斯博弈模型,通过双方的期望收益定义风险影响性与可能性,从而得到基于区块链技术架构层的风险评估分数以及整个区块链的隐私泄露风险评估分数。在此基础上,利用Sigmoid函数对风险评估分数进行正则化处理并根据风险指数判断隐私泄露的风险等级,将隐私泄露分为风险可忽略、风险适中以及风险异常3种状态。实验结果表明,该方法能够有效评估区块链隐私泄露风险情况,指导用户进行多层次、有针对性的隐私保护。     

概率积分及其在PUFFIN算法中的应用

积分分析是一种针对分组密码十分有效的分析方法,其通常利用密文某些位置的零和性质构造积分区分器.基于高阶差分理论,可通过研究密文与明文之间多项式的代数次数来确定密文某些位置是否平衡.从传统的积分分析出发,首次考虑常数对多项式首项系数的影响,提出了概率积分分析方法,并将其应用于PUFFIN算法的安全性分析.针对PUFFIN算法,构造了7轮概率积分区分器,比已有最好的积分区分器轮数长1轮.进一步,利用构造的概率积分区分器,对9轮PUFFIN算法进行密钥恢复攻击.该攻击可恢复92比特轮密钥,攻击的数据复杂度为2^24.8个选择明文,时间复杂度为2^35.48次9轮算法加密,存储复杂度为2²⁰个存储单元.     

A Secure Framework for Blockchain Transactions Protection

One of the most extensively used technologies for improving the security of IoT devices is blockchain technology. It is a new technology that can be utilized to boost the security. It is a decentralized peer-to-peer network with no central authority. Multiple nodes on the network mine or verify the data recorded on the Blockchain. It is a distributed ledger that may be used to keep track of transactions between several parties. No one can tamper with the data on the blockchain since it is unchangeable. Because the blocks are connected by hashes, the transaction data is safe. It is managed by a system that is based on the consensus of network users rather than a central authority. The immutability and tamper-proof nature of blockchain security is based on asymmetric cryptography and hashing. Furthermore, Blockchain has an immutable and tamper-proof smart contract, which is a logic that enforces the Blockchain’s laws. There is a conflict between the privacy protection needs of cyber-security threat intelligent (CTI) sharing and the necessity to establish a comprehensive attack chain during blockchain transactions. This paper presents a blockchain-based data sharing paradigm that protects the privacy of CTI sharing parties while also preventing unlawful sharing and ensuring the benefit of legitimate sharing parties. It builds a full attack chain using encrypted threat intelligence and exploits the blockchain’s backtracking capacity to finish the decryption of the threat source in the attack chain. Smart contracts are also used to send automatic early warning replies to possible attack targets. Simulation tests are used to verify the feasibility and efficacy of the suggested model.     

区块链在数据安全领域的研究进展

大数据时代,数据已成为驱动社会发展的重要的资产.但是数据在其全生命周期均面临不同种类、不同层次的安全威胁,极大降低了用户进行数据共享的意愿.区块链具有去中心化、去信任化和防篡改的安全特性,为降低信息系统单点化的风险提供了重要的解决思路,能够应用于数据安全领域.该文从数据安全的核心特性入手,介绍区块链在增强数据机密性、数据完整性和数据可用性三个方向的最新研究成果,对各研究方向存在的缺陷进行分析,进而对未来发展方向进行了展望.该文认为,区块链技术的合理应用能够增强分布式环境下的数据安全,有着广阔的前景.     

双链式区块链交易监管研究

最近,作为去中心化的分布式帐本,区块链使人们能够在不可信赖的环境中进行安全可靠的交易,慢慢地被应用于各个领域。但是,逐渐出现了一些问题,用户隐私信息泄露,存在非法的交易且缺乏有效的监管,智能合约市场存在漏洞等。针对区块链非法交易,提出了监管链的概念,并建立了可以有效监管区块链交易的交易区块链（TBC）和监管区块链（RBC）双链结构。为了提高智能合约的安全性,进一步在监管链中建立智能合约市场,并设计了用于智能合约功能校验的零知识证明算法。理论和数据分析表明,双链结构具有高效率和可扩展性强。实验结果表明机器学习算法对于区块链交易数据的分类准确性达到95.0%,并证明了零知识证明校验智能合约功能的可行性。     

区块链网络综述

区块链是典型的分布式系统,底层网络的性能和安全性至关重要.区块链网络的本质是P2P网络,然而在安全模型、传输协议和性能指标等方面与传统P2P网络存在明显差异.首先,针对区块链网络的传输流程进行全面、深入地分析,阐明区块链网络所面临的瓶颈挑战.其次,针对区块链网络拓扑结构和传输协议的最新研究工作,从节点异构性、编码方案、广播算法和中继网络等方面系统性地分类梳理,并归纳总结跨链网络实现和网络仿真工具.最后,探讨区块链网络的未来研究趋势.     

区块链技术下公安信息化建设研究

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新应用模式[1],弥补了传统技术数据不安全、系统壁垒等问题,其应用已延伸至物联网、数字金融、产权交易等许多领域。将区块链技术应用于公安信息管理,有利于公安信息化建设的创新发展。     

区块链中攻击方式的研究

随着以数字加密货币为代表的区块链1.0技术和以以太坊为代表的区块链2.0技术的发展,区块链技术的安全性成为了研究热点问题,区块链系统的数据层、网络层、共识层、激励层、合约层与应用层均存在可被攻击者利用的漏洞,本文通过分析比特币、以太坊等平台中常见的攻击方式,提出了全新的区块链中攻击方式的分类方法,本文提出的攻击分类方法体现出不同攻击方式间的差异性与关联性,并从多个角度归纳了各类攻击的特点,最后,本文根据各类攻击特点总结了区块链中攻击方式的预防措施和检测方法,并指出了区块链中攻击问题的未来研究方向.     

基于键值状态分片的HyperLedger Fabric性能优化

HyperLedger Fabric是受关注度较高的开源联盟区块链.针对现有区块链分片方法不适用于Fabric三阶段交易模型的问题和分片粒度过粗导致存在热点访问的问题,提出一种基于Fabric实现的细粒度键值状态分片方法.首先,详细设计了Fabric在键值状态分片下的跨片交易处理,引入跨分片排序节点和两阶段提交处理流程,高效保证跨片交易的一致性和原子性.然后,针对细粒度分片可能导致交易跨片概率上升进而影响性能的问题,提出启发式的交易提案路由表,旨在减少预执行阶段交易的跨片读数据请求,降低计算资源和网络资源的消耗.最后,在Fabric仿真系统上实现改进的分片方案并进行性能测试.实验结果表明,该方法在提升Fabric性能的基础上,有效解决了热点访问问题和高跨片交易占比下的性能下降问题.     

面向漏洞生命周期的安全风险度量方法

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行总结和分析.最后以典型APT攻击场景中“WannaCry”勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.     

Blockchain Consistency Check Protocol for Improved Reliability

Blockchain is a technology that provides security features that can be used for more than just cryptocurrencies. Blockchain achieves security by saving the information of one block in the next block. Changing the information of one block will require changes to all the next block in order for that change to take effect. Which makes it unfeasible for such an attack to happen. However, the structure of how blockchain works makes the last block always vulnerable for attacks, given that its information is not saved yet in any block. This allows malicious node to change the information of the last block and generate a new block and broadcast it to the network. Given that the nodes always follow the longer chain wins rule, the malicious node will win given that it has the longest chain in the network. This paper suggests a solution to this issue by making the nodes send consistency check messages before broadcasting a block. If the nodes manage to successfully verify that the node that generated a new block hasn’t tampered with the blockchain than that block will be broadcasted. The results of the simulation show suggested protocol provided better security compared to the regular blockchain.     

Intrusion Detection Systems Using Blockchain Technology: A Review,Issues and Challenges

Intrusion detection systems that have emerged in recent decades can identify a variety of malicious attacks that target networks by employing several detection approaches. However, the current approaches have challenges in detecting intrusions, which may affect the performance of the overall detection system as well as network performance. For the time being, one of the most important creative technological advancements that plays a significant role in the professional world today is blockchain technology. Blockchain technology moves in the direction of persistent revolution and change. It is a chain of blocks that covers information and maintains trust between individuals no matter how far apart they are. Recently, blockchain was integrated into intrusion detection systems to enhance their overall performance. Blockchain has also been adopted in healthcare, supply chain management, and the Internet of Things. Blockchain uses robust cryptography with private and public keys, and it has numerous properties that have leveraged security’s performance over peer-to-peer networks without the need for a third party. To explore and highlight the importance of integrating blockchain with intrusion detection systems, this paper provides a comprehensive background of intrusion detection systems and blockchain technology. Furthermore, a comprehensive review of emerging intrusion detection systems based on blockchain technology is presented. Finally, this paper suggests important future research directions and trending topics in intrusion detection systems based on blockchain technology.