探索“网安医生”人才培养模式

网络安全的竞争归根结底是人才的竞争，世界各国纷纷将网络安全人才培养放在了国家战略高度。网络空间安全学科作为一门新兴交叉学科，其学科的内涵外延还在更新发展，目前缺乏适合网络空间安全人才特点的培养模式及评价机制。根据多年的教学研究，参考国外的先进培养模式及评价机制，结合国内实际情况，提出适合网络空间安全学科特点的“网安医生”培养模式，该模式覆盖本科培养的全生命周期，以问题为导向，培养学生针对网络空间发现和解决安全问题的能力，高校与产业界、科研机构紧密互动构建人才培养的生态环境。以此提高学生掌握知识、技能和应用能力，培养学生探索最新前沿科技和核心技术的兴趣和能力，提升师资力量和教育水平，同时也有利于企业选拔优秀人才，提升企业研发能力和市场竞争力。最终实现合作方协同创新，优势互补，全面共赢的良好局面，促进网络空间安全人才培养和学科发展。     

基于依存句法的Android App隐私条例解析算法

目前针对中文隐私条例的自动化解析研究较少,提取的信息不全面,无法满足管理部门对Android App隐私条例的自动化审查需求。为实现中文隐私条例自动化解析,提出了一种基于依存句法的中文隐私条例解析算法PPExtractor。基于动词和介词两类种子模式,PPExtractor使用自举模式方法生成隐私事件模式集;通过模式匹配,PPExtractor能有效提取隐私条例中开发者和第三方收集和使用的隐私信息,以及App需要用户输入的隐私信息,为管理部门监管 Android App 与隐私信息相关的违法行为提供依据。该方法能更全面地提取中文隐私条例中收集的隐私信息。实验结果表明,PPExtractor能有效识别隐私条例中与隐私相关的句子,并提取句子中与用户隐私相关的信息。     

基于字符空间构造的域名匿名化算法北大核心CSCD

网络流量中包含的域名数据给网络流量共享带来数据隐私的挑战。现有对域名的匿名化处理方法多采用文本泛化和替换等手段,隐私性处理效果较好,但破坏了域名原有的结构和文本特性,无法满足网络安全分析场景的需求。文章提出一种面向网络安全分析的域名匿名化方法,通过基于域名结构的分层匿名处理策略和基于字符空间构造的匿名化算法,在保留网络安全分析过程中所关注的域名结构和文本属性特征的前提下对域名文本进行重构,实现既保留研究人员所需的域名数据可用性,又去除域名数据中的隐私信息的目的。为抵御穷举攻击,文章采取按参数随机重构的方式,以减少不同批次下相同域名匿名结果发生重复的概率,并基于校园网真实网络流量数据对提出的方法进行了验证。实验结果表明,文章提出的方法能够有效提升匿名化后域名数据的不可识别和不可逆的特性,并保留其在结构和语义方面的效用。     

在线视频分享网络中的复杂网络特性研究

随着互联网的普及和Web 2.0技术的发展,以UGC模式为主的视频分享站点迅速成长。创建于2010年的具有UGC模式的爱奇艺网络视频播放平台已经成为主流的新一代短视频分享服务网站。本文对采集到的用户发布视频数据进行了测量,重点分析了视频在类别、时长、播放数和评论数等方面的统计结果以及它们之间的关系,并发现视频网络的小世界特性。然后通过结合节点度分布、网络社区划分K-core分层和Bow-tie模型等方面测量了基于订阅关系构成的用户关系网络的特性,发现该网络的无尺度特性以及用户节点分布的特点。本文针对用户上传的视频以及用户群体本身进行测量分析,这不仅有助于了解UGC视频的结构特点,而且研究爱奇艺中视频的组织形式与其网络拓扑结构可以帮助人们深入理解社交网络的结构特点和视频信息在网络中的传播特征,具有重要的研究价值。     

危险信号在实时网络安全风险评估中的应用

该文提出了一种基于危险信号的新型实时网络安全风险评估方法.抗原坏死和凋亡产生增益信号和抑制信号并作用于抗体进化过程,通过计算抗体浓度定量计算抗原危险信号,检测网络遭受的攻击,通过计算网络风险度进行风险评估.仿真实验表明该方法能定量描述网络面临的风险,比传统基于免疫计算的风险检测方法具有较好的实时性,误警率更低,是一种实时网络安全风险检测的有效解决方案.     

改进及优化Linux网络协议栈

针对X86通用硬件平台,分析了Linux网络协议栈工作原理及网络安全功能实现的机理,及基于Linux协议栈设计与配置网络安全平台中存在的问题,对原有Linux网络协议栈进行了改进及优化,实现了一种适应网络安全平台要求的、基于网络硬件端口转发、转发端口与管理端口分离,与原有Linux网络协议栈兼容的新的网络协议栈.通过测试,利用该协议栈实现的网络安全平台比基于传统Linux协议栈实现的网络安全平台性能有较大辐度的提升,并可使网络安全产品的设计更具紧凑性与正交性.     

基于灰盒模型的Hadoop MapReduce job参数性能分析与预测

针对传统使用统计机器学习对Hadoop MapReduce job参数性能预测时完全基于黑盒模型,预测精度不高且不具有扩展性等问题,提出一种结合黑盒和白盒的灰盒预测方法。定性分析了MapReduce job配置参数对job性能的影响;基于局部加权线性回归分别对job的map task和reduce task性能进行预测;实现Hadoop调度器模拟器,并利用调度器模拟器对预测的job map task和reduce task进行调度,计算job执行时间,达到预测job性能目的。实验通过对比传统基于黑盒方法的预测效果,表明灰盒模型有更好地预测精度,并且可以完成集群规模变化后的job性能预测。     

一种Web使用挖掘数据清理方法

针对传统的Web使用挖掘数据清理方法不再适用于现有的网络环境的现状,提出了一种新的Web使用挖掘数据清理方法。该方法首次提出以网络流量作为Web使用挖掘的数据来源;将数据清理的问题转变为对用户显式操作产生的HTTP会话的识别问题;使用二进制粒子群算法（BPSO）选出最能精确识别用户显式HTTP会话的特征子集;利用选择出的特征子集,生成决策树用以对用户显式HTTP会话进行识别。实验结果表明：该方法能够准确有效地识别出用户显式HTTP会话,对日志记录数的压缩率达到98.7%,能够完成数据清理的任务,为之后的数据挖掘提供有力的支持。     

IaaS环境下虚拟机运行时VIF策略动态加载机制

针对采用VEB（Virtual Ethernet Bridge）模式的IaaS（Infrastructure as a Service）虚拟网络架构面临的虚拟机网络策略有效性问题,研究了保障虚拟机全生命周期网络策略有效性的策略动态加载机制。通过解耦合虚拟机网络策略于虚拟机默认配置文件、分析影响虚拟机网络策略有效性的因素并定义虚拟机网络策略加载要素,提出了虚拟机运行时VIF（Virtual network Interface）网络策略动态加载机制,以虚拟机状态变化过程为依据选取合适时间点加载网络策略至正确位置。实验结果表明,该机制可以在毫秒级耗时内完成虚拟机网络策略加载,保障虚拟机在全生命周期中不出现策略空白;同时,基于虚拟机网络策略的独立性,该机制可按需扩展网络策略并支持虚拟机运行时策略动态变更。