工业控制系统安全态势感知技术研究

工业控制系统(简称工控)是国家关键基础设施的核心,越来越多的工作开始关注工控系统安全。然而,这些工作的实际应用场景并不统一,因此他们取得的成果无法相互借鉴。为了解决这个问题,在深入研究这些安全技术的基础上,我们提出了工控系统安全态势感知(Situational Awareness for Industrial Control Systems Security, SA-ICSS)框架,该框架由态势觉察、态势理解和态势投射三个阶段构成。在态势觉察阶段,我们首先利用网络测绘和脆弱性发现技术获取完善的目标系统环境要素,如网络拓扑和漏洞信息;其次,我们将入侵检测和入侵诱捕等5种设备部署在目标系统中,以便从控制系统中捕获所有的可疑活动。在态势理解阶段,我们首先基于结构化威胁信息表达(Structured Threat Information Expression,STIX)标准对目标系统进行本体建模,构建了控制任务间的依赖关系以及控制任务与运行设备的映射关系;其次,自动化推理引擎通过学习分析师推理技术,从可疑活动中识别出攻击意图以及目标系统可能受到的影响。在态势投射阶段,我们首先利用攻击图、贝叶斯...     

基于时空相关性的多签到数据匹配算法

智能产品往往具有标识其唯一性的标签,如公交卡编号、Wi-Fi设备MAC地址等,设备标签以及其使用的时间、地点信息构成了代表人们离散轨迹的签到数据。研究人员针对单种签到数据开展了多方面的研究,但单种签到数据通常比较稀疏,其适应性和性能等受到限制。为此,研究了新的多签到数据问题,提出了一种基于多签到数据的标签匹配算法MIMA,丰富了签到数据,提高了应用性能。该算法首先基于单人多签到数据具有的时空相关性,通过计算多个标签之间的正负关系构建面向多标签的符号网络;在此基础上,摒弃了不适用于签到数据符号网络的分割条件,并通过增加权值分布密度来改进已有FEC(Finding and Extracting Communities from singed social networks)社区发现算法的分割机制,以适应签到数据符号网络的特性,实现多标签的划分。模拟仿真和真实数据的实验均显示MIMA算法具有较好的时间复杂效率和精度。     

物联网设备漏洞挖掘技术研究综述

随着物联网设备的迅速发展和广泛应用,物联网设备的安全也受到了严峻的考验。安全漏洞大量存在于物联网设备中,而通用漏洞挖掘技术不再完全适用于物联网设备。近几年,针对物联网设备漏洞的挖掘技术逐渐成为热点。本文将分析物联网设备漏洞挖掘技术面临的挑战与机遇,然后从静态分析,动态模糊测试,以及同源性分析三个方面来介绍物联网设备漏洞挖掘技术的研究进展。最后本文将对今后该领域的研究重点和方向进行讨论和展望。     

可编程逻辑控制器的控制逻辑注入攻击入侵检测方法

可编程逻辑控制器（PLC）的控制逻辑注入攻击通过篡改控制程序操纵物理过程,从而达到影响控制过程或破坏物理设施的目的。针对PLC控制逻辑注入攻击,提出了一种基于白名单规则自动化生成的入侵检测方法PLCShield (Programmable Logic Controller Shield)。所提方法以PLC控制程序承载着全面、完整的物理过程控制信息为依据,主要包括两个阶段：首先,通过分析PLC程序的配置文件、指令功能、变量属性和执行路径等信息,提取程序属性、地址、值域和结构等检测规则;其次,采用主动请求PLC的运行“快照”和被动监听网络流量结合的方式,实时获取PLC当前的运行状态和流量中的操作、状态等信息,并通过对比得到的信息与检测规则识别攻击行为。以4款不同厂商和型号的PLC作为研究案例验证PLCShield的可行性,实验结果表明所提方法的攻击检测准确度达到97.71%以上,验证了所提方法的有效性。     

基于专家系统的高级持续性威胁云端检测博弈

云计算系统是高级持续性威胁(advanced persistent threats, APT)的重要攻击目标.自动化的APT检测器很难准确发现APT攻击,用专家系统对可疑行为进行二次检测可以减少检测错误.但是专家系统完成二次检测需要花费一段额外的时间,可能导致防御响应延迟,而且专家系统本身也会产生误判.在综合考虑APT检测器和专家系统的虚警率和漏报率的基础上,用博弈论方法讨论在云计算系统的APT检测和防御中,利用专家系统进行二次检测的必要性.设计了一个基于专家系统的APT检测方案,并提出一个ES-APT检测博弈模型,推导其纳什均衡,据此研究了专家系统对云计算系统安全性能的改善作用.此外,当无法获得APT攻击模型时,提出了一种利用强化学习算法获取最优防御策略的方案.仿真结果表明：基于WoLF-PHC算法的动态ES-APT检测方案较之其他对照方案能够提高防御者的效用和云计算系统的安全性.     

函数级数据依赖图及其在静态脆弱性分析中的应用

数据流分析是二进制程序分析的重要手段,但传统数据依赖图(DDG)构建的时间与空间复杂度较高,限制了可分析代码的规模.提出了函数级数据依赖图(FDDG)的概念,并设计了函数级数据依赖图的构建方法.在考虑函数参数及参数间相互依赖关系的基础上,将函数作为整体分析,忽略函数内部的具体实现,显著缩小了数据依赖图规模,降低了数据依赖图生成的时空复杂度.实验结果表明,与开源工具angr中的DDG生成方法相比,FDDG的生成时间性能普遍提升了3个数量级.同时,将FDDG应用于嵌入式二进制固件脆弱性分析,实现了嵌入式固件脆弱性分析原型系统FFVA,在对D-Link、NETGEAR、EasyN、uniview等品牌的设备固件分析中,发现了24个漏洞,其中14个属于未知漏洞,进一步验证了FDDG在静态脆弱性分析中的有效性.     

物联网安全威胁与安全模型CSCD

随着物联网应用的发展和普及利用,针对物联网的攻击事件日益增多且危害严重。目前面对物联网安全问题主要采用被动补救的方式,缺乏对物联网安全的体系化思考和研究。本论文首先介绍物联网系统架构和各实体的发展,然后分析物联网面临的多层次安全威胁,包括各实体自身的安全威胁,也包括跨域的安全威胁。其中,实体自身安全威胁涉及到云平台、设备端、管道、云端交互。物联网跨域安全威胁包含4个方面:多域级联攻击、物理域的冲突与叠加、信息域对物理域进行非预期的控制、信息域对物理域输入的理解不全面。在此基础上,论文研究了基于PDRR网络安全体系的物联网安全模型,包含安全防护、安全检测、响应、恢复4个维度。安全防护包含认证、授权与访问控制、通信加密等技术,需要考虑物联网种类繁多,规模巨大,异构等特点进行设计与实施。安全检测需要对各实体进行入侵检测、在线安全监测、脆弱性检测以及恶意代码检测。其中,在线安全监测获取系统内部设备、应用程序的行为、状态、是否存在已知脆弱性等。脆弱性检测偏向于对未知脆弱性进行深度挖掘。在响应阶段,除了配合相关部门机关完成安全行动资源配置、态势感知等响应工作外,还需要进行入侵事件的分析与响应,漏洞与恶意代码的公告与修复,以及安全防护加固与检测规则的更新。在恢复阶段,需要对关键数据进行恢复,并对系统进行升级与恢复。最后论文进行总结并提出值得关注的研究方向。     

社工概念演化分析

社工是黑客社区一种非常流行的攻击方法,对网络空间安全造成了严重的危害.然而,社工的概念定义作为理解社工威胁、开展社工研究的基础,却并不一致、明晰,而且随着概念的演化逐渐显现模糊、泛化、消解的趋势,影响社工安全研究与防护工作的开展.本文对社工概念演化进行了体系化的研究,同时也分析了社工攻击威胁的特性及态势,梳理了社工实现...     

IP定位技术研究

IP定位技术通过目标主机的IP地址定位其实际物理地址,被广泛应用于定向广告、在线安全监测、网络攻击溯源等位置相关服务,近年来实体空间资源大量接入网络空间,IP定位受到越来越广泛的关注。本文介绍了IP定位的基本概念和应用场景;根据不同应用场景分析了IP设备的特性;在设备特性基础上,对独立于设备和依赖于设备的两类定位算法进行了介绍和分析;针对不同类型的定位技术,介绍了IP定位中的攻击与防御技术;最后对IP定位技术和防御技术分别进行了综合评估,讨论了未来的发展方向。     

基于行为路径树的恶意软件分类方法

针对恶意软件家族分类问题,提出一种基于行为路径树的恶意软件分类方法,该方法使用恶意样本细粒度行为路径作为动态特征,通过将路径转化为树型结构的方式生成依赖关系,与传统基于系统调用的恶意软件分类相比,具有较低的复杂度。此外,针对传统分类模型无法解决行为路径树深度寻优问题,设计了基于自适应随机森林的分类模型,该模型采用随机逼近的方式完成行为路径树深度寻优。实验部分使用2588个样本(包含8个恶意家族,1个良性集合)对行为路径树的有效性进行验证,分类精度达到91.11%。