一种基于共享内存摆渡的Modbus/TCP安全通信方法

结合物理摆渡隔离和逻辑协议过滤技术的优点,提出了1种基于共享内存摆渡的Modbus/TCP网络安全通信方法。采用基于共享内存的Xen虚拟机间通信方式实现ICS控制网和现场网的隔离。针对Modbus/TCP通信栈面临的安全威胁,采用无路由的内存摆渡隔离机制过滤底层协议攻击,针对应用层行为和连接特征提出了较为完善的深度包过滤策略。实验实现的隔离过滤平台表明,所提方法能针对Modbus/TCP协议数据进行有效的安全过滤,数据交换读写带宽分别为56.54 MB/s和57.1 MB/s,通信效率较高。所提方法能满足工业控制网络性能和安全的双重需求。据本文作者了解,目前还没有其它公共文献使用基于虚拟化技术的共享内存摆渡方法和流量特征过滤策略提出工控环境安全通信方法。     

基于通用智能卡的可信引导方案

为了解决传统的操作系统引导机制存在关键验证信息被绕过的风险和引导数据被篡改的安全隐患,基于可信计算理论,结合带光盘文件系统的智能卡技术,提出了基于通用智能卡的可信引导方案.在不改变智能卡和终端设备的硬件和固件结构的基础上,通过改造智能卡的存储数据和磁盘的引导数据,实现用户身份信息、智能卡和终端设备绑定的安全目标,将可信计算机制从开机加电扩展至应用层,确保操作系统的初始状态可信.通过安全性分析和性能分析,证明终端设备引导的安全性,并且在实际应用中得到了验证.     

SDN架构下的安全审计系统研究与实现

为了解决软件定义网络(software defined networking,SDN)架构面临的安全挑战,针对SDN网络架构中的安全审计环节,将传统网络中的安全审计解决方案与SDN网络集中控制的特性相结合,依托Floodlight控制器设计并实现适用于SDN网络环境的安全审计系统,包括安全审计事件的收集、分析、存储、响应等功能.提出一种针对分布式拒绝服务(distributed denial of service,DDo S)攻击的攻击回溯算法对安全审计事件进行追溯,确定出DDo S攻击发起者及僵尸主机集合.同时,采用滑动窗口分割算法从安全审计事件中提取出用户行为序列模式,基于Levenshtein算法计算用户行为序列模式之间的相似度,并根据用户当前行为和历史行为的相似度来判断是否出现可疑的攻击行为.经实验验证,该系统能准确地回溯出DDo S攻击发生时被控的僵尸主机集合及攻击者,并且可以有效地检测出用户攻击行为.     

基于知识图谱驱动的网络安全等级保护日志审计分析模型研究

为了从海量的日志数据中审计分析安全事件,并进行事件溯源,文章提出基于知识图谱驱动的网络安全等级保护日志审计分析模型。该模型将安全、运维、数据分析和等级测评数据融合进行日志数据增益;将服务器、网络设备和安全设备作为本体构建节点;将业务数据流作为连接两个节点的关系,业务数据流的方向作为关系的方向。从安全管理中心、安全计算环境、安全区域边界和安全通信网络4个方面构建相应的网络安全等级保护日志知识图谱,实现网络日志的高效关联和深度挖掘分析,可以不需要对问题进行精确建模而在数据上直接进行分析和处理,适用于进行网络安全日志的大数据分析,为大规模复杂日志审计分析的求解提供了一种有效手段。     

基于L-ISOMAP流形的癫痫数据降维可视化方法

针对癫痫病人采集的EEG信号数据维数过高和含有复杂的非线性特征的问题,以及脑医学领域数据标注的成本较高的现状,研究了不同的无监督流形降维方法,并且在公开的癫痫集上对比了13种主流及较新的流形降维算法降维后在低维坐标空间的聚类效果.实验结果表明,与目前主流的其它流形及降维方法相比,基于L-ISOMAP得到的数据点在低维空间的分布有很好的聚类表现,不同类别的数据分界明显.当样本大小不同时,降维后的数据分布在可视化图中仍有一定的规律性,可视化效果明显优于其它的降维方法.     

基于显著稀疏强关联的脑功能连接分类方法

针对脑功能连接数据维度过高、冗余特征过多影响神经网络分类准确率的问题,提出一种基于显著稀疏强关联的脑功能连接分类方法. 该方法利用显著特征稀疏模块对原始特征进行筛选增强;采用稀疏强关联特征上下文融合模块对不同感受野内的显著特征信息进行聚合;使用全连接神经网络进行分类预测. 在ABIDE以及ADHD-200数据集上的实验结果表明,所提方法相较于现有的脑功能连接分类算法在准确率上分别提升了10.41%和12.50%. 重要特征的可视化结果表明所提方法能准确定位与疾病相关的脑区,具有一定实际应用价值.     

基于上下文特征融合的代码漏洞检测方法

针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法. 该方法将代码特征解耦分为代码块局部特征和上下文全局特征. 代码块局部特征关注代码块中关键词的语义及其短距离依赖关系. 将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系. 该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力. 模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分. 实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.     

基于远程证明的可信Modbus/TCP协议研究

由于工业控制系统（industrial control system,ICS）系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协议,提高使用专用通信协议的ICS网络安全性。修改了ICS网络中现场设备和控制设备中原有Modbus/TCP通信栈以达到双向认证的目的。利用远程证明方法基于白名单对Modbus/TCP客户机、服务器双方身份和安全状态信息进行认证。这些信息的更新由在线的证明服务器维护并推送给现场设备以减轻通信负担。协议数据通过2种方式受到保护：一是,通信过程中的消息认证密钥由可信硬件保护,只有拥有可信硬件绑定密钥的合法设备才能解密,保证通信数据无法在不被发现的情况下被篡改;二是,加密协议的敏感操作信息的密钥也受到可信硬件的保护。目前,还没有其他公开文献将可信组件引入Modbus/TCP通信环境中以保证其安全性。提出的可信Modbus/TCP协议具备完整性、可认证性、新鲜性和机密性4个安全属性。协议由HLPSL语言描述,使用SPAN工具验证,未发现可被攻击者利用的入侵路径。协议性能消耗最大的是认证子协议密码相关功能,但该消耗仅存在于首次通信前和周期性验证失败后。若采用针对ICS环境优化后的专用可信硬件,替代本文使用的通用可信硬件,相关开销将大幅降低。因协议字段的增加造成通信开销较小,仅为μs级。提出的可信Modbus/TCP协议能够满足ICS正常业务性能要求,既能防范非法通信实体,又能防范原本合法但因系统被篡改后不再可信的通信实体对协议通信发起的攻击。     

基于L-ISOMAP流形的癫痫数据降维可视化方法

针对癫痫病人采集的EEG信号数据维数过高和含有复杂的非线性特征的问题,以及脑医学领域数据标注的成本较高的现状,研究了不同的无监督流形降维方法,并且在公开的癫痫集上对比了13种主流及较新的流形降维算法降维后在低维坐标空间的聚类效果.实验结果表明,与目前主流的其它流形及降维方法相比,基于L-ISOMAP得到的数据点在低维空间的分布有很好的聚类表现,不同类别的数据分界明显.当样本大小不同时,降维后的数据分布在可视化图中仍有一定的规律性,可视化效果明显优于其它的降维方法.     

基于信任网络的软件可信评价方法

研究了可信计算领域中的软件可信评价问题,提出了一种基于信任网络的软件可信度量方法,该方法通过信任网络模型将用户划分成不同的用户域,采用可信度量票据的方法保障设备的可信性;在设备可信的基础上建立可信风险树模型,分别从可信和风险两方面对软件进行可信度量,计算异常行为的风险概率;采用多台设备协同工作的方式,通过滑动窗口模型从用户域范围和管理域范围对软件进行可信评价。最后通过实验验证了该方法的正确性和可信性。