基于免疫的网络安全态势感知关键技术研究

为了改变目前网络安全防御主要依靠防火墙、漏洞扫描、入侵检测等传统网络安全工具进行被动防御的局面,将人工免疫技术应用于网络安全态势感知技术,提出并实现了一种基于免疫的网络安全态势感知技术.该技术采用基于免疫的入侵检测模型实现对网络中已知和未知入侵行为的检测;依据生物免疫系统抗体浓度的变化与病原体入侵强度的对应关系,建立网络风险实时定量评估模型.在对网络安全状况的趋势预测中,采用基于时间序列的ARMA模型对网络当前安全状况及未来变化趋势进行实时、定量的分析、预测,从而有效地缓解网络攻击造成的危害,提高网络信息系统的应急保障能力.实验结果表明该系统能及时有效调整网络安全策略,提供更全面的安全保障,是网络安全保障的一个较好解决方案.     

基于Django大学生网络空间安全攻防实践教学平台的设计与研究

随着互联网技术的不断发展,网络存在的安全隐患与攻击威胁更加多样化、复杂化．主要研究网络空间安全发展态势与高校网络安全攻防实践教学的不足,结合实际提出了基于网络空间安全的大学生攻防实践教学平台设计与研究,详细地论述了平台的实现方法、采用的技术和功能．将该平台应用到学生的实践教学培养当中,有利于提高学生对网络空间安全的学习兴趣,同时提升学生的网络安全实践运用能力．     

自免疫网络安全防御体系研究

针对计算机网络普遍容易遭受黑客、病毒及大量垃圾信息的侵蚀，对未知异常事件和异常流量等不能作出及时反应，在保护“自我”拒绝“非我”的基础上提出了基于主动探测、主动报警和主动清除为主的自免疫网络安全防御体系，并给出了自免疫网络的基本组成以及基于网络设备认证、网络流量分析、主机接入认证的实现，从而达到保护计算机网络安全运行的目的，     

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

网络空间安全技术专利分析研究

随着互联网应用不断深入和网络建设不断拓展,网络空间成为继陆、海、空、天之后的第五大战略空间,网络空间安全也已经被提升至国家安全战略层面,世界各国在不断加大建设投入,加紧提升网络空间攻防能力.美国相继出台网络空间国际战略和军事战略,先后组织"网络风暴""网络壁垒""网络防御"等系列演练活动,旨在夺取网络空间的绝对优势.英国、法国、德国、日本等国家也将网络空间安全提升至国家战略层面,加大建设投入,组建专业力量,频繁举行"网络海盗""波罗的海网络盾牌"等网络攻防演练.近年来,强敌不断组织针对我军的网络战演习,研究创新网络战样式,这对我国网络空间安全构成非常严峻的威胁和挑战.网络攻击与网络空间安全防御此消彼长.网络空间的侦查和利用也越来越成为网络空间安全防御和网络攻击的"奠基石",对网络空间的态势感知将很大程度上决定网络空间攻防的效能.     

网络空间安全与人工智能研究综述

网络空间安全与人工智能间存在广泛的研究结合点。一方面,人工智能技术成为网络空间安全技术难题的重要解决手段,越来越多的研究基于人工智能去构建恶意代码分类、入侵检测以及网络态势感知的智能模型。另一方面,人工智能技术本身具有一定脆弱性,带来诸如对抗样本攻击等新的漏洞。人工智能模型需要先进的网络安全防御技术来抵御对抗性机器学习攻击,保护机器学习中的隐私数据,构建安全的联合学习模型。综述了网络空间安全与人工智能研究的契合点。首先,总结了在使用人工智能对抗网络攻击方面的现有研究成果,包括采用传统的机器学习方法和现有的深度学习解决方案。然后,分析了人工智能模型自身可能遭受的攻击,并对相应的防御方法进行了分类。     

受基因理论启发的计算机病毒进化模型

作为一种重要的网络空间安全威胁,计算机病毒及其生存与繁衍一直是网络空间安全领域研究热点。该文借鉴生物基因理论和人工生命思想,提出了一种基于基因理论的计算机病毒进化模型:给出了计算机病毒形式化定义,构建了计算机病毒在基因、DNA、染色体等3个层次的进化数学模型,以模拟计算机病毒在自然选择中的进化模式。仿真实验表明,即使遭遇严酷的外部环境,具有算法特性与生命特性的计算机病毒仍具极强的进化能力。     

网络安全技术的分析与研究

分析、介绍了当前网络安全缺陷、网络安全技术及网络安全的局限性,并重点分析了网络安全检测技术。最后阐述了目前较具前景的网络防御手段——IPS技术、可信计算、虚拟专用网络技术、基于安全语言的防御技术。     

互联网网络故障定位研究进展

故障定位协议能够确保网络路由节点按照用户意图传输数据,从而避免流量窃听、中间人攻击等网络威胁,从根本上提升网络安全能力。现有协议主要包括传统故障定位协议及安全故障定位协议。传统故障定位协议以网络路由节点与用户相互信任为基础,由于现有互联网本身不存在信任基础,很难直接应用于安全强度要求较高的场景。因此,安全故障定位协议研究如何在缺乏信任关系的路由节点与用户端节点之间建立可信基础,成为跨域通信的研究。详细分析了两类故障定位协议,重点探讨了安全故障定位协议的特点和不足,并提出了通过分布式密钥基础设施建设、路由设备开销降低、专用网络逐步部署等方式在互联网范围内实现安全高效故障定位的思路。     

网络空间数字虚拟资产保护研究构想和成果展望

网络空间数字虚拟资产已成为重要的社会财富。然而,国内外对于数字虚拟资产保护方面的研究均尚处于探索阶段,系统性的基础理论研究亟待解决,特别是基础数学模型、安全管理和交易、安全威胁管控机制等方面的系统性研究,成为国内外网络空间数字虚拟资产保护研究的趋势和热点。为有效应对数字虚拟资产保护方面的严峻挑战,本研究针对虚拟货币、数字版权、网络游戏等网络空间数字虚拟资产的安全问题,研究数字虚拟资产保护基础理论体系,包括数字虚拟资产的数学模型、安全管理、威胁感知和风险控制等,以此奠定网络空间数字虚拟资产保护的基础理论和方法。本研究围绕网络空间数字虚拟资产保护3个关键科学问题:数字虚拟资产数学表征问题、数字虚拟资产应用安全可控问题,以及数字虚拟资产威胁管控问题,分别开展1个基础数学模型、3项关键技术,以及1套原型系统的研究,简述为"1-3-1"方案。通过数字虚拟资产基础数学模型、数字虚拟资产安全管理和交易技术、数字虚拟资产安全威胁感知方法、数字虚拟资产动态风险控制机制等研究,奠定数字虚拟资产保护的基础理论和方法;最后,通过构造一个数字虚拟资产安全管理与交易原型系统,对本研究的成果进行实验验证,确保其成果的正确性和可靠性。通过上述"1-3-1"研究方案实现以下5个方面创新:一是,基于代数理论、统计分析、不可区分混淆、信息隐藏、全同态加密、格理论签名等的数字虚拟资产基础数学模型;二是,基于新型区块链、工作量证明和群体智能的数字虚拟资产安全管理和交易方法;三是,基于免疫的数字虚拟资产安全威胁自适应发现方法;四是,基于人体体温风险预警机制的数字虚拟资产安全威胁变化实时定量计算方法;五是,基于网络环境威胁变化的数字虚拟资产动态风险控制方法。最终,构建了网络空间数字虚拟资产保护理论研究体系,解决了数字虚拟资产的数学表征、数字虚拟资产应用安全可控、数字虚拟资产威胁管控等技术难题。本研究对网络空间数字虚拟资产保护等具有重要的理论意义和广阔的应用前景。研究成果对于保卫国家网络空间安全,发展自主知识产权和自控权的网络空间数字虚拟资产保护技术,打破国外对中国的技术封锁和垄断等方面具有十分重大的意义。     

仿生视角的数字孪生系统信息安全框架及技术

为了推动工业信息安全防御模式从静态的被动防御向主动防御转变,缓解安全专家严重不足与陡增的信息安全需求之间的矛盾,从仿生视角搭建数字孪生系统的信息安全主动防御体系框架,以数字孪生安全大脑为核心,提出以主动防御为目的的5类关键技术：基于云边协同的安全数据交互及协同防御技术、仿生的平行数字孪生系统主动防御技术、仿生的平行数字孪生系统安全态势感知技术、基于免疫系统的数字孪生系统主动防控技术、基于AI的数字孪生系统的反攻击智能识别技术. 给出数字孪生车间信息安全建设的应用案例,验证了数字孪生信息安全在智能制造中的适应性.     

基于可信计算技术构建电力监测控制系统网络安全免疫系统

电力系统是国家重要基础设施,电网调度控制系统是现代大电网安全稳定运行的重要手段,也是国家级网络对抗中的重点攻击目标。中国电网已经全面建成了以网络隔离及边界防护为主的网络安全纵深防护体系,但面对以快速演进的恶意代码为主要技术手段的APT攻击,存在防护技术滞后于攻击手段、安全功能制约于业务功能、防护措施影响控制业务实时性等问题。可信计算是一种运算与保护并行结构的计算模式,通过保持计算环境及计算逻辑的完整性,为计算平台提供了对恶意代码、非法操作的自主免疫能力。基于可信计算技术,建立电力监测控制系统网络安全免疫系统,由控制主站系统电力可信计算平台、可信网络通信及可信现场测控终端构成,覆盖电力控制业务从现场监测、通信、计算分析、控制指令下达与执行全部环节,为电力控制系统提供了一种行之有效的主动防御机制。主站系统电力可信计算平台包括作为信任根的可信密码模块硬件和嵌入到操作系统内核的可信软件基两个核心组件,实现计算机的可信引导,对操作系统及应用程序的完整性度量、强制访问控制和强制执行控。电力可信计算平台在标准的信任链构建方法基础上,在操作系统引导器中植入度量代码,通过CPU实模式驱动下的可信密码硬件对系统引导程序代码完整性进行回溯度量。与当前通用的可信计算技术实现方式相比,电力可信计算平台将度量的起点从操作系统前推到操作系统引导器,从而使得系统安全性大幅度提升。结合电网调度控制系统中的安全标签机制,电力可信计算平台对应用进程实现了融合操作系统层和应用层的双重强制访问控制。结合调度数字证书系统,实现了应用程序预期值安全管理,确保预期值的真实性与权威性。电力可信计算平台使用了计算组件中的原生安全功能,无需对业务程序、逻辑和系统资源进行改动,避免了对在运业务系统进行大规模改造,在工程上切实可行。全面的测试及广泛的工程实践表明,电力可信计算平台消耗系统资源少,运行效率完全满足控制业务实时性要求,对业务功能没有任何干扰。基于可信计算技术构建的网络安全免疫系统,为电力监测控制系统提供了一套高效率、高强度防护机制,对恶意代码、非法操作具有主动防御能力,同时也适用于其他业务逻辑固定、系统更新不频繁、安全等级要求高的工业控制系统。     

基于可信计算构建纵深防御的信息安全保障体系

根据美国网络空间安全战略的启示,阐述了中国信息安全面临的挑战和主要任务;从加强信息安全保障体系建设、可信计算体系框架、创新发展可信计算等方面,详细阐述了如何将可信计算用于积极构建纵深防御体系,以及在这个防御体系构建过程中的创新点;最后,提出了捍卫中国网络空间主权、自主研发、网络防护体系、人才培养等方面的建议。     

流谱理论及其在网络防御中的应用

在网络数据处理和分析过程中,针对传统方法存在的观测量大、可解释性差、特征分离难度高等问题,提出了将网络流数据从原始"流"空间映射至"流谱"空间基本方法,满足网络行为的可解释性、可观测、可表达、可处置要求,从而能够更好地完成下游任务。基于高维目标低秩化的矩阵压缩原理,实现了对数据的低维描述,完成了原始网络流从"流"到数据特征矩阵的映射。通过矩阵论、信息论、度量空间相关理论,建立了多个尽可能同构表达的基底谱空间,完成特征矩阵在"谱"空间的可分离同构映射。通过"流谱"对背景网络流、网络威胁、恶意攻击、异常行为进行刻画,应用在网络防御中,提升了网络空间的防御能力,为网络空间防御体系提供了新的思路。     

浅析美国网络安全战略的演变及对国内的启示

2011年以来,全球性网络军备竞赛愈演愈烈,为实施网络威慑,谋求战略优势,美国相继发布了《网络空间可信标识国家战略》、《网络空间国际战略》、《网络空间行动战略》等推动网络安全发展的纲领性文件。从克林顿政府到小布什政府,再到奥巴马政府,美国逐步推动与网络安全有关的组织管理、网络技术和军事能力等方面的发展,旨在在新一轮"网络战"中,进一步掌控制定国际互联网安全标准和规则的主导权。本文通过对美国网络安全战略的分析,剖析其脉络和特点,希望对我国网络安全建设有所启示。     

智能电网脆弱性分析及对策研究

随着下一代智能电网的建立,复杂的控制网络系统将面对更多的安全威胁。在研究智能电网安全问题的基础上,按照“从外到内,由表及里”思路,讨论了用电环节、调度环节、监控环节的脆弱性问题,重点分析了级联故障及危害。最后,针对上述问题提出了相应的对策建议。     

IEC 61850协议DoS攻击的ECC-AES防御算法

IEC 61850是基于网络通信平台的变电通信系统国际标准,由于IEC 61850缺乏加密和认证安全机制,导致其易受到网络攻击。为了验证IEC 61850协议通信存在的问题,在变电站通信仿真系统下,分析了IEC 61850通信协议,模拟了IEC 61850 的拒绝服务(DoS)攻击,提出了ECCi-AES防御算法。该算法通过抓取IEC 61850报文,获取、应用协议数据单元(APDU)并加密。实验结果表明,通过改进的高级加密标准(AES)和椭圆曲线密码编码(ECC)加密算法,可以有效地加密通信数据,增强防御DoS攻击的能力。