基于LSTM-CNN的容器内恶意软件静态检测

针对现阶段容器环境下恶意软件检测研究较少且检测率较低的问题,提出了一种基于LSTM-CNN的容器内恶意软件静态检测方法,用以在恶意软件运行前进行检测,从源头阻断其攻击行为,降低检测过程给容器运行带来的性能损耗。该方法通过无代理的方式获取容器内待测软件,提取其API调用序列作为程序行为数据,利用word2vec模型对程序API调用序列进行向量化表征,并基于LSTM和CNN分别提取其语义信息及多维局部特征以实现恶意软件的检测。在容器环境下实现了该方法,并基于公开数据集VirusShare进行测试,结果表明该方法可达到99.76%的检测率且误报率低于1%,优于同类其他方法。     

基于流量结构稳定性的服务器网络行为描述:建模与系统

针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。     

基于数据挖掘的未知帧结构识别

为了解决当传输的数据在链路层上的帧结构是未知的情况时,IP层及以上将无法进行数据抽取和分析的问题,本文利用数据挖掘的相关技术,对链路层上没有进行帧切分的原始比特流的未知帧结构识别进行了相关研究。首先,理论上论证了对原始比特流数据进行长频繁序列模式挖掘的必要性,这些频繁序列可能就是帧结构中的特征字段,并且揭示了比特流数据序列挖掘具有的“向下闭包”的性质,提出了高效的长频繁序列挖掘算法和序列模式关联算法。算法在以太网下进行仿真实验,能够挖掘出以太网帧结构中的全部已知字段间的关联性。实验表明,算法能够一定程度上揭示未知帧结构的相关结构特征。     

电路级代理防火墙的优势及改进研究

本文通过对电路级代理的分析,比较了其在网络安全应用中的优势。对其不足—冗余认证提出了修改方案,使得电路级代理的性能得到改善。     

针对虚拟可信平台模块的国密算法扩展技术研究

为了规避使用外国密码算法带来的法律风险,满足中国《商用密码管理条例》的合规性要求,响应网络空间安全的自主可控要求,促进虚拟可信计算技术在国内云计算业务的大规模应用,本文对虚拟可信平台模块（vTPM,virtual Trusted Platform Module）和虚拟机信任链相关组件添加了对国密算法（中国国家商用密码算法）的支持。首先,在vTPM中添加对密码算法工具包GmSSL（GM/T Secure Sockets Layer）中散列密码算法SM3和对称密码算法SM4的调用接口,并利用GmSSL的大数运算模块实现国密算法中的非对称密码算法SM2的调用接口,从而为上层应用提供基于国密算法的可信计算功能。其次,在虚拟机信任链相关组件中添加SM3算法的实现代码,达成建立基于国密算法的虚拟机信任链的目标。最后,验证vTPM中调用接口的正确性和建立的虚拟机信任链的有效性,对比基于SM3算法和SHA-1算法虚拟机信任链的虚拟机开机时间。实验结果表明,添加的调用接口正确且有效,并且和基于SHA-1算法虚拟机信任链的虚拟机相比,基于SM3算法虚拟机信任链的虚拟机开机时间只增加3%,在安全性提升的同时其性能损耗在可接受范围。     

基于多级分类的网络流量在线识别方法(英文)

Internet traffic classification plays an important role in network management. Many approaches have been proposed to classify different categories of Internet traffic. However, these approaches have specific usage contexts that restrict their ability when they are applied in the current network environment. For example, the port based approach cannot identify network applications with dynamic ports; the deep packet inspection approach is invalid for encrypted network applications; and the statistical based approach is time-consuming. In this paper, a novel technique is proposed to classify different categories of network applications. The port based, deep packet inspection based and statistical based approaches are integrated as a multistage classifier. The experimental results demonstrate that this approach has high recognition rate which is up to 98% and good performance of real-time for traffic identification.     

一种基于虚拟化的文件杀毒实现方法

针对云计算环境下因虚拟机杀毒和病毒库更新等引发的性能开销及资源占用问题,提出了一种基于虚拟化的云杀毒实现框架--HyperAV,HyperAV能够在较低性能开销的情况下对虚拟机文件进行杀毒,并提供扇区级别的访问控制和隔离机制.通过获取虚拟机运行过程中的扇区更改信息,HyperAV优化了文件病毒的扫描方式,对虚拟机杀毒过程起到了显著加速效果.HyperAV实现了控制-杀毒相互分离的前后端框架,杀毒所需数据可以导入专用杀毒服务集群,从而避免了病毒库的重复更新,解决了因杀毒而使虚拟机运行缓慢的问题.在基于内核的虚拟机虚拟化平台下实现了原型系统.实验结果表明,HyperAV能够在虚拟机较低负载开销的情况下为虚拟机文件提供病毒扫描防护能力.     

IaaS环境下多租户安全资源分配算法和安全服务调度框架

针对基础设施即服务（IaaS）环境下多租户使用安全服务时由于安全资源有限和安全资源分配不均导致的效率低下问题,提出了一个租户安全资源调度框架。首先以最小最大公平算法为基础,结合Fair Scheduler的调度思想为租户设定了最小共享量和资源需求量属性;然后通过安全服务资源分配算法在保证租户最小共享量满足的前提下,尽可能公平地满足租户的资源需求;最后结合租户内任务调度和租户间资源抢占算法,实现了租户安全服务调度框架。实验结果表明,在随机资源分配条件下,安全服务资源分配算法与传统资源分配算法相比在资源利用率和作业效率上均有明显提高,安全服务调度框架可以有效解决多租户安全资源的分配和强占问题。     

PPStream点播系统主动测量方法与用户特性分析

采用被动测量技术分析了PPStream点播系统的节点发现和分发协议,研究了视频缓冲图（Buffer-Map）的结构特点和主要功能,在此基础上设计并实现了一款用于获取PPStream点播节目用户Buffer-Map信息的分布式主动测量爬虫系统,使用该爬虫对PPStream点播系统的用户观看行为进行了分类统计,首次提出了用户观看粘度的概念并做量化统计分析,发现用户观看粘度与平均观看长度成正比,与累计概率曲线斜率成反比。     

网络安全交互式分析系统构建方法

为解决Elastic Search大数据环境下的网络安全交互式分析场景中存在的原生DSL语言语法复杂、多个索引间的关联能力较弱等问题,研究并构建基于Elastic Search的网络安全交互式分析系统.通过一种新的语言CSIAL来简化网络安全分析的操作,利用语句的解析结果去调用相应A PI来实现对网络安全相关数据的基本查询与分析,通过一定方法扩展Elastic Search所不具有的子查询、连接查询等功能,对连接过程进行优化,实现介于安全分析人员与数据之间的交互式分析桥梁.实验结果验证了该方法的有效性.