Web追踪技术综述

Web追踪技术已经成为信息化时代背景下的研究热点,是对用户进行身份标识和行为分析的重要手段.通过跟进该领域的研究成果,从追踪技术和防御技术2方面分析Web追踪领域的研究与发展现状.首先按照技术的实现方式将Web追踪分为了存储型追踪技术和指纹型追踪技术,分析了当前研究追踪现状.其次按照追踪范围将Web追踪技术分为单浏览器追踪、跨浏览器追踪、跨设备追踪3个不同的层次,分析和讨论特征的获取技术和属性特点,论述特征、关联技术、追踪范围的关系;同时从Web追踪防御技术的形态角度,描述扩展防御、浏览器内嵌防御、防御框架工具和机制、防御对策或环境等不同技术的实现特点和抵御追踪的措施.最后总结现有研究概况,针对性分析Web追踪技术和Web防御技术的优劣势,指出当下面临的问题及可能的发展方向.     

基于贝叶斯知识追踪的网安人才能力智能化评估方法

近年来,网络空间安全形势日益严峻,导致网络空间安全人才(以下简称网安人才)缺口巨大,国家加快网安人才评估的需求愈加强烈.针对当前网安人才能力评估精准度不足的问题,本文提出了一种改进的贝叶斯知识追踪CT-BKT(Cybersecurity Talents Bayesian Knowledge Tracing)模型,通过网...     

GB/T 18336标准推动科研创新发展

<正>国家标准GB/T 18336《信息技术安全技术信息技术安全评估准则》（以下简称“GB/T 18336标准”）等同采用国际安全标准ISO/IEC 15408,是国家信息技术产品安全测评领域的基础性标准。在当前国家着力推进数字中国建设的大背景下,GB/T 18336标准为强化信息技术产品安全性、提升产品国际竞争力、推动科研创新发展、维护国家网络安全起到了重要作用。     

一种无监督的窃密攻击及时发现方法

近年来,窃密攻击成为了最严重的网络安全威胁之一.除了恶意软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻击.在卡内基梅隆大学的CERT内部威胁数据集上进行了实验,结果达到99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有效性和优越性.     

基于Webshell的僵尸网络研究

以Web服务器为控制目标的僵尸网络逐渐兴起,传统命令控制信道模型无法准确预测该类威胁。对传统Webshell控制方式进行改进,提出一种树状拓扑结构的信道模型。该模型具备普适和隐蔽特性,实验证明其命令传递快速可靠。总结传统防御手段在对抗该模型时的局限性,分析该信道的固有脆弱性,提出可行的防御手段。     

软件供应链安全综述

随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。     

僵尸网络发展研究

僵尸网络(botnet)作为最有效的网络攻击平台,给当今互联网安全带来了巨大威胁.虽然近几年关于僵尸网络的攻防技术研究取得了显著进展,然而,伴随着互联网应用的多元化以及通信技术的不断革新,僵尸网络的形态和命令控制机制也在不断发生变化,这给防御人员带来了新的挑战.深入了解僵尸网络运行机理和发展趋势对有效应对僵尸网络引发的安全威胁具有重要意义.以僵尸网络攻击技术为核心,从形式化定义、传播方式、生命周期、恶意行为、命令控制信道方面对僵尸网络机理进行全面介绍,按时间顺序将僵尸网络的发展历程划分为PC攻击和广泛攻击2个阶段,对各阶段的技术特点、行为特性、代表案例以及演化规律进行详细阐述,总结当今僵尸网络防御方法和研究成果,对已有研究遗留的问题和未来可能研究热点进行讨论.     

多源数据融合的物联网安全知识推理方法

近年来,随着物联网（Internet of things, IoT）设备的大规模部署,针对物联网设备的恶意代码也不断出现,物联网安全面临来自恶意代码的巨大威胁,亟需对物联网恶意代码检测技术进行综合研究. 随着人工智能（artificial intelligence, AI）在计算机视觉和自然语言处理等领域取得了举世瞩目的成就,物联网安全领域也出现了许多基于人工智能的恶意代码检测工作. 通过跟进相关研究成果,从物联网环境和设备的特性出发,提出了基于该领域研究主要动机的分类方法,从面向物联网设备限制缓解的恶意代码检测和面向性能提升的物联网恶意代码检测2方面分析该领域的研究发展现状. 该分类方法涵盖了物联网恶意代码检测的相关研究,充分体现了物联网设备独有的特性以及当前该领域研究存在的不足. 最后通过总结现有研究,深入讨论了目前基于人工智能的恶意代码检测研究中存在的问题,为该领域未来的研究提出了结合大模型实现物联网恶意代码检测,提高检测模型安全性以及结合零信任架构3个可能的发展方向.

     

基于网络行为的攻击同源分析方法研究

网络攻击威胁日益严峻,攻击溯源是增强防御能力、扭转攻防局势的重要工作,攻击的同源分析是溯源的重要环节,成为研究热点。根据线索类型的不同,攻击同源分析可以分为基于恶意样本的同源分析和基于网络行为的同源分析。目前基于恶意样本的同源分析已经取得了较为显著的研究成果,但存在一定的局限性,不能覆盖所有的攻击溯源需求,且由于恶意代码的广泛复用情况,使得分析结果不一定可靠;相比之下,基于网络行为的同源分析还鲜有出色的成果,成为溯源工作的薄弱之处。为解决现存问题,本文提出了一种基于网络行为的攻击同源分析方法,旨在通过抽取并分析攻击者或攻击组织独特的行为模式而实现更准确的攻击同源。为保留攻击在不同阶段的不同行为特征,将每条攻击活动划分为5个攻击阶段,然后对来自各IP的攻击行为进行了4个类别共14个特征的提取,形成行为特征矩阵,计算两两IP特征矩阵之间的相似性并将其作为权值构建IP行为网络图,借助社区发现算法进行攻击社区的划分,进而实现攻击组织的同源分析。方法在包含114,845条告警的真实的数据集上进行了实验,凭借实际的攻击组织标签进行结果评估,达到96%的准确率,证明了方法在攻击同源分析方面的有效性。最后提出了未来可能的研究方向。     

2010年安全漏洞态势分析与展望

本文回顾了2010年重大安全漏洞及相关安全事件,总结了全年安全漏洞的整体形势,并对安全漏洞的五大特点进行了分析。同时,对未来安全漏洞的发展趋势进行了展望,在此基础上提出了一些预防安全漏洞的建议。