2023年, 第1卷, 第1期 刊出日期:2023-08-30
-
全选|
-
网络空间安全科学学报. 2023, 1(1): 1-16.
面对日益严峻的国际网络空间形势,为解决受制于人的问题,文章首先从安全可信的三层防护体系框架、四要素可信动态访问控制、“五环节”“六不”等角度系统阐述了以科学网络安全观构建网络空间安全保障体系。然后介绍了基于可信计算3.0的网络空间主动免疫积极防护体系架构。接着提出了网络安全等级保护制度需全面建设、全程防护的要求。最后详细介绍了云计算、工控系统、物联网等新型关键设施系统可信安全架构,以等级保护制度为基础,筑牢关键信息基础设施高强度防护为核心的网络安全底座。
-
网络空间安全科学学报. 2023, 1(1): 17-37.
为解决“数据孤岛”和隐私泄露问题,联邦学习将训练任务部署在多个客户端进行本地训练。然而,分布式训练环境易受拜占庭攻击,拜占庭敌手可以同时控制多个客户端,并以投毒方式直接影响全局模型性能。针对联邦学习中的拜占庭攻击和防御进行全面分析和总结,首先根据有无梯度保护将联邦学习分为普通联邦学习和隐私保护联邦学习,介绍了联邦学习在拜占庭攻击方面面临的威胁和挑战,梳理其安全模型中的敌手能力和攻击策略。然后根据技术路线对现有防御策略进行分类和对比,并分析可扩展到安全隐私联邦学习中的技术路线。最后,对几种实际情况下的拜占庭防御策略进行展望。
-
网络空间安全科学学报. 2023, 1(1): 38-46.
可证安全隐写追求由来已久,但是由于缺乏可精确采样的载体,导致可证安全隐写的发展沉寂多年,生成模型的快速发展和生成数据的广泛传播给可证安全隐写带来新的技术手段和伪装环境。文章首先从隐写的经验安全与可证安全的区别出发,引出了可证安全隐写的定义;然后介绍了可证安全隐写的理论与经典构造,并给出了生成式人工智能环境下可证安全隐写的现实构造,在总结基于样本索引的可证安全隐写方法的基础上,介绍了基于分布副本索引的新型隐写构造;最后,文章展望了可证安全隐写的发展趋势:包括公钥隐写和协议,以及在性能无损生成数据水印方面的应用。
-
-
网络空间安全科学学报. 2023, 1(1): 59-80.
网络威胁情报是通过及时收集与组织网络安全相关的内部及外部威胁信息而综合分析出的可指导组织应对当前网络威胁的知识,可极大提升组织的网络安全防御效率。其中一种威胁情报是通过收集互联网上的多源威胁信息后综合分析生产出来的,即开源威胁情报,其可以识别和分析潜在的网络威胁、恶意活动和攻击趋势等,具有极高的应用价值。然而,在开源威胁情报生产过程中,需要克服开源情报信息非结构化表达、多源情报间表达异构和内容冲突等困难,这吸引了学术界和产业界的众多关注。鉴于此,文章首先深入研究近年来网络威胁情报的行业报告、白皮书以及学术成果,归纳出开源威胁情报生产及应用框架。其中,开源威胁情报生产过程中首先对情报可靠性进行评估,还负责实现非结构化威胁信息中的情报抽取以及多源情报间存在的表达结构及内容冲突处理,情报应用则覆盖威胁狩猎、应急响应以及威胁归因的全防御生命周期。因此,文章从威胁情报抽取、情报冲突处理和情报应用研究三个方面整理已有研究成果并进行总结。具体地,现有研究首先从定性和定量两个方向对情报质量进行评估,再通过各种技术从多个信息来源中抽取出多种类型的情报,但抽取类型及情报来源多是定制化的、片面的。关于异构情报消冗的研究成果较少,情报内容的不一致性检测则受到越来越多的关注,但大多集中于如漏洞影响产品、情报披露时间等非语义信息情报的不一致性检测上。研究人员还专注于将生产的威胁情报进行关联应用,但未考虑生产出的威胁情报的完整性。最后,文章指出开源威胁情报生产与应用的未来研究趋势,即自动化威胁信息全面抽取、语义威胁情报的对齐与不一致性研究、基于已有知识的情报完整性提升研究以及情报应用自动化技术研究等方面。文章期望通过梳理和分析已有的开源威胁情报生产和应用研究概况,推进我国开源威胁情报生产和应用工作的发展,实现网络安全整体防御能力的提升。
-
网络空间安全科学学报. 2023, 1(1): 81-89.
机密计算环境的构建与使用,是保障信息数据安全的重要技术手段。然而,现有的机密计算环境的形成,其信任锚点来自硬件处理器,机密计算环境的构成依赖于缺乏可证明安全的软件栈实现。近年来包括各大主流CPU厂商的硬件安全漏洞频现,各种针对现有机密环境构造弱点的攻击频发,都给依赖机密计算环境的各种安全应用和数据带来严重威胁。可信计算是一种将可信根作为信任锚点,以可信度量为手段,用信任链方式构造可信执行环境的安全方法和技术,将可信计算技术用于机密计算环境构建,可以有效解决上述安全问题。文章从可信的角度提出了一种构造自主可控的机密计算环境的新思路。可信锚点的服务是保障机密计算环境安全的前提,在可信锚点之上建立具有内存隔离等特性的机密计算环境。文章研究的完成,将有效解决现有机密计算场景的安全威胁,提升具有自主可控关键基础设计的能力。
-
网络空间安全科学学报. 2023, 1(1): 90-105.
随着云计算和边缘计算等技术的持续发展,互联网架构已经从传统的端到端的二元架构逐步演变为端边云三级架构模式,且流量规模与节点数量持续增加。高速端边云网络中不同层次的节点在功能、性能、数据覆盖面上高度异构。现有加密流量识别方法主要着眼于单点下的流量分类,缺乏智能性与多点协同分类能力。而态势感知方法多依赖设备日志数据进行分析,视野局限且效果不佳。针对以上问题,文章提出在高速端边云网络环境下将加密流量识别与态势感知相结合的网络安全架构。其包含面向高速端边云网络的多智能体协同方法,端边云协同的加密流量应用分类方法,面向新型网络的协议智能分析方法和加密网络行为态势感知方法。实验表明,该架构可以综合多源网络情报数据,实现大规模网络安全态势感知。
-
网络空间安全科学学报. 2023, 1(1): 106-117.
智慧家庭随着物联网技术的不断发展逐步普及,越来越多的智能门锁、监控摄像头、智能门铃等设备被用户安装用于保障个人财产安全与个人隐私。为了评估智能门锁上PIN码认证机制的安全性,文章提出了一种针对常见智慧家庭场景的基于视频的侧信道攻击方案。在该方案中,为攻击者设立了合理的能力,并对PIN码长度、门与门之间的距离等因素进行了综合分析。为验证该方案,搭建了一个仿真实验场景,并邀请了10名受试者参加实验。实验结果表明,文章所提出的方案在可以实现自动化识别与分析过程的同时,在常用社交距离对用户的PIN码解锁行为实施基于视频的侧信道攻击可达到5次尝试内86.6%的推断准确率,在中等距离对用户的PIN码解锁行为实施基于视频的侧信道攻击可达到5次尝试内50%以上的推断准确率。
-
网络空间安全科学学报. 2023, 1(1): 118-128.
飞去来器分析方法作为对称密码算法研究的一种重要的分析手段,已经针对国际重要密码算法AES、SKINNY等给出具有影响力的分析结果。在近几年的飞去来器攻击中,研究者常常把算法分成三个部分,E=E1°Em°E0;Em部分的介入能够有效地考虑到两条短轮数差分拼接起来时的依赖性。 但是现存的方法中忽略了Em部分上下差分之间存在的不对称关系,即经常假设Em头部两个输入差分相等,尾部亦然,这样使得最终的飞去来器区分器概率计算偏小。同时目前并没有一种行之有效的方法,来全面计算非对称状态下多轮Em的概率;文章基于这个目标,设计了一种新的实验方法来评估Em部分的概率,该方法能够同时考虑对称状态和非对称状态下多轮Em部分的概率;为验证该新型实验方法的合理有效性,文章给出实验结果,结果显示能够提升原有飞去来器区分器中间部分的概率。具体来讲,在相同的数据量下,新方法测试Em概率的速度约是原来方法测试速度的 500 倍,使得原来不可能实现的计算变为可能。利用该新型实验方法,文章把CRAFT算法飞去来器区分器的概率提升1.2倍,并利用此区分器给出该算法矩形攻击的最优结果。
