2023年, 第1卷, 第3期 刊出日期:2023-12-30
  

  • 全选
    |
    “加密流量测量”专题
  • 魏子钧, 程光, 陈子涵
    网络空间安全科学学报. 2023, 1(3): 3-12.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    网页指纹攻击可获取HTTPS网络流量中的信息,进而泄露用户隐私。研究网页识别有助于发现当前加密协议存在的安全漏洞,这对于改进用户隐私保护策略具有重要意义,同时也有助于提升网络服务提供商的网络管理水平。目前的网页识别研究并未充分考虑应用层特征,且忽视了实际的网页浏览场景(如浏览器缓存机制)。鉴于HTTPS协议栈和网页加载方式的特性,研究提出了一种利用应用数据单元的二阶段网页识别方法Penetrator。应用数据单元特征还原增强了HTTPS流量中的应用层信息的利用率,以应用数据单元长度序列为特征进行网页识别。通过理论分析和实验验证,证明了应用层特征对于加密网页识别的有效性。实验表明,Penetrator能够有效消除HTTPS协议栈引入的误差,提取协议误差率低于0.98%的应用数据单元长度序列。通过与现有方法的对比,证明了Penetrator在网页识别中的优越性。

  • 孙泽沛, 陈江涛, 王子豪, 潘炜
    网络空间安全科学学报. 2023, 1(3): 13-24.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    加密移动应用网络流量的准确分析与有效识别,是网络管理、信息监管、安全检测的重要前置条件,对网络空间安全与治理具有重要意义。为了对加密移动应用流量进行有效识别,提出了一个基于多维特征学习的加密移动应用流量分类方法。该方法首先从移动应用流量中提取传输层负载特征和会话交互特征,然后建立多维特征深度学习模型,利用卷积神经网络学习负载数据中的空间特征、长短时记忆网络学习负载数据中的时序特征以及利用图卷积神经网络学习移动应用的会话交互特征,进一步实现多维特征的拼接融合,达到加密移动应用流量的分类识别目的。基于加密移动应用数据集,实验验证了所提出的方法在加密移动应用流量分类方面的性能优化效果。

  • 张辉, 高博, 刘伟伟
    网络空间安全科学学报. 2023, 1(3): 25-34.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着以Tor over VPN为代表的隧道化匿名网络技术的逐渐流行,对其承载服务的识别能进一步增强对恶意网络行为流量的意图识别,对网络空间安全治理具有显著意义。现有研究缺乏针对Tor over VPN流量承载服务类型的识别,因此提出一种基于自注意力卷积循环神经网络的Tor over VPN流量承载服务识别方法。首先,对Tor over VPN流量样本进行包级别时空特征提取,建立多维时空特征集。同时考虑到识别任务中对深层次时空特征的挖掘需求,采用融合自注意力机制的卷积循环神经网络模型,实现对Tor over VPN流量的服务识别。实验结果表明,服务识别的平均准确率达96.2%。

  • 王强, 尹鹏, 刘畅, 乔可春, 胡春卉
    网络空间安全科学学报. 2023, 1(3): 35-43.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    网络流量检测和识别是一个持久的话题,但是对网络流量行为与实体的关联研究较少,流量主体不明。由于加密流量的广泛应用,在安全运营中较难获取对网络通信传输的可见性,而检测网络攻击和异常行为通常需要获取加密流量对应的底层明文信息。在本文中,我们探索了通过进程行为实体运行时采集上下文信息的方式,对加密流量行为测量提供信息增益,实现加密流量的实体行为内视。我们的工作为加密流量的测量和可见性,增加了观测维度,提供精准的平行安全监测和高效的实体行为回溯分析能力,能够在一定程度上缓解网络空间防御视角下的遥测难题,从而有效提高加密流量隐蔽威胁监测的预警能力,并提升威胁实体恶意行为分析工作的回溯取证效率。

  • 康璐, 吉庆兵, 谈程, 罗杰, 倪绿林
    网络空间安全科学学报. 2023, 1(3): 44-51.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    加密流量分类是识别加密流量背后运行的服务、应用、协议等方面的技术,以提高网络服务质量或提供网络安全保障。主流的加密流量分类方案通过在大规模数据集上进行训练实现可靠的分类性能。然而,随着互联网技术的持续发展,网络流量规模、计算节点、网络服务等持续增长,出现大量的针对不同类别的加密流量分类需求,收集并标注足够多的加密流量变得越来越不切实际。因此,研究一种能够利用较少加密流量样本进行准确的加密流量分类,并且能够将模型快速推广的技术至关重要。提出一种基于少样本学习的加密流量分类方法,该方法基于元学习思想对加密流量分类任务进行模拟和优化。此外,利用预训练的卷积神经网络模型作为特征提取器,并基于卷积神经网络中神经元特有的计算结构介绍了一种新颖的参数分解方法,让模型能够快速适应不同任务的数据分布。在文章的最后,设置了N-way K-shot的对照实验,实验表明文章提出的方法在K=10时准确率稳定在98%左右,相较于参考模型能够使用更少样本得到更高准确率。

  • 张凯杰, 刘光杰, 翟江涛, 孟玉飞
    网络空间安全科学学报. 2023, 1(3): 52-58.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    洋葱路由 (Tor,the onion route)网络加密流的关联分析是其追踪溯源的核心技术之一;针对当前基于深度学习的流关联方法存在的时间特征不可靠且初级特征表征能力不强的问题,提出了一种基于时频分析和图卷积神经网络的关联分析方法,该方法使用Tor网络流量的数据包长度信息作为原始特征序列,将数据包的包长度序列通过时频分布函数映射到时频域,并进一步将其嵌入为图结构数据,同时使用图卷积神经网络提取高阶特征,最后将得到的高阶特征输入三元组网络以实现相似流量的关联。实验结果表明误报率为0.1%时,所提方法的关联准确率可达到83.4%,明显优于已有的DeepCorr和Attcorr方法。

  • 汪洋, 梁丁, 查志成, 邱秀连, 彭艳兵
    网络空间安全科学学报. 2023, 1(3): 59-67.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着互联网络的快速发展与应用普及,虚拟专用网络(VPN,virtual private network)技术被越来越多的企业和个人用于规避网络审查,这给网络空间监管与治理带来了巨大挑战,VPN加密流量的识别对于网络空间的治理愈发重要。因此,针对VPN流量识别问题,受VPN软件测速的启发,提出了一种多策略混合VPN节点识别方法,该方法融合了基于随机森林算法的测速单元发现、基于DBSCAN聚类算法的VPN节点推荐以及基于主动探测的VPN节点验证等多种策略,实现了从VPN发现到验证的闭环;在真实千亿级超大规模网络流量元数据集上,对提出的方法进行验证;实验结果表明,基于随机森林算法的分类模型,对测速行为识别的泛化准确率可在90%以上;基于主动探测验证机制对疑似VPN进行验证,准确比例达90.6%;多策略混合VPN识别方法可有效识别VPN节点,为VPN加密流量识别研究提供了新的视角。

  • 综述
  • 李晴雯, 关海梅, 李晖
    网络空间安全科学学报. 2023, 1(3): 68-85.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    隐私集合求交技术(PSI,private set intersection)是一种重要的隐私保护计算协议,用于在不泄露集合数据的情况下,安全地计算两个或多个参与方之间的集合交集。随着互联网和大数据的快速发展,用户对数据隐私保护的关注度不断提高,对于PSI的研究不仅在理论上具有重要意义,而且在实际应用中也具备极高的价值。PSI技术发展迅速且种类复杂多样,了解基于不同密码原语构建的PSI协议及其适用场景以及根据需求选择适当的PSI方案具有重要的实际意义。旨在全面概述PSI及其变体的研究进展和应用领域,并对隐私集合求交技术在实际产品中的应用进行调研。还对现有的主要PSI开源库进行了测试,评估它们的性能和适用性。最后,讨论隐私集合求交技术领域存在的挑战以及未来的发展方向。通过对PSI的全面介绍和深入研究,可以更好地理解该技术的重要性和应用价值,为隐私保护提供更加有效的解决方案,并推动PSI技术在实际场景中的广泛应用和发展。

  • 学术研究
  • 龚子睿, 郭华, 陈晨, 张宇轩, 关振宇
    网络空间安全科学学报. 2023, 1(3): 86-96.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    SM4是中国自主研发的对称密码算法,目前广泛应用于国家政府部门,但其性能问题制约着算法进一步的推广和应用。在现有S盒研究基础上考虑了线性变换L的结构特点,将计算S盒过程中的仿射变换融合至线性变换中,进而提出了新的SM4函数结构。相比于原始的函数结构,提出的新结构在字节切片的适配性上更优,并基于该新结构提出了一种SM4字节切片优化方法,可降低线性部分的开销、提升指令吞吐率。使用GFNI指令集和AES-NI指令集分别实现本文提出的SM4字节切片优化方法,在消耗的指令条数和指令吞吐率方面均优于采用相同指令集的优化方法。实验结果表明,所提出的优化方法采用GFNI指令集的实现速率最高可达到35 947 Mbps,优于公开文献的最好结果30 026 Mbps。在不支持GFNI的处理器上,优化方法可使用AES-NI指令集实现,可以达到5 410 Mbps,因此具备一定的通用性。

  • 张芃芃, 宋宗泽, 彭勃, 董晶
    网络空间安全科学学报. 2023, 1(3): 97-106.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    深度学习模型在深度伪造检测任务中的预测准确度已经取得了很大的提升,但其预测置信度仍不可靠,即模型的校准性有待提升。针对此问题,以公开的弱监督数据增强网络(WS-DAN)为例,验证分析该模型在同分布及不同分布测试数据情况下的校准性,并将蒙特卡洛Dropout和Deep Ensembles两种校准性提升方法在人脸深度伪造检测任务中应用,以验证这2种方法的有效性。首先训练了用于检测深度伪造人脸图像的弱监督数据增强网络,分析了弱监督数据增强对模型检测效果的影响。然后对比了不同校准性提升方法对模型预测准确性与校准性的影响。最后在DFDC、Celeb-DF和FF++ 3个数据集上进行了实验,使用AP指标评测模型预测准确度,并使用Log Loss与ECE指标评测模型预测的校准度,进行了大量实验对比与分析。实验表明,弱监督数据增强能够使得模型关注到输入图像的细节信息,从而给检测结果的准确性和校准性带来显著提升。Deep Ensembles方法能够使模型的表现随着所集成网络的数量增加而加强,更能够减少模型预测中错误但非常确定的情况发生,使得模型的校准性得到有效提升。

  • 彭浩, 苏丁力, 李昂生, 苏剑林, 孙硕
    网络空间安全科学学报. 2023, 1(3): 107-125.
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    图神经网络已成为当前图结构数据表示学习最常用的方法,在各层级的图结构数据表征、应用及分析任务上都取得了显著的效果。图神经网络学习到的嵌入融合了结构特征和节点语义。按照不同粒度的嵌入对象划分,图神经网络方法被分为节点级、子图级和整图级表示学习方法,也对应不同的下游应用任务。尽管如此,现有的图神经网络模型在嵌入维度设定上,仍依赖工程化的人工经验探索方法,缺乏有理论性依据指导的可计算方法,导致图神经网络表示学习模型在下游应用中往往效果欠佳。本文基于结构熵极小化原理,提出了一种全新的可解释的图神经网络模型嵌入维度估计的理论和方法框架。对于节点级嵌入的图神经网络模型,该框架同时考虑结构熵和节点属性熵,为所有节点的嵌入向量给出一套统一的最优维度估计。对于整图级嵌入或子图级嵌入的图神经网络模型,该框架除了考虑上述两类熵还考虑了图样本间的差异性,为不同复杂度的图样本提供个性化的最优嵌入维度估计。在18个图结构数据集上开展了丰富的下游应用实验,验证了所提框架在图学习分类应用中均有效和稳定地提升了精度,充分证实了所提图神经网络嵌入维度估计的理论和方法的正确性。