2024年, 第2卷, 第2期 刊出日期:2024-04-30
  

  • 全选
    |
    综述
  • 向夏雨, 顾钊铨, 曾丽仪
    网络空间安全科学学报. 2024, 2(2): 2-17. https://doi.org/10.20172/j.issn.2097-3136.240201
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着网络空间新生威胁日趋复杂多变,攻击方式从单一化向协作化、隐蔽化发展,传统被动式网络安全防御体系受到极大挑战,其面临的一个主要难题是信息获取能力的不对称,导致防御方难以及时掌握和检测协作形式的规模化网络攻击。网络威胁情报(Cyber Threat Intelligence,CTI)记录攻击者的行为特征,通过对攻击线索进行关联分析能够有效地检测和研判复杂网络攻击,是主动协同网络安全防御体系的关键。然而,在威胁情报应用过程中需要提高情报共享的安全性和性能,并解决多源情报格式异构和概念冲突等问题,这引起了学术界和产业界的众多关注。深入调研近年来的相关成果,从情报共享和情报融合两个角度整理已有工作并进行总结,最后指出该领域未来的研究方向。通过梳理和分析现有威胁情报共享和融合的研究概况,推进我国威胁情报应用工作的发展,进一步提升网络空间主动协同防御的能力。

  • 李昌建, 于晗, 陈恺, 赵晓娟, 韩跃, 李爱平
    网络空间安全科学学报. 2024, 2(2): 18-35. https://doi.org/10.20172/j.issn.2097-3136.240202
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    物联网(Internet of Things,IoT)技术的快速发展带来了巨大的市场潜力,同时也带来了安全和隐私问题。传统的安全方法已不能应对新的网络威胁,威胁情报和安全态势感知等主动防御策略应运而生。知识图谱技术为解决威胁情报的提取、整合和分析提供了新的思路。首先回顾了物联网安全本体的构建,包括通用安全本体和特定领域安全本体。接着,梳理了威胁情报信息抽取的关键技术,包括基于规则匹配、统计学习和深度学习的方法。然后,探讨了物联网威胁情报知识图谱的构建框架,涉及数据源、信息抽取、本体构建等方面。最后,讨论了物联网威胁情报知识图谱的应用情景,并指出当前研究面临的挑战,展望了未来的研究方向。

  • 学术研究
  • 马冰琦, 周盈海, 王梓宇, 田志宏
    网络空间安全科学学报. 2024, 2(2): 36-46. https://doi.org/10.20172/j.issn.2097-3136.240203
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着网络攻防对抗日益激烈,威胁情报的深度挖掘与有效利用成为提升网络安全防御策略的关键。针对传统信息抽取技术在训练数据构建和模型泛化能力方面的局限性,提出了一种基于大语言模型(Large Language Models,LLMs)的威胁情报实体及其相互关系抽取框架。借助LLMs的深度语义理解能力,通过提示工程技术准确抽取威胁实体及其相互关系,同时辅以LangChain扩展抽取广度。此外,通过搜索引擎集成提高情报挖掘的时效性和准确性。实验结果显示,该框架在少样本或零样本情境下表现出色,有效减少了误导信息的生成,实现了实时高效的情报知识提取。总体而言,引入一种灵活高效的威胁情报智能化挖掘方法,优化了威胁情报的知识融合过程,提升了网络防御的主动性与先进性。

  • 霍艺璇, 赵佳鹏, 时金桥, 王学宾, 杨燕燕, 孙岩炜
    网络空间安全科学学报. 2024, 2(2): 47-55. https://doi.org/10.20172/j.issn.2097-3136.240204
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    深暗网因其强隐匿性、接入简便性和交易便捷性,滋生了大量非法活动。加密即时通信工具Telegram因强大的匿名保护机制,成为广受欢迎的深暗网威胁活动交流渠道,不法分子在群聊中发布敏感消息或广告,吸引感兴趣的成员私聊具体细节。从监管的角度来看,与不法分子的私聊通信中存在大量有价值的情报,伪装身份与不法分子展开针对性会话来套取有价值威胁情报,而不是在大量无意义消息中抽取有价值情报,有助于提高目标情报收集的质量与效率。针对上述问题提出了一种基于会话机器人的深暗网威胁情报自动套取方法,通过调用会话生成能力优越的ChatGPT自动生成与可疑人物的多轮会话内容,解决人工进行搭话成本高、效率低的问题;利用大语言模型的知识储备与上下文学习能力解决深暗网对话语料不足的启动困难问题。实验表明,此方法能够以高质量的多轮会话自动套取情报,具有现实意义,并为后续开展网络犯罪领域自动化交互的研究工作指引了方向。

  • 赵洋, 王鹏, 于旸, 翟立东
    网络空间安全科学学报. 2024, 2(2): 56-65. https://doi.org/10.20172/j.issn.2097-3136.240205
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着网络安全威胁的不断演进,国内外安全企业纷纷建立了自己的威胁情报平台并提供服务。尽管业界制定了多种威胁情报的标准和规范以促进信息共享,但由于信任、隐私保护、利益分配等问题,实际的共享效果并不理想。针对现有威胁情报共享中存在的问题,提出了一种基于安全事件的威胁情报汇聚方法。该方法利用事件的语义特性重组威胁情报,简化了表达结构,提高了结构化程度,并利用改进的骨架法实现了模型的半自动化构建,提升了构建效率和形式化水平。将构建的威胁情报模型应用于大模型技术的训练与推演,可以有效支持未知情报的挖掘与安全事件的告警。本研究不仅为威胁情报的汇聚和共享提供了新的方法,也为网络安全防御能力的提升贡献了新思路。

  • 杜岩冰, 王晓锋
    网络空间安全科学学报. 2024, 2(2): 66-75. https://doi.org/10.20172/j.issn.2097-3136.240206
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    通过云备份服务和威胁情报的结合,可以显著提升网络安全态势感知与响应能力。随着云网基础设施的不断拓展,数据量呈指数级增长,对云数据采取备份恢复措施成为威胁防御的重要环节。针对虚拟机快照备份等技术存在数据冗余严重、难以适应分布式体系的问题,面向典型的OpenStack与Kubernetes分布式云平台设计了一种基于增量云数据去重的灾备技术。首先,设计了云数据灾备防御体系,以实现对差异性数据类型的覆盖性保护。其次,设计了增量云数据去重技术,提升了备份效率并实现了对备份数据的分布式与分离管理。实验证明,在数据的定期备份中相较于基于Backy2与Duplicacy的云备份方案,基于增量去重的云数据灾备技术在备份时间上分别平均节约了46.57%和41.73%,遭遇威胁进行灾难恢复的时间平均节约了7.23%与43.73%。

  • 贺二路, 吴向博, 刘丽哲, 国晓博, 杨晓鹏, 李皓
    网络空间安全科学学报. 2024, 2(2): 76-85. https://doi.org/10.20172/j.issn.2097-3136.240207
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着网络通信技术不断更新以及服务不断扩展增强,再加上不断增加的互联网设备、应用程序以及服务数量等,网络管理愈加复杂和严峻,同时网络安全事件的发生也更加频繁。网络正常状态下的特征分布通常与异常状态下的特征分布存在显著不同,因此通过构建安全流量基线可以发现网络异常。目前的基线模型大多依赖于人工设计规则,漏报率和误报率过高。引入深度学习技术,提出了一种基于LSTM(Long Short-Term Memory)的动态基线构建方法,同时融合了3个维度的流量特征。此外,由于异常访问和攻击通常被敌手进行加密传输,为保证系统安全运行,需要对加密流量进行细粒度分类,筛选出正常访问应用服务流量。因此,提出一种基于深度学习的加密流量分类技术,通过挖掘流量特征深层表征可实现加密流量的细粒度分类。

  • 郭必桁, 彭扬, 汪向阳, 陈丽蓉, 罗蕾, 赵焕宇
    网络空间安全科学学报. 2024, 2(2): 86-96. https://doi.org/10.20172/j.issn.2097-3136.240208
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    随着汽车的复杂性和连接性不断增加,确保汽车网络安全已成为一个关键问题。传统的基于规则的入侵检测系统难以全面应对复杂且多变的网络攻击问题,为此提出了一种基于威胁情报的汽车攻击检测技术。将获取的开源威胁情报与实时采集的车辆威胁数据相结合,利用威胁情报对汽车遭受的网络安全攻击进行检测和分析。利用知识图谱技术对公开威胁情报进行存储和整合,从而对车辆遭受的网络攻击进行分析,并通过关键词提取和文本相似性分析技术,从开源威胁情报中提取出新的与汽车相关的威胁情报。同时,利用另一个知识图谱来分析从实际车辆获取的实时威胁数据,对车辆所遭受的网络攻击进行检测和识别。通过对威胁情报的利用和分析,构建了一种基于情报的汽车攻击检测技术。

  • 孙泽沛, 王子豪, 潘炜
    网络空间安全科学学报. 2024, 2(2): 97-106. https://doi.org/10.20172/j.issn.2097-3136.240210
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    为了满足加密移动应用流量识别与管理的需求,针对加密移动应用中使用相似的第三方库而导致同质化流量的问题,提出了一种基于图注意力机制的加密移动应用同质流量识别方法。该方法首先将突发中的多条流相互连接构造流量相关图,在图节点中嵌入数据包特征;其次使用门控循环单元对流量相关图节点内部特征进行学习,使用图注意力神经网络对每个图节点的邻居节点进行上下文流量特征的重要性建模,增强对同质流量中上下文流量的关注与学习,达到识别同质流量的目的。考虑真实场景下存在背景流量与待识别移动应用流量同时存在的情况,在所构建的流量识别模型中加入图节点随机扰动和一致性正则化损失来增强模型的鲁棒性。基于公开数据集,通过与相关研究成果进行实验比较,突出了所提出的方法在加密移动应用同质化流量识别方面的性能优化效果。

  • 技术应用
  • 肖新光, 童志明, 李石磊, 陈恩俊
    网络空间安全科学学报. 2024, 2(2): 107-118. https://doi.org/10.20172/j.issn.2097-3136.240209
    摘要 ( ) PDF全文 ( ) HTML ( )   可视化   收藏

    当前,IT治理面临着越来越复杂的网络安全挑战,传统的防御机制已经难以应对日益多变的攻击手段,现有的防御技术也显露出诸多局限性。针对上述问题,从网络安全对抗的核心出发,提出了执行体信誉情报概念。从发布者信誉、内容信誉、行为信誉、位置信誉和分布信誉5个维度进行探讨,结合具体案例分析,展示了基于执行体信誉情报对执行体进行多维度信誉评估的有效性,以及该方法在支持IT治理工作中的关键作用。执行体信誉情报为IT治理引入了新的理论框架和方法论,有助于网络安全从业者更好地识别威胁、制定IT治理策略,从而提高整体安全水平,显著提升防御效果。