信息安全研究

Select

1. ChatGPT在网络安全领域的应用、现状与趋势

张弛, 翁方宸, 张玉清,

信息安全研究 2023, 9 (6): 500-.

摘要（372）

PDF （2555KB）（329）

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力，不仅在各行各业受到巨大的关注，而且为网络安全带来新的变革.目前，ChatGPT在网络安全领域的相关研究仍处于起步阶段，为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况，归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先，概述了大型语言模型技术的发展，并对ChatGPT的技术及其特点进行了简要介绍；其次，从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应，包括漏洞挖掘、利用和修复，恶意软件的检测和识别，钓鱼邮件的生成和检测以及安全运营场景下的潜在用途；再次，深入剖析了ChatGPT在网络安全领域中的伴生风险，包括内容风险和提示注入攻击，并对这些风险进行了详细分析和探讨；最后，从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望，指出了ChatGPT在网络安全领域的未来研究方向.

参考文献 | 相关文章 | 多维度评价

Select

2. 5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

信息安全研究 2023, 9 (4): 331-.

摘要（494）

PDF （1197KB）（279）

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

参考文献 | 相关文章 | 多维度评价

Select

3. 人工智能的安全风险与隐私保护

张玉清

信息安全研究 2023, 9 (6): 498-.

摘要（198）

PDF （472KB）（243）

随着信息技术和网络社会的快速发展，人工智能技术已经广泛应用于各个领域，包括医疗保健、金融、交通、军事等，这些领域的安全问题直接关系到人们的生命财产安全.然而，在使用人工智能技术实现智能化的过程中，也面临着算法安全风险、信息安全风险、数据安全风险、网络安全风险、社会安全风险及国家安全风险.

相关文章 | 多维度评价

Select

4. 新型电力系统数据安全与隐私保护

李建彬, 高昆仑, 彭海朋,

信息安全研究 2023, 9 (3): 206-.

摘要（247）

PDF （513KB）（202）

《“十四五”现代能源体系规划》提出大力构建新型电力系统，推动电力系统向适应大规模高比例新能源方向演进.现阶段，电力系统数字化升级和新型电力系统建设快速迭代，新型电力技术应用和运行模式不断创新，新型电力系统面临的数据安全和隐私泄露问题日益严重.
新型电力系统以传统智能电网为基石,以光伏发电、风力发电等可再生能源发电为综合供给主体,并结合分布式储能系统以及各类复杂的电力设备等.相较于传统电力系统,新型电力系统安全涉及电力流、业务流与信息流的数据安全和隐私保护,数据安全和隐私保护问题成为限制新型电力系统高速发展的约束之一.在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》《中华人民共和国个人信息保护法》等法律法规的要求下，加强新型电力系统政策制度应用和数据安全与隐私保护技术研究，提升系统韧性、弹性和自愈能力，实现核心技术自主可控，构筑新型电力系统稳固的安全防线，是新型电力系统高效建设和长久稳定运行的关键所在.

相关文章 | 多维度评价

Select

5. SQL注入攻击检测与防御技术研究综述

王安琪, 杨蓓, 张建辉, 王瑞民,

信息安全研究 2023, 9 (5): 412-.

摘要（196）

PDF （2612KB）（185）

在互联网+时代，数据是互联网最宝贵的资源，攻击者为获取数据库中的重要数据信息常采用SQL注入攻击方式对数据库进行破坏，数据库安全面临的威胁日益严峻.目前有关SQL注入攻击的研究多集中在传统SQL注入攻击上，而缺乏对于隐蔽性更强、危险性更高的新型高级SQL注入技术的认知及相关检测与防御技术的研究.针对这一现象，从SQL注入技术分类出发对传统和高级SQL注入攻击技术及其技术特点进行分析评价；对现有检测与防御技术归纳总结，并对这些方法的优缺点和防御有效性进行评价；最后针对当前研究领域存在的问题进行梳理，为今后的研究方向给出建议.

参考文献 | 相关文章 | 多维度评价

Select

6. 云计算场景商用密码应用研究

彭浩楠, 唐明环, 查奇文, 王伟忠, 王聪,

信息安全研究 2023, 9 (4): 375-.

摘要（198）

PDF （3447KB）（157）

云计算使用户通过网络获取信息通信技术资源服务，这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此，如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入，分析了云计算的密码应用需求，在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导，有望解决云计算安全关键问题.

参考文献 | 相关文章 | 多维度评价

Select

7. 大模型技术的网络安全治理和应对研究

高亚楠,

信息安全研究 2023, 9 (6): 551-.

摘要（200）

PDF （1101KB）（156）

随着人工智能技术的不断发展，大模型技术已经成为人工智能领域的重要研究方向，ChatGPT4.0和文心一言等的发布快速推进了这项技术的发展和应用.然而，大模型技术的出现也给网络安全带来新的挑战.将从大模型技术的定义、特点和应用入手，分析大模型技术下的网络安全态势，并提出相应的大模型网络安全治理框架，给出大模型网络安全应对步骤，为大模型网络安全保障工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

8. 大型语言模型内容检测算法和绕过机制研究

叶露晨, 范渊, 王欣, 阮文波,

信息安全研究 2023, 9 (6): 524-.

摘要（186）

PDF （1924KB）（154）

近年来，大型语言模型(large language model, LLM)技术兴起，类似ChatGPT这样的AI机器人，虽然其内部设置了大量的安全对抗机制，攻击者依然可以精心设计问答，绕过这些AI机器人的安全机制，在其帮助下自动化生产钓鱼邮件，进行网络攻击.这种情形下，如何鉴别AI生成的文本也成为一个热门的问题.为了开展LLM生成内容检测实验，从互联网某社交平台和ChatGPT收集了一定数量的问答数据样本，依据AI文本可获得条件的不同，研究提出了一系列检测策略，包含基于在线可获取AI对照样本的文本相似度分析、基于离线条件下使用统计差异性的文本数据挖掘分析、基于无法获得AI样本条件下的LLM生成方式对抗分析以及基于通过微调目标LLM模型本身构建分类器的AI模型分析，计算并比较了每种情况下分析引擎的检测能力.另一方面，从网络攻防的角度，针对检测策略的特点，给出了一些对抗AI文本检测引擎的免杀技巧.

参考文献 | 相关文章 | 多维度评价

Select

9. 一种基于Paillier和FO承诺的新型区块链隐私保护方案

李洋, 王萌萌, 朱建明, 王秀利, 王友卫,

信息安全研究 2023, 9 (4): 306-.

摘要（228）

PDF （934KB）（147）

区块链是一种共享数据库，具有高度去中心化和可追溯性等优良特性.然而，数据泄露仍然是区块链交易的一大难题.为了解决这个问题，提出了带变量k的Paillier同态加密(Paillier homomorphic encryption with variable k, KPH)方案，这是一种新型区块链隐私保护策略，使用RSA公钥加密算法隐藏交易信息，利用FO承诺对交易金额的合法性进行零知识证明，并通过Paillier半同态加密算法的加法同态性更新交易金额.与典型的Paillier算法不同，KPH方案的Paillier算法包含变量k，并结合函数L和中国剩余定理，将算法的时间复杂度从O(|n|2+e)降低到O(logn)，使算法解密过程更加高效.

参考文献 | 相关文章 | 多维度评价

Select

10. 基于APT组织攻击行为的网络安全主动防御方法研究

殷树刚, 李祉岐, 刘晓蕾, 李宁, 林寅伟,

信息安全研究 2023, 9 (5): 423-.

摘要（139）

PDF （2792KB）（138）

当前国际形势复杂多变，国内社会转型期不断产生新的社会冲突和矛盾，各敌对势力妄图破坏我国关键信息基础设施，造成不良社会影响.现有基于已发生的网络攻击进行检测防御的防御措施缺乏灵活性，且对防御体系的全面性要求极高.因此，提出一种基于攻击行为的电力行业网络安全主动防御方法.经实验验证，该方法通过对攻击者的攻击行为进行分析，结合 ATT&CK攻击框架模型，针对高级可持续性威胁(advanced persistent threat, APT)组织通过大量跳板节点层层转发进行间断性的攻击尝试，直到找到突破口和跳板节点，在攻击前或者攻击中可能出现行为和结果的问题，提前发现攻击者的各级跳板、组织或个人信息，在攻击者实施踩点阶段提前发现攻击行为，预先阻断，实现了对攻击行为的主动防御.

参考文献 | 相关文章 | 多维度评价

Select

11. ChatGPT安全威胁研究

朱孟垚, 李兴华

信息安全研究 2023, 9 (6): 533-.

摘要（145）

PDF （1801KB）（136）

随着深度学习技术与自然语言处理技术的快速发展，以ChatGPT为代表的大型语言模型应运而生，然而其在诸多领域展现出令人惊讶的能力的同时，也暴露出诸多安全威胁，这引发了学术界与产业界的担忧.首先，介绍了ChatGPT及其系列模型的发展历程、工作模式与训练方式；然后，从用户和模型2个层面总结并分析了当前ChatGPT可能遇到的各类安全问题，并提出应对思路与方案；最后，对ChatGPT以及大型语言模型领域未来如何安全可信地发展进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

12. 数据安全共享技术发展综述及在能源电力领域应用研究

余晗, 梁音, 宋继勐, 李何筱, 奚溪, 原洁璇,

信息安全研究 2023, 9 (3): 208-.

摘要（159）

PDF （2019KB）（136）

数据要素的流通共享与协同应用是数字时代中数据要素市场培育的核心内容，数据安全共享技术能够有效实现数据的安全共享，避免“数据孤岛”现象、隐私泄露事件等.对国内外数据安全共享技术研究成果及进展进行了全面综述.首先，概述了数据安全共享技术的发展与演进历程，然后从技术特点、解决问题、优缺点等方面对比分析了现有数据安全共享解决方案，并总结了其依赖的关键技术及面临的风险挑战；其次，讨论了数据安全共享技术在电力能源交易、电力物联网、电动汽车等能源电力领域典型场景的应用，为能源电力领域数据合规与治理提供新的思路与启示；最后，展望了数据安全共享技术在能源电力领域应用的未来研究方向及发展前景.

参考文献 | 相关文章 | 多维度评价

Select

13. 工业控制系统终端渗透测试应用研究

冯兆文, 马彦慧, 曹国彦,

信息安全研究 2023, 9 (4): 313-.

摘要（446）

PDF （3070KB）（128）

随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

参考文献 | 相关文章 | 多维度评价

Select

14. 重要信息系统数据分类分级的研究与思考

李萌, 李健, 徐平洋, 张荷, 林琳,

信息安全研究 2023, 9 (7): 631-.

摘要（109）

PDF （1882KB）（128）

随着信息技术和网络化发展，围绕数据安全的事件风波也在不断增多，数据作为新的生产要素，确保重要数据的安全尤为重要，《中华人民共和国数据安全法》中明确规定国家建立数据分类分级保护制度，对数据实行分类分级保护.将通过研究我国数据安全管理法规政策，分析数据遭受破坏后的影响程度、影响对象等因素，提出具体的数据分类分级方法，并根据政务数据的行业特点、应用场景等，给出数据分类分级管理下的安全防护治理措施，实现数据在安全防范下的开放性、共享性，给未来政务数据分类分级保护工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

15. 数据安全管理职责划分和追责机制探析

艾龙,

信息安全研究 2023, 9 (1): 73-.

摘要（218）

PDF （1038KB）（127）

强化安全意识和责任意识是做好数据安全管理工作的首要条件，人是数据安全建设中最重要的因素，一切数据安全管理规范和措施都是以人为基础的.从数据安全合规视角出发，依据《中华人民共和国数据安全法》(以下简称《数据安全法》)，充分分析企业数据安全保护义务，创新设计了企业数据安全责任矩阵和数据安全事件追责矩阵，为企业提供建设数据安全合规管理体系过程中各利益攸关方所需的关键职能的设计思路，并依据关键职能给出了切实可行的问责方案，可以为各行业各单位落实《数据安全法》、构建数据安全组织建设和事件问责机制提供充分的参考.

参考文献 | 相关文章 | 多维度评价

Select

16. 数据合规高效流通使用

周辉, 王志海,

信息安全研究 2023, 9 (7): 610-.

摘要（127）

PDF （519KB）（125）

数据作为数字技术的关键要素和新型生产要素，其流通使用在技术进步、经济社会创新发展和公共治理中发挥着日益突出的战略作用.
数据流通使用中面临着数字化转型的各类挑战，也存在着违法违规的潜在风险.能否把该管的管住，积极有效防范和化解之，关系各类数据主体权益，关系国家数据安全；能否把该放的放开，发展利用好数据，关系数字时代经济发展新动能，关系国家竞争新优势.

相关文章 | 多维度评价

Select

17. 数字孪生城市大数据平台数据流转安全模型研究

张帅, 于忠臣, 刘勇, 顾家乐, 冯词童, 杨建, 靳佑鼎, 应志军,

信息安全研究 2023, 9 (1): 48-.

摘要（175）

PDF （3862KB）（124）

数字孪生城市大数据平台可促进智慧城市数据资源集聚，全面推动政务数据与社会数据的跨领域融合应用，打通数据流通通道，避免孤岛，创新数据管理和共享开放体系与数据交易服务体系.针对城市大数据平台数据来源涉及数据格式种类繁多，且应用数据交换需求多样、系统权限体系复杂、跨域延伸不可控等数字孪生城市数据流转过程中面临的安全难点，提出了基于城市大数据平台的数据流转安全框架.以数据分类分级为基础，依据数据安全流转周期与数据治理安全域的时空维度，构建数据安全流转体系，从而解决数字孪生城市数据多源异构、跨网跨平台交换和共享的安全问题.

参考文献 | 相关文章 | 多维度评价

Select

18. 基于GPT模型的人工智能数据伪造风险研究

孙雷亮

信息安全研究 2023, 9 (6): 518-.

摘要（134）

PDF （1887KB）（121）

随着人工智能技术的快速发展应用，人工智能生成内容(artificial intelligence generated context, AIGC)的出现极大地解放了生产力，以ChatGPT为代表的产品风靡全球，其多样化的应用场景催动商业化迅猛发展.以人工智能数据伪造风险为研究目标，将GPT模型作为研究对象，通过分析其已经暴露或出现的安全隐患，重点研究数据伪造可能出现的原因及其实现过程.结合传统网络空间安全、数据安全攻防对抗方法，对基于模型微调导致数据伪造的实践进行了研究，推测人工智能广泛商业化后部分数据伪造利用场景.最后提出应对数据伪造风险的方法和建议，为将来人工智能大规模应用前规避数据伪造风险提供参考.

参考文献 | 相关文章 | 多维度评价

Select

19. 基于区块链可追溯的个人隐私数据共享技术研究

刘萌, 陈丹伟, 马圣东,

信息安全研究 2023, 9 (2): 109-.

摘要（205）

PDF （1327KB）（119）

互联网的个人隐私数据作为及其重要的信息资源，涉及到一系列安全问题.一般采用集中式或者分布式服务器对个人隐私数据进行集中管理，数据存储不透明，容易出现单点故障、信息盗取等问题.将区块链技术与改进的CPABE算法相结合，采用IPFS(inter planetary file system)对隐私数据进行存储，设计了一种基于改进的CPABE算法的策略灵活的可追溯的个人隐私数据共享方案PPSSBC.该方案支持对泄露私钥的恶意用户进行问责，实现了动态访问控制，证明了方案的安全性.实验分析表明该方案是有效的.

参考文献 | 相关文章 | 多维度评价

Select

20. 基于区块链的能源数据共享访问控制方案

余晗, 李俊妮, 刘文思, 宣东海,

信息安全研究 2023, 9 (3): 220-.

摘要（133）

PDF （1400KB）（111）

针对传统的能源数据共享模型中存在的能源企业部门间访问控制中心化、访问透明度低和效率低等问题，提出一种基于区块链的能源数据共享访问控制方案.首先，设计了基于区块链和能源数据分级的访问控制模型，以零信任的“永不信任，始终验证”为原则，将区块链与基于属性的访问控制(attributebased access control, ABAC)相结合，利用区块链智能合约保证访问控制自动可信的判决，利用ABAC实现以属性为决定因素的细粒度访问控制；其次，对能源数据进行分级，体现其资源的隐私程度，设计相应的访问控制策略.实验结果表明，该方案能够保证在大规模访问控制策略下，能源数据实现可控共享.

参考文献 | 相关文章 | 多维度评价

Select

21. 我国的数据治理挑战及其应对

周辉, 孙牧原

信息安全研究 2023, 9 (7): 612-.

摘要（142）

PDF （924KB）（111）

当下，数据在促进经济、社会发展等方面发挥了重要价值，并具有重要的战略意义，对数据的治理也成为我国数字经济发展和数字中国建设中的重要议题和实践方向.通过分析数据确权、数据安全、数据合规、数据流通等方面的难点，明确数据治理面临的制度困境和实践问题，提出数据治理的完善思路，包括保护数据权益、加强合规指导、激发数据市场活力和推动技术赋能等，以期推动我国数据治理进程.

参考文献 | 相关文章 | 多维度评价

Select

22. 隐私计算关键技术及研究展望

沈传年, 徐彦婷, 陈滢霞

信息安全研究 2023, 9 (8): 714-.

摘要（211）

PDF （1814KB）（111）

隐私计算作为目前兼顾数据流通和隐私保护的重要技术手段，能在确保数据安全的同时有效打破“数据孤岛”壁垒，实现数据开放共享，促进数据的深度挖掘使用和跨领域融合.介绍隐私计算的背景知识、基本概念以及体系架构，分别阐述隐私计算3种关键技术安全多方计算、联邦学习和可信执行环境的基本概念，对其存在的隐私安全进行研究，并对3种关键技术的差异进行多维度的比较总结.在此基础上，以隐私计算与区块链、深度学习、知识图谱的技术融合为出发点对隐私计算的未来研究方向进行展望.

参考文献 | 相关文章 | 多维度评价

Select

23. 容器镜像安全风险与防护研究

陈妍, 张福, 胡俊

信息安全研究 2023, 9 (8): 792-.

摘要（54）

PDF （1788KB）（108）

在企业加快数字化转型的过程中，为持续深化产业数字化转型进程，越来越多企业采用容器技术提高业务生产效率和扩展性.容器镜像包含打包的应用程序及其依赖关系，以及启动时的进程信息，是容器运行的基础.但容器镜像也存在诸多不安全因素.为了从源头上解决问题，减少容器运行后面临的各类安全风险与威胁，需要实现对容器镜像的全生命周期管理.首先调研了容器镜像给应用程序开发、部署带来的优势，分析了容器镜像所面临的安全风险，在此基础上，提出了从构建、分发、运行3阶段的容器镜像安全防护关键技术，并研发了容器镜像安全扫描工具，能够对采用容器技术的应用程序和底层基础设施进行容器镜像扫描，具有良好的实践效果，能够帮助企业实现全生命周期的镜像安全防护.

参考文献 | 相关文章 | 多维度评价

Select

24. 全生命周期数据安全管理和人工智能技术的融合研究

张昊星, 赵景欣, 岳星辉, 任家东,

信息安全研究 2023, 9 (6): 543-.

摘要（100）

PDF （1143KB）（108）

数据逐渐成为新型生产要素，我国已将数据安全提升至国家战略高度.随着新一轮科技革命推动和数字化转型不断深化，人工智能技术的发展潜力日益凸显，并逐渐为数据安全管理领域积极赋能.首先，介绍了数据安全全生命周期管理的概念和意义，分析了数据在生命周期各个阶段所面临的安全风险，并进一步论述了传统数据安全管理技术在海量数据处理和攻击手段升级的背景下所面临的问题和挑战；然后，介绍了人工智能为解决这些问题和挑战的潜在优势，并总结了目前比较成熟且典型的基于人工能的数据安全管理技术和应用场景；最后，对人工智能技术在数据安全管理领域未来的发展趋势进行了展望.旨在为数据安全管理领域的研究者和实践者提供有益的参考，推动人工智能在数据安全管理技术领域的创新和应用.

参考文献 | 相关文章 | 多维度评价

Select

25. 跨域管控：数据流通关键安全技术

潘无穷, 韦韬, 李宏宇, 李婷婷, 何安珣,

信息安全研究 2023, 9 (E1): 105-.

摘要（239）

PDF （1450KB）（108）

数据是一种新型生产要素，具备复制成本低、复制不易被察觉、规模化泄露危害大等特点.为保障数据在流通中的安全，避免数据被窃取滥用，保护数据隐私信息，提出了“跨域管控技术”，它能够保障数据持有者在数据离开其运维域后，仍能保持对数据流通全过程的管控权.通过进行数据外循环下安全模型的威胁分析，以TEETPM、密码学技术为基础，构建了一种大规模数据跨域管控的实现方法，为建设复杂高效大规模数据流程枢纽提供技术支撑.

参考文献 | 相关文章 | 多维度评价

Select

26. 基于人工智能和区块链融合的隐私保护技术研究综述

李宗维, 孔德潮, 牛媛争, 彭红利, 李晓琦, 李文凯,

信息安全研究 2023, 9 (6): 557-.

摘要（143）

PDF （1307KB）（107）

随着人工智能和区块链技术受到广泛的关注和应用，基于人工智能和区块链融合的隐私保护技术也备受瞩目.这类技术不仅能够保护个人隐私，还能保障数据的安全性和可靠性.首先，概述了人工智能与区块链，并概括了它们的结合及所衍生出的隐私保护技术.其次，探究了人工智能与区块链融合的隐私保护技术在实际应用中的具体场景，包括数据加密、去标识化、多层次分布式账本和K匿名方法等.此外，还重点评估了基于人工智能与区块链融合的隐私保护系统的5个关键特性，即权限管理、访问控制、数据保护、网络安全和可扩展性.进一步地，对现有系统中存在的不足和原因进行了深入分析，提出一系列改进建议，以期提高人们对数据隐私保护的认识和应对措施.对基于人工智能与区块链融合的隐私保护技术的应用场景及技术方案进行了分类与总结.最后，探讨了基于人工智能和区块链融合的隐私保护技术的发展方向，包括提高效率、安全性等，以实现更完善的隐私保护.

参考文献 | 相关文章 | 多维度评价

Select

27. 基于注意力机制的图神经网络加密流量分类研究

喻晓伟, 陈丹伟,

信息安全研究 2023, 9 (1): 13-.

摘要（130）

PDF （1994KB）（107）

对于加密流量的精确化识别，现有的基于机器学习和基于图的解决方案需要人工进行特征选择或者精度较低.使用一种基于图神经网络的加密流量识别方法，通过将网络流量数据转换为图数据，保留了网络数据流的丰富表示，将网络流量分类问题转换为图分类问题.并设计了一个基于自注意力机制的图分类模型进行加密流量的分类.实验结果表明，该方法对基于安全套接层(secure socket layer, SSL)的虚拟专用网(virtual private network, VPN)加密流量具有较好的分类效果，分类准确率有较大提高.

参考文献 | 相关文章 | 多维度评价

Select

28. 个人信息保护路径的比较研究

朱晶晶

信息安全研究 2023, 9 (2): 146-.

摘要（169）

PDF （1172KB）（106）

从文化比较的视角来看，不同国家或地区对公民个人信息保护的路径有所差异.但是，同处信息时代，受到信息的社会性和分享性特征的影响，个人信息保护路径的目标与倾向又呈现出共性.我国新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中，国家安全主导的思维仍然居于重要地位，在审查过程中，面临着个人信息保护与数据利用的裁量与抉择.借鉴其他国家的有益经验，结合中国的本土国情，我国在审查和解释《个人信息保护法》时，要将公共利益作为标准来衡量保护个人信息权益还是促进信息利用，认清信息的本质，构建信息数据分享流通机制，将信任原则纳入到《个人信息保护法》中，在个人信息保护路径上给出中国方案.

参考文献 | 相关文章 | 多维度评价

Select

29. 政务信息系统商用密码集约化平台设计与实现

白荣华, 魏强, 郭瑞, 刘金,

信息安全研究 2023, 9 (5): 461-.

摘要（130）

PDF （2467KB）（106）

针对电子政务领域密码应用不便捷、不规范、不通用、资源浪费的问题，提出一种体系化、集约化、规范化的技术方案.该方案组合国密SM2,SM3,SM4,SM9算法，形成了集约化的体系框架.将密码基础设施池化，减少信息系统应用密码的负担，提供密码应用统一接口，实现合规、有效、便捷的密码应用.电子政务外网商用密码集约化平台建设试点应用实践表明，该方案可提高密码资源利用率，节省投资，对规模级政务信息系统商用密码应用安全保护具有参考价值.

参考文献 | 相关文章 | 多维度评价

Select

30. 复杂环境下能源企业内网综合防护体系研究

董之光, 帅训波, 冯梅

信息安全研究 2023, 9 (4): 390-.

摘要（115）

PDF （2901KB）（99）

在网络安全威胁愈加复杂多元的背景下，能源企业内网的安全防护能力建设和提升已迫在眉睫.针对企业内网存在的对高威胁可持续性攻击抵御能力不足、横向渗透攻击难以防御以及内网僵尸网络难以根除等问题，对能源企业内网所面临的复杂威胁进行分析，提出了能源企业内网综合安全防护能力建设的体系设计，主要包括提高资产测绘发现能力；建立内网统一准入授权系统；完善内网细粒度安全控制策略；构建攻击识别模型和制度保障人才培养等关键措施.

参考文献 | 相关文章 | 多维度评价

Select

31. 一种基于内生安全的攻击反馈动态调度策略

陈楠楠, 姜禹, 胡爱群, 郭丞,

信息安全研究 2023, 9 (1): 2-.

摘要（108）

PDF （3347KB）（97）

为了提高内生安全机制调度策略的高效性和鲁棒性，设计了一种调度时机与调度数量动态调整方法.该方法首先提出一种调度触发器，使用工作时长与异常反馈2种属性共同控制调度进程的切换，并综合考虑系统异构、冗余等因素设计调度工作的整体流程；然后利用历史攻击反馈信息对问题建模，针对不同攻击场景设计更新计算公式，以动态调整调度机制工作时长、执行体数量等属性值；最后设计一个仿真模拟器模拟不同攻击场景，比较各算法运行效果.仿真结果表明，该方法通过自适应调整来协调应对复杂的内外部环境，为DHR结构提供较好的安全性；同时提高执行体利用率，减少冗余资源浪费，以较低的系统开销实现较高的安全增益，性能优于其他单一策略，具有较强的实用性.

参考文献 | 相关文章 | 多维度评价

Select

32. 漏洞挖掘与威胁检测

刘宝旭, 姚纪卫,

信息安全研究 2023, 9 (10): 930-.

摘要（85）

PDF （510KB）（97）

相关文章 | 多维度评价

Select

33. 基于Stacking集成学习的区块链异常交易检测技术研究

王志强, 王姿旖, 倪安发,

信息安全研究 2023, 9 (2): 98-.

摘要（142）

PDF （4463KB）（96）

摘要为了高效地进行区块链异常交易检测，提出了一种基于Stacking集成学习的区块链异常交易检测方法.首先，采用XGBoost，LightGBM，CatBoost，LCE作为基分类器，采用MLP作为元分类器，设计了MLP_Stacking集成学习算法；其次，利用SUNDO进行数据扩充，解决数据集中严重类不均衡问题；最后，设计多模型联合特征排序算法，生成最优特征子集，将得到的最优特征子集作为MLP_Stacking输入数据集进行分类训练，通过网格搜索优化参数实现模型优化.实验采用Kaggle平台提供的开源数据集，实验结果显示采用SUNDO数据生成方法能有效提高各分类器性能，在此基础上，设计的集成模型训练效果明显优于单个模型.

参考文献 | 相关文章 | 多维度评价

Select

34. 运营商数据安全合规检查技术研究与实践

安鹏, 李宏飞, 高铭, 王世彪, 喻波,

信息安全研究 2023, 9 (7): 643-.

摘要（142）

PDF （889KB）（94）

在全球数字经济发展的大背景下，数据已成为企业的重要资产.我国将数据定位为国家基础战略性资源和社会生产创新要素之一.近年来黑客勒索攻击的泛滥对企业数据安全管理造成很大的数据泄露风险，员工在生产过程中无意识的数据分享操作也是当前企业数据资产泄露的重要途径之一.随着《中华人民共和国数据安全法》的颁布，监管机构把数据安全审查作为运营商行业安全检查的内容.因此基于监管合规性，研究相关检查技术并进行实践，从而帮助运营商增强安全检查能力，保障数据安全，满足合规监管与业务发展需要.

参考文献 | 相关文章 | 多维度评价

Select

35. 中美网络安全漏洞披露与共享政策研究

曹婉莹, 曹旭栋, 葛平原, 张玉清,

信息安全研究 2023, 9 (6): 602-.

摘要（125）

PDF （2305KB）（92）

随着计算机软件系统规模与复杂度的不断增加，针对软件和系统的漏洞攻击愈发频繁，攻击手法也愈发多样.为了避免软件和系统的相关漏洞对国家网络空间安全的威胁，各国相继公布了漏洞管理条例.安全漏洞的正确披露与共享能够帮助安全研究人员及时获悉安全威胁，并通过共享交流节约漏洞修复成本，已成为缓解漏洞安全风险的重要组成部分.介绍了公共漏洞数据库，重点总结了中国和美国网络安全漏洞披露与共享的相关政策法规，给出中国在漏洞披露与共享方面可能存在的问题与应对方法，以便安全研究人员更好地了解和获悉安全漏洞的披露流程及共享的有关规定，保证安全研究人员在法规允许的范围内研究安全漏洞.

参考文献 | 相关文章 | 多维度评价

Select

36. 6G网络安全与隐私保护的研究现状及展望

李玲, 朱立东, 李卫榜,

信息安全研究 2023, 9 (9): 822-.

摘要（80）

PDF （1096KB）（91）

5G网络部署的规模不断增长，虽然与4G相比优势明显，但是局限性也逐渐显现，这也促使针对6G网络技术开展研究.6G网络的复杂性和应用的多样性使得其安全问题更加突出，加上6G网络框架和相关技术很大程度上处于概念状态，其安全和隐私问题当前仍处于探索阶段.对6G安全和隐私研究现状进行分析，指出6G面临的安全挑战，从物理层安全、人工智能(AI)、分布式账本技术(distributed ledger technology, DLT)、边缘计算等方面讨论了6G的潜在安全解决方案，最后对未来研究趋势进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

37. 元宇宙领域潜在安全风险分析

郑丽, 何洪流,

信息安全研究 2023, 9 (5): 490-.

摘要（138）

PDF （1635KB）（89）

元宇宙的诞生与爆发是全球数字化转型加速的结果.其作为网络虚拟化进程的最终形态，成为人类文明演化进程的重要历史性节点.但是元宇宙的发展也带来一系列的安全风险.监管部门对元宇宙的治理需注重与现实社会的嵌套耦合关系，避免成为完全虚拟的梦宇宙.通过对元宇宙政治、社会、文化及网络方面的安全风险分析，提出一些网络治理建议，使得元宇宙成为现实社会的有益延伸和补充.

参考文献 | 相关文章 | 多维度评价

Select

38. 联邦学习的个人信息保护合规分析框架

朱悦, 庄媛媛,

信息安全研究 2023, 9 (2): 162-.

摘要（120）

PDF （2531KB）（88）

联邦学习在个人信息保护意义下的合规分析需进一步完善，尤其需要技术与法律更紧密结合.故建立识别适用规定、定性数据流、识别处理行为、定性主体身份、识别责任义务和合规风险分析6步骤合规分析框架.框架对经典的横向纵向联邦学习架构足以给出具体、与适用规定存在紧密逻辑关系的合规结论；并可推广至其他架构或隐私计算技术合规分析；可融入其他国家或地区的合规要求；有助于满足《中华人民共和国个人信息保护法》对个人信息处理影响评估的要求.最后，基于框架及其分析结论，对联邦学习的个人信息保护标准制定提出建议.

参考文献 | 相关文章 | 多维度评价

Select

39. 基于区块链的电子证照共享方案研究与实现

李国良, 邵思豪,

信息安全研究 2023, 9 (2): 127-.

摘要（97）

PDF （2479KB）（82）

近几年，全国各地均已建设电子证照系统并共享证照数据，简化了企业和群众办事流程.然而，一些风险隐患也日益显现.电子证照存储在数据中心服务器中，当受到攻击时，将导致数据被篡改或删除.若电子证照管理人员操作不规范则会导致存证追溯和审计监督困难.在电子证照验证场景中持证者的隐私信息被过度暴露，存在恶意泄露的风险.将区块链技术与电子证照相结合，借助区块链去中心化同步记账技术，可通过任意部门提供电子证照证明服务；基于区块链可追溯、不可篡改、透明公开的特性，能解决电子证照信息、操作记录安全存储、可信共享、存证追溯的问题；基于智能合约和零知识证明的特点，可以保障个人及企业证照隐私得到有效保护.

参考文献 | 相关文章 | 多维度评价

Select

40. 基于区块链的数据要素资源共享及访问控制方案

王栋, 李达, 冯景丽, 石竹玉, 朴桂荣,

信息安全研究 2023, 9 (2): 137-.

摘要（113）

PDF （1298KB）（82）

数据资源的安全访问是数据要素在产业链中流通的基本要求.属性基加密被广泛应用于细粒度访问控制中来实现数据的安全共享，但存在授权机构单一、信任成本高、访问难撤销、单点失效等挑战.为此，提出了一种基于区块链的数据要素共享及访问控制方案，通过设计访问可撤销的多授权中心的属性基加密算法来提升访问的安全性和灵活性.此外，结合具有防篡改、防伪造、可追溯、可审计等特性的区块链技术保护数据拥有方的权益，降低属性机构之间管理属性的成本.该方案支持属性更新，并且支持无可信授权机构的分布式属性管理，以抵御共谋攻击.分析结果表明，所提出的方案可以实现安全可信的产业链数据共享.

参考文献 | 相关文章 | 多维度评价

全文下载排行