当期目录

2023年 第9卷 第8期    刊出日期：2023-08-01

上一期   

学术论文

隐私计算关键技术及研究展望

沈传年, 徐彦婷, 陈滢霞

2023, 9(8):  714. 

摘要 ( )   PDF (1814KB) ( )  

参考文献 | 相关文章 | 计量指标

隐私计算作为目前兼顾数据流通和隐私保护的重要技术手段，能在确保数据安全的同时有效打破“数据孤岛”壁垒，实现数据开放共享，促进数据的深度挖掘使用和跨领域融合.介绍隐私计算的背景知识、基本概念以及体系架构，分别阐述隐私计算3种关键技术安全多方计算、联邦学习和可信执行环境的基本概念，对其存在的隐私安全进行研究，并对3种关键技术的差异进行多维度的比较总结.在此基础上，以隐私计算与区块链、深度学习、知识图谱的技术融合为出发点对隐私计算的未来研究方向进行展望.

基于卷积神经网络的加密代理流量识别方法

李敬

2023, 9(8):  722. 

摘要 ( )   PDF (2382KB) ( )  

参考文献 | 相关文章 | 计量指标

提出了一种基于卷积神经网络的加密代理流量识别方法.首先对使用自主部署、自主采集方法捕获的原始加密流量进行流还原操作，然后提取还原后数据流的前N个数据包的前L×L个字节，组成1张(Height，Width，Channel)为(N×L，L，1)像素的灰度图片，作为该数据流的流特征图(stream feature image).此后将全部的样本分成训练集、验证集、测试集，分别输入设计的卷积神经网络模型进行训练、验证和测试.最后，通过选取不同的前N个数据包和包长策略L组合进行实验，测得在N=4，L=40×40时，该模型的最高识别准确率能够达到99.38%，与其他相关同类方法相比，在准确率方面有一定的优势.

基于集成学习策略的网络恶意流量检测技术研究

高源辰, 徐国胜

2023, 9(8):  730. 

摘要 ( )   PDF (2586KB) ( )  

参考文献 | 相关文章 | 计量指标

网络流量是网络攻击的主要载体，对恶意流量识别与分析是保障网络安全的重要手段.机器学习方法已广泛应用于恶意流量识别，能实现较高精度的识别.在现有的方法中，融合模型较单一统计模型更准确，但对网络行为的挖掘深度不足.提出一种面向恶意流量识别的多层次网络特征的堆叠模型MultiStacking，利用网络流量在不同会话粒度的网络行为模式，结合堆叠模型对于多维数据的鲁棒拟合能力，深度挖掘恶意网络行为.通过在CICIDS2017和CICIDS2018数据集上验证多种融合模型的检测能力，综合量化比较各种检测方法，深入分析了MultiStacking检测方法在多类型攻击流量识别场景中的表现.实验结果表明，基于多层次堆叠的恶意流量检测方法可以进一步提升检测精度.

基于机器学习的入侵检测模型对比研究

张鹏飞

2023, 9(8):  739. 

摘要 ( )   PDF (942KB) ( )  

参考文献 | 相关文章 | 计量指标

如今网络威胁不断衍变、隐蔽性越来越强，研究多种机器学习模型在现代流量数据上的入侵检测性能与特性，对提升入侵检测系统的时效性有较大意义.探索采用近些年高效机器学习模型，包括集成学习(如随机森林、LightGBM、XGBoost)与深度学习(如卷积、GRU、LSTM等)模型在公开数据集UNSWNB15上进行入侵检测任务.详细阐述任务流程与实验配置，对比分析不同模型评估指标，得出各模型在入侵检测任务中的特性.实践表明，在10%抽样数据集下，实验模型中二分类任务性能效率最优模型为LightGBM，F1分数为0.897,准确率为89.86%，训练时间为1.98s,预测时间为0.11s;实验中多分类任务最全面的检测模型为XGBoost，F1分数为0.7907，准确率为75.96%，训练时间为144.79s,预测时间为0.21s.

一种数值型的保留格式加密算法

王浩, 李同寒, 张永平, 樊林畅,

2023, 9(8):  745. 

摘要 ( )   PDF (1134KB) ( )  

参考文献 | 相关文章 | 计量指标

对保留格式加密(formatpreserving encryption, FPE)进行了研究，提出一种新的数值型保留格式加密算法，未使用CycleWalking，显著提高了保留格式加密算法的性能.通过明文位数确定分组长度，包括偶数长度和奇数长度，其核心思想是通过构造加法群、有限域、S盒实现混淆和扩散，利用置换算法和跳过算法实现保留格式.密钥扩展算法按照明文的分组长度弹性输出，使用流密码的密钥生成器生成子密钥.用具体实例验证了所提出的算法能正确实现保留格式加密，且不同代数群运算和S盒的非线性变换增加了算法的安全性，安全性分析表明该算法可以达到实际安全性的要求.最后，将提出的算法和NIST提出的FPE算法标准FFX进行了比较，结果表明，对于FFX的一个128b的分组(32位十进制数字)，所提出的算法比FFX快约30倍.

基于联邦学习的车联网虚假位置攻击检测研究

江荣旺, 魏爽, 龙草芳, 杨明,

2023, 9(8):  754. 

摘要 ( )   PDF (2613KB) ( )  

参考文献 | 相关文章 | 计量指标

车联网恶意行为检测是车联网安全需要的重要组成部分.在车联网中，恶意车辆可以通过伪造虚假的位置信息实现虚假位置攻击.当前，针对车联网恶意位置攻击的解决办法是通过机器学习或深度学习的方式实现车辆恶意行为的检测.这种方式需要将数据进行收集，从而引发隐私问题.为解决上述问题，提出了一种基于联邦学习的车联网恶意位置攻击的检测方案.该方案不需要将用户数据进行收集，检测模型利用本地数据和模拟数据进行局部训练，这样即确保了车辆用户的隐私，同时减少了数据传输，节约了带宽.基于联邦学习的恶意位置攻击检测模型使用公开的VeReMi数据集进行训练和测试，并比较了以数据为中心的虚假位置攻击检测方案的性能.通过比较，基于联邦学习的恶意位置攻击检测与传统的以数据为中心的恶意位置攻击检测方案性能相近，但基于联邦学习的恶意位置攻击检测方案在数据传输和隐私保护和检测时延方面却更优.

基于开集识别的恶意代码家族同源性分析

刘亚倩

2023, 9(8):  762. 

摘要 ( )   PDF (2218KB) ( )  

参考文献 | 相关文章 | 计量指标

目前，恶意代码家族同源性分析方法多侧重于闭集分类问题的研究，即假定待测样本一定属于某个已知家族类别.然而真实环境中的恶意代码家族众多，未知类别的家族通常占大多数，采用闭集识别的方法，无法准确识别真实环境中的恶意代码家族.针对上述问题，提出了一种基于开集识别的恶意代码家族同源性分析方法.通过NGram滑动窗口和Doc2vec句嵌入方法将恶意代码可执行文件转换成灰度图像，基于卷积神经网络模型MobileNet获取灰度图像数据的特征，利用Open Longtailed Recognition模型实现恶意代码家族的开集识别.在9个已知类别和9个未知类别恶意代码家族上进行识别，实验结果表明，所提出的方法能够识别出未知类别恶意代码家族，同时在已知类别和未知类别家族上都能保持较高的准确率.

基于不同密码算法的MAVSec安全协议性能研究

靳文京, 郑学欣, 孟玉飞

2023, 9(8):  771. 

摘要 ( )   PDF (2065KB) ( )  

参考文献 | 相关文章 | 计量指标

MAVLink作为无人机与地面控制中心之间的轻量化通信协议，具有配置方便、调用简易的优点.无人机和地面控制中心之间通过MAVLink建立双向通道，传递控制信息和状态位置数据.然而MAVLink不支持加密通信和认证授权机制，具有潜在威胁，存在被攻击的风险.MAVSec协议是由Allouch等人提出的加密版的MAVLink，针对应用不同加密算法的MAVSec协议，分别从加密传输时延、内存占用和CPU损耗方面评估了我国商用密码算法和国外密码算法的性能.实验结果表明，与其他加密算法相比，我国商用密码算法中的ZUC算法在传输命令数据时具有更好的性能和效率，占用CPU和内存资源更少，将ZUC算法应用到MAVLink中可以在不影响性能的情况下提升通信的安全性，最大程度地节约无人机计算资源和电池损耗.

“个人信息权”理论体系之重述——以霍菲尔德权利理论为指引

李晓磊, 吴勇

2023, 9(8):  777. 

摘要 ( )   PDF (957KB) ( )  

参考文献 | 相关文章 | 计量指标

“个人信息权”作为数字经济的基石性概念，迄今尚未被我国法律所确认.学界关于“个人信息权”的研究仍处初始阶段.霍菲尔德权利理论是权利分析领域极具影响力的学说.因此，在霍菲尔德权利理论指引下，结合《中华人民共和国民法典》《中华人民共和国个人信息保护法》等相关规定，重述“个人信息权”理论体系.在该体系中，个人信息权的权利主体应归属于自然人；权利客体为个人信息；个人信息权内容是由信息支配权、信息知情权、撤回同意权、信息更正权、可携带权、限制处理权、信息删除权等组成的权利集合.当个人信息主体享有相应的权利(right)、特权(privilege)、权能(power)和豁免(immunity)的同时，个人信息处理者承担与之相应的义务(duty)、无权利(noright)、无能力(disability)和责任(liability).

技术应用

基于DNAAA的5G专网接入安全管控方案研究及应用

董芸, 何余锋, 王菲, 林锋

2023, 9(8):  784. 

摘要 ( )   PDF (1954KB) ( )  

参考文献 | 相关文章 | 计量指标

5G安全是5G高质量发展的重要基础和坚实保障，5G融合应用安全策略需满足业务多样化、差异化的需求，运营商可以将5G安全能力开放给行业客户，赋予行业客户自主安全管控的手段，促进5G行业应用规模化发展.首先介绍了5G专网发展现状，分析了5G专网接入安全管控需求及实现方案的现状，提出了基于数据网络认证授权计费(data networkauthentication, authorization, accounting, DNAAA)的5G专网接入安全管控方案，包括组网方案和系统能力，最后介绍了该方案在校园、金融、电力、工业4个行业场景的应用实践，并测试验证了方案的有效性和可行性，为5G专网的接入安全管控能力的建设提供了有益参考.

容器镜像安全风险与防护研究

陈妍, 张福, 胡俊

2023, 9(8):  792. 

摘要 ( )   PDF (1788KB) ( )  

参考文献 | 相关文章 | 计量指标

在企业加快数字化转型的过程中，为持续深化产业数字化转型进程，越来越多企业采用容器技术提高业务生产效率和扩展性.容器镜像包含打包的应用程序及其依赖关系，以及启动时的进程信息，是容器运行的基础.但容器镜像也存在诸多不安全因素.为了从源头上解决问题，减少容器运行后面临的各类安全风险与威胁，需要实现对容器镜像的全生命周期管理.首先调研了容器镜像给应用程序开发、部署带来的优势，分析了容器镜像所面临的安全风险，在此基础上，提出了从构建、分发、运行3阶段的容器镜像安全防护关键技术，并研发了容器镜像安全扫描工具，能够对采用容器技术的应用程序和底层基础设施进行容器镜像扫描，具有良好的实践效果，能够帮助企业实现全生命周期的镜像安全防护.

基于多方安全攻防博弈的民航旅客隐私数据保护模型

马龙, 张乐, 寇猛, 董睿

2023, 9(8):  799. 

摘要 ( )   PDF (2285KB) ( )  

参考文献 | 相关文章 | 计量指标

针对民航旅客隐私数据泄露概率高与保护效率低的问题，提出了一种基于多方安全攻防博弈的民航旅客隐私数据保护模型.首先，根据多方安全攻防博弈理论，探讨了攻防博弈双方理性选取策略需求，设计一种理性攻防双方安全计算协议，解决攻防博弈双方计算效率低的问题；其次，根据理性多方安全计算协议，设计多方安全攻防博弈的民航旅客隐私数据保护流程和模型框架，分析民航旅客隐私数据保护过程；最后，布设旅客隐私数据攻防场景的网络拓扑结构，选取500个攻击者和100个防御者，对民航旅客隐私数据库进行100次随机攻击，将重复50次的攻击结果与传统隐私数据保护模型和基于博弈论的隐私数据保护模型进行比较.结果表明：随着攻击次数的增加，该模型的泄露概率相较于传统隐私数据保护模型和基于博弈论的隐私数据保护模型的泄露概率显著降低，隐私数据保护的有效性明显增加.

交通运输政务数据分类分级方法研究

白紫秀, 王涛, 郭明多, 曹剑东, 尚赞娣

2023, 9(8):  808. 

摘要 ( )   PDF (1008KB) ( )  

参考文献 | 相关文章 | 计量指标

为了促进政务数据开放共享，提升数据安全能力，政务数据资源的分类分级亟待解决.总结国内外政务数据分类分级经验，采用面线结合的混合分类方法搭建交通运输政务数据分类框架；并基于数据安全风险分析的数据分级方法，形成数据分级模型，通过引入实际数据验证方法的效果.交通运输政务数据分类分级方法能够有效协助行业相关部门开展政务数据分类分级和重要数据保护，促进行业数据安全治理水平和安全防护技术进步.

面向小微企业的区块链技术征信新模式探索

靳军, 蔡维德, 乔亚男, 薄钧戈, 李洁,

2023, 9(8):  814. 

摘要 ( )   PDF (19190KB) ( )  

参考文献 | 相关文章 | 计量指标

我国征信行业普遍存在小微企业贷款难、风控管理难、数据市场监管难等困境，而当前一些先进征信实施模式的有效数据共享和风险管控模式具有启示意义.在调研我国征信情况和现有征信系统的基础上，分析了典型征信模式的特点及其推广中遇到的困难，提出了将“互链网+智能合约+预言机”的新型区块链技术与当前模式相融合，针对典型征信模式设计了适用于全国推广的区块链征信新模式框架和征信业务流程，在保护数据隐私的前提下提高数据透明度，保障穿透式监管，能有效解决小微企业的征信服务难题.