首页期刊导航|信息安全学报
期刊信息/Journal information
信息安全学报
信息安全学报

双月刊

信息安全学报/CSCDCSTPCD北大核心
正式出版
收录年代

    基于GPU的椭圆曲线运算库及相关算法优化

    高钰洋张健宁王刚苏明...
    1-16页
    查看更多>>摘要:在区块链场景下,往往需要引入数字签名、零知识证明等密码学算法以保护数据安全性与用户隐私.但由于这些算法依赖于大量的大数与椭圆曲线运算,包括范围证明在内的许多密码学算法已经成为了区块链系统的性能瓶颈.而密码学算法的GPU优化也在近几年获得了广泛的关注与研究.本文充分利用GPU作为众核处理器的优势,设计了基于GPU的椭圆曲线运算库.在运算库中,本文在GPU上实现并优化了常用的椭圆曲线运算与大数运算,同时针对不同的需求设计了不同的实现与接口.本文对寄存器与常量内存等存储空间进行了合理分配,并通过利用预计算等优化手段减少了计算量,从而最大化了运算库的吞吐与性能.为了验证运算库的实用性与有效性,本文利用该运算库实现了代理重加密与Bulletproofs范围证明的验证算法,同时充分利用了算法的内部并行性进行优化.实验表明,本文实现的运算库在各个运算中都取得了远超于OpenSSL等常用CPU端运算库的性能.基于该运算库实现的代理重加密算法相比CPU实现能达到最高145倍左右的加速比,Bulletproofs范围证明验证算法相比于CPU端实现也能达到5.57倍左右的加速效果,平均证明验证时间在1 ms内,可以满足数字货币隐私保护场景下超过每秒2000笔交易的性能需求.可见该运算库能为区块链系统隐私保护等对密码学计算具有高吞吐需求的场景提供坚实支持.

    椭圆曲线图形处理单元统一计算架构范围证明代理重加密

      原文链接:
    • 维普
    • 万方数据

    基于大语言模型的小样本日志异常检测

    袁紫依张昊星张媛媛伍高飞...
    17-27页
    查看更多>>摘要:随着系统复杂性的增加,日志规模也越发庞大,人工对其分析已经变得不切实际.许多研究者提出了深度学习方法与日志异常检测相结合.然而,这些方法也面临着一些挑战,现有的基于深度学习的日志异常检测方法通常存在训练开销大、依赖于高质量训练数据以及需要定期重新训练等问题.最近,大语言模型在许多领域如机器翻译、语言理解等领域展现出了强大的实力.因此本文将大语言模型与日志异常检测相结合,通过利用大语言模型丰富的预训练知识,提出了一种高效且无需微调的小样本场景下的日志异常检测方法.该方法首先采用分层次聚类,从大量的正常日志中,提取出一个小的、多样的、具有代表性的正常日志消息合集作为候选集,可以反映出正常日志的广泛模式.同时采用基于解释的提示学习,解释候选集中的每一条正常日志被判定为正常的原因,增强模型对正常日志模式的理解.同时,依据不同日志数据集的特征,采用基于思维链的提示策略,为不同的数据集构建了特定的提示模版.此外,本文设计的提示模版在零样本场景下也能有效地进行日志异常检测.与现有日志异常检测方法相比,该方法只需要极少量的训练数据,就可以达到较高的准确度,极大地减少了模型训练的开销,且当日志进行大规模更新时,也无需重新训练模型.为了评估该方法的性能,使用两个公共数据集验证模型的有效性,本文提出的方法在BGL、Spirit数据集上的F1分数分别为81.54%和96.55%,且在两个数据集上的召回率分别为95.00%和97.77%,本文提出的方法在2种数据集上都有着较高的召回率和F1值.实验表明,只需要极少量训练数据的情况下,本文提出的方法可以有效实现日志异常检测.

    异常检测深度学习大语言模型ChatGPT

      原文链接:
    • 维普
    • 万方数据

    面向多样化编译环境的恶意代码同源性分析

    刘昕仪彭国军刘思德杨秀璋...
    28-42页
    查看更多>>摘要:随着恶意样本数量的急剧增加,为减少人工溯源的工作量,恶意代码同源性分析研究的重要性日益凸显.然而,攻击者在复用恶意代码时,需针对不同的攻击场景设置特定的编译环境,这会造成同源二进制在语法和结构层面存在很大差异,降低恶意代码同源性分析的准确率.为解决此问题,本文通过分析编译环境对二进制生成带来的影响,实现了一个准确、无监督、高效的恶意代码同源性分析方案.本文采用二进制提升与重优化技术将其统一到中间表示层,一定程度上消除语法、结构层面的改变.针对传统CBOW模型学习代码单词语义的不足,提出指令级的上下文语义学习方案,并考虑到出现上下文无关指令的小概率事件,结合SIF模型计算基本块特征向量.此外,针对恶意代码中库函数和字符串包含敏感信息更丰富的特点,本文提出基本块初始匹配集合的建立算法,在 K-Hop 贪心匹配算法和线性匹配算法的基础上,进一步提高了恶意代码同源性分析的准确率.实验表明,对于开源恶意代码Mirai,本方案相较于现有的无监督模型和预训练模型,在分析准确性和运行开销两个方面的综合表现更优.同时,对于其他类型的恶意代码,本方案输出的同源性指数均高于本文预先设立的同源性判定阈值,进一步证明其有效性.

    恶意代码同源性编译环境语义学习

      原文链接:
    • 维普
    • 万方数据

    面向数字微流控生物芯片的差分隐私方案

    陈潇董晨
    43-59页
    查看更多>>摘要:近年来,基于数字微流控生物芯片(Digital Microfluidic Biochip,DMFB)的分子诊断技术成为热点研究方向.与传统分子诊断技术相比,数字微流控生物芯片具有精准控制离散液滴、执行生化协议等优势.然而,作为网络物理系统的组成,生物芯片潜在的隐私安全问题日益突出,比如通信信道的窃听攻击,生化协议的篡改攻击,物理结构保护的版权攻击等.差分隐私作为传统数据隐私保护的常用技术可以融入生物芯片应用以保护用户隐私安全.然而,对隐私安全、生物芯片应用以及生物芯片安全三种技术的交叉研究较为少见.调研分析生物芯片应用的实现机制和威胁模型,包括生化协议、网络物理系统及增强隐私保护的DMFB用户数据安全平台,首先在DMFB用户数据平台上描述了拉普拉斯机制、高斯机制和随机响应机制的应用场景和保护方案,其次基于用户层级敏感度、路由权重集合和路由交叉点参数集合这三个策略提出参数安全发布算法,最后创建防篡改概率作为安全性指标,同时建立置信分数、校准度和累计误差率衡量数据可用性.仿真实验结果表明整体方案的隐私安全性可达98%,数据可用性平均可达 93.3%,算法性能试验表明方案最佳的隐私预算为 0.4,此外,对比同类算法,所提方案平均提高了 12.09%隐私安全性和7.02%的数据可用性,因此该方案能够为DMFB执行生化协议安全有效的用户数据平台.

    数字微流控生物芯片生化协议数据安全差分隐私

      原文链接:
    • 维普
    • 万方数据

    基于显著性分析的恶意代码对抗样本生成方法

    詹达之孙毅张磊刘鑫...
    60-73页
    查看更多>>摘要:借助于人工智能技术的快速发展,深度学习模型越来越多得应用于恶意代码检测.由于深度学习模型具有更好的泛化性能,使其可以处理新的、未知的恶意代码,能够更好地应对日益增长的恶意代码威胁.然而,深度学习模型容易收到对抗样本的欺骗,即攻击者通过对样本进行微小的改动使模型预测错误.该脆弱性带来潜在的安全风险,导致恶意代码检测系统的鲁棒性大大降低.研究深度学习模型与对抗样本之间的对抗机理,利用生成的对抗样本挖掘恶意代码检测模型的弱点,增强模型分类的可解释性是评估和提高恶意代码检测系统鲁棒性的关键.因此,本文提出一种基于显著性分析的恶意代码对抗样本生成方法,首先使用可解释性技术分析模型检测恶意代码时输入特征的显著值分布情况,并对深度学习模型分类恶意代码的决策进行解释.然后挖掘 PE 文件中适合施加对抗扰动的非执行区域字节序列,并构建了基于显著性分析的恶意代码对抗样本生成框架SAM.通过修改代码非执行区域中少量的关键字节,得到功能保留且能有效规避检测的对抗样本.实验结果表明,本文提出的SAM方法在仅修改不超过1024个字节的情况下,生成的对抗样本在白盒模式下对MalConv模型实现了72.9%的规避成功率,黑盒模式下的成功率也达到了45%,相较其他方法有明显提升.

    恶意代码检测深度学习对抗样本显著性分析

      原文链接:
    • 维普
    • 万方数据

    网络威胁情报实体识别研究综述

    王旭仁魏欣欣王媛媛姜政伟...
    74-99页
    查看更多>>摘要:由于网络环境愈发复杂,网络安全形势日渐严峻,保护网络免受外来攻击成为一项重要的工作.为了使网络空间攻防技术变为主动防御的形式,网络威胁情报应运而生.通过对网络威胁情报进行分析和检测,搜集情报证据,能够预防攻击行为的发生.因此,通过共享网络威胁情报来抵御网络攻击变得愈发重要.然而,网络威胁情报通常以非结构化的形式共享,将其转化为半结构化或结构化数据对后续很多任务来讲尤为重要,命名实体识别技术能够实现这一点.虽然在通用领域的命名实体识别已经取得了非常不错的成果,但在网络威胁情报领域却仍然存在很多问题.本文首先介绍威胁情报相关背景,及其与命名实体识别之间的联系.然后根据命名实体识别技术发展的时间顺序总结基于规则和词典的实体识别技术、基于无监督学习的实体识别技术、基于特征的监督学习实体识别技术、基于深度学习的实体识别技术等,全面总结威胁情报领域命名实体识别的研究现状和未来的发展方向.最后,对比研究威胁情报领域命名实体识别所使用的语料库,使用SOTA深度学习方法进行实验,分析总结出威胁情报领域数据集所存在的问题.提出的BBC(BERT-BiGRU-CRF)深度学习实体识别模型具有最好的实验效果,在AutoLabel数据集、DNRTI数据集、CTIReports数据集,以及APTNER数据集上分别达到 97.36%、90.40%、82.87%、73.91%的F1值.

    命名实体识别网络威胁情报深度学习网络威胁情报数据集

      原文链接:
    • 维普
    • 万方数据

    基于关系挖掘和注意力的多维时序异常检测

    胡智超余翔湛刘立坤张宇...
    100-113页
    查看更多>>摘要:在当前信息化的时代,多维时序数据的异常检测应用广泛,常用于云服务器、在线服务、系统日志、工业物联网以及智能交通等场景下的状态监控和数据分析中.相比于单一维度的时间序列,多维时序更加符合实际的场景需求.比如云服务器的关键性能指标,包括主机CPU、内存、磁盘IO以及网络流量等,均从不同角度反应了系统状态,同时彼此之间又存在着关系.传统的时序异常检测方法对这种影响关系考虑不足或者难以高效挖掘这种序列间的隐式关系,给传统方法在多维时序数据中的应用带来了挑战.本文针对现有方法存在的不足,提出了基于关系挖掘和注意力机制的异常检测算法 TSAN.该方法首先提出了端到端的序列关系挖掘方法,通过节点嵌入表示的相似性和图结构来挖掘序列之间关系,并结合 top-k 和阈值机制来修剪关系图确保其简洁性,接着利用因果推断生成序列间的因果关系图作为遮罩层,提高关系图的可解释性和有效性.然后,TSAN设计了时空注意力网络,使用时间和空间维度的联合注意力机制来处理混合时空上下文,用于关系挖掘后的多维时序预测.最后,提出了异常阈值自动计算方法,减少了多维时间序列场景下的超参设置,并且引入最大异常容忍率来排除异常数据的影响,提高了算法的鲁棒性.从实验结果可以看出,TSAN 在数据集 MSL 和 SMD 上取得了最优的 F1 值,相比次优方法分别提升了0.9%(MSL)和 2.3%(SMD),并且在所有对比方法中具有最小的跨数据集性能波动,说明了TSAN对多维时序数据的异常检测是有效且稳定的.

    异常检测多维时间序列关系挖掘注意力机器学习

      原文链接:
    • 维普
    • 万方数据

    基于中间语言的PHP注入漏洞检测方法研究

    张国栋刘子龙姚天宇靳卓...
    114-128页
    查看更多>>摘要:Web应用数量快速增长并广泛用于各领域,所存在的漏洞数量也随之增长.注入漏洞是Web应用漏洞中最具广泛性和破坏性的,漏洞检测工具所提取的信息中会缺失部分与漏洞相关的语义信息,且包含大量与漏洞信息无关的噪声数据,导致误报和漏报.针对此问题,提出了一种命名为Alpherg的中间语言表示,具有保留源代码信息、提取源代码中仅与漏洞相关的语义信息和表示源代码控制流信息等特点.利用其进行漏洞特征提取时,表示结果丢弃了与漏洞无关的噪声数据,保留了源代码中的上下文信息,形式上可脱离原有的编程语言,具有可读性.利用Alpherg进行漏洞特征提取,提出了基于Bi-LSTM和注意力机制的PHP注入漏洞检测模型,利用Bi-LSTM得到Alpherg长序列表示中的上下文关系;进一步,通过加入注意力机制计算每个时间步的注意力分布,更好地利用Alpherg中与漏洞相关的信息,提高了模型的漏洞检测能力.将Alpherg与其他特征提取方法处理结果进行了比较,结果表明Alpherg能精确地提取与漏洞存在直接关系的信息,避免引入过多噪声,并保留了漏洞的语义信息.在SARD数据集上验证了所提出的漏洞检测模型,漏洞检测结果表明该模型漏洞检测准确率为 98%,高于作为对比的三个静态检测工具和基于PHP token的深度学习漏洞检测模型,证明了此方法的可行性和有效性.

    注入漏洞检测深度学习漏洞语义特征代码切片

      原文链接:
    • 维普
    • 万方数据

    基于距离跃变的"探探"恶意用户定位方法

    郭家山杜少勇时文旗刘瑞婷...
    129-139页
    查看更多>>摘要:近年来,"探探"作为国内知名即时通信平台之一,常常被恶意用户用来实施诈骗、策反等各类不法活动.为有效发现和打击探探平台上的此类恶意用户,亟需针对探探恶意用户的定位技术.然而,当前国内外尚未见针对探探用户定位的相关报道,现有针对其他即时通信平台的定位方法由于没有考虑探探平台的特点(即,通告距离的特性),难以高效发现用户和实施高精度定位.为此,本文提出了一种针对探探的基于通告距离跃变分析的恶意用户定位方法.本文结合探探平台通告距离的数据特点,分析了通告距离与实际距离关系,建立了探探平台通告距离模型;为了有效逼近恶意用户,结合分段式通告距离模型特点,本文设计了恶意用户潜在区域发现算法;为了提升定位精度,本文结合探探的通告距离跃变特点,设计了一种基于距离跃变的定位算法,通过探针移动策略以更好地获得跃变距离,并结合三边测量方法得到目标的理论位置.在实际网络环境下开展了一系列实验,结果表明:本文所提方法平均定位误差为20.92 m,且95%的定位误差小于50 m,相比于现有基于空间分割、加权最小二乘、启发式数论等针对微信、陌陌等的典型定位方法,定位误差降低34.99%~60.60%.

    即时通信探探恶意用户定位通告距离模型距离跃变

      原文链接:
    • 万方数据

    RT-NIG:在邻域信息图中重构二元组用于谣言早期检测

    王标卫红权刘树新王凯...
    140-158页
    查看更多>>摘要:随着谣言在网络上不断扩散和传播,其危害会越来越大.在谣言尚未传播的最早期,利用源发布账号的用户信息和文本信息对其进行识别并遏止具有十分重要的意义.当前的检测方法局限于自然语言处理技术,注重从文本中提取信息来识别谣言,缺乏对用户信息的深度挖掘和有效结合,导致模型的检测性能低.为此,本文提出了一种谣言早期检测的新途径RT-NIG,通过在交叉分布的邻域信息图中重构二元组信息来识别谣言.首先针对谣言传播最初阶段缺乏传播信息,无法形成图结构数据的情景,利用对象的潜在相关性构造虚拟邻域图,解决了数据不确定性以及不完备性等问题;通过图神经网络捕获邻域图中潜在的对象关系,关注用户之间潜在的可信度关系以及文本之间的情感极性关系,在两个邻域信息图中交叉传递用户信息和语义信息,分别重构了用户信息和语义信息;最后通过加权集成的方式,重新构造"用户-推文"二元组信息,有效地结合了这两种信息,并用于下游的谣言分类任务.分别在中文Weibo和英文PHEME两个真实数据集上进行了实验验证,本文方法在准确率、精确率、召回率、F1值等指标上优于多种先进的早期检测方法,在两个数据集上准确率分别比最优的对比方法提升了 5%和 8%;并且通过消融研究以及超参数分析,进一步证明了用户信息在早期检测中具有的重要作用以及二元组信息重构方式的有效性.针对无传播信息可用的场景,RT-NIG也为其他一些早期检测问题提供了新的解决方法,例如假新闻、网络暴力,误导消息等问题.

    谣言早期检测RT-NIG邻域信息图重构二元组图神经网络

      原文链接:
    • 维普
    • 万方数据