網(wǎng)絡(luò)安全作為國家安全的重要組成部分，也肩負(fù)起更艱巨的使命。山石網(wǎng)科新技術(shù)研究院作為公司技術(shù)研究部門，在2022年開展了一系列前沿技術(shù)的探索和預(yù)研，立足2022年的技術(shù)發(fā)展現(xiàn)狀，展望和預(yù)測(cè)了2023年的技術(shù)趨勢(shì)。

　　一、分析方法論

　　從科學(xué)技術(shù)哲學(xué)的角度，新技術(shù)的出現(xiàn)往往不是突然的、隨機(jī)的、不確定的，而是漸進(jìn)的、確定的。因此，通過對(duì)于技術(shù)發(fā)展現(xiàn)狀的梳理，可以對(duì)未來的發(fā)展趨勢(shì)進(jìn)行判斷和預(yù)測(cè)。

　　山石網(wǎng)科新技術(shù)研究院對(duì)2022年計(jì)算機(jī)、網(wǎng)絡(luò)安全、密碼學(xué)等領(lǐng)域的頂級(jí)學(xué)術(shù)期刊(見下表)的約900篇論文進(jìn)行了梳理，對(duì)論文所研究的技術(shù)領(lǐng)域進(jìn)行歸類統(tǒng)計(jì)。

       ·IEEE Transactions on Dependable and Secure Computing

　　·IEEE Transactions on Information Forensics and Security

　　·Journal of Cryptology

　　·ACM Transactions on Information and System Security

　　·Computers & Security

　　·Designs， Codes and Cryptography

　　·Journal of Computer Security

　　對(duì)于相關(guān)的論文，從產(chǎn)品戰(zhàn)略匹配度、技術(shù)創(chuàng)新度、工程實(shí)現(xiàn)難度三個(gè)維度進(jìn)行更細(xì)粒度的分析。

　　二、技術(shù)研究熱點(diǎn)分布

　　從2022年的學(xué)術(shù)界研究論文的數(shù)量分布情況來看，技術(shù)研究領(lǐng)域的熱點(diǎn)降序排列為：

　　·物聯(lián)網(wǎng)安全

　　·惡意軟件檢測(cè)

　　·入侵檢測(cè)

　　·機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全的創(chuàng)新應(yīng)用

　　·DDoS檢測(cè)與防護(hù)

　　·惡意行為分析

　　·釣魚攻擊檢測(cè)

　　·APT攻擊檢測(cè)

　　·工業(yè)控制系統(tǒng)安全

　　·XSS檢測(cè)

　　·DGA檢測(cè)

　　·DNS安全與防護(hù)

　　·威脅情報(bào)

　　·勒索軟件檢測(cè)

　　·惡意URL檢測(cè)

　　·車聯(lián)網(wǎng)安全

　　·加密流量檢測(cè)

　　三、十大技術(shù)趨勢(shì)

　　1，技術(shù)研究聚集特征與分散特征顯著，四大方向占據(jù)半壁江山

　　2022年技術(shù)研究具備顯著的頭部聚集特征。近半數(shù)的研究論文均集中于物聯(lián)網(wǎng)安全、惡意軟件檢測(cè)、入侵檢測(cè)、機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全的創(chuàng)新應(yīng)用這4個(gè)研究方向，且旗鼓相當(dāng)。既有物聯(lián)網(wǎng)這樣的新場(chǎng)景，也有惡意軟件檢測(cè)、入侵檢測(cè)這類的傳統(tǒng)問題，還有機(jī)器學(xué)習(xí)新方法的探索創(chuàng)新。

　　同時(shí)，另一半的研究論文卻呈現(xiàn)了碎片化的分散特征。說明網(wǎng)絡(luò)安全領(lǐng)域涉及的研究方向眾多繁雜，且都有研究價(jià)值。

　　2023年，可以預(yù)見上述特征將持續(xù)存在。

　　2，舊瓶裝新酒是網(wǎng)絡(luò)安全研究的主要方法特征

　　縱觀科學(xué)技術(shù)發(fā)展史，產(chǎn)生的問題和解決問題的方法往往具備下列組合，并形象地賦予一個(gè)名字：

　　·老問題+老方法：舊瓶裝舊酒

　　·老問題+新方法：舊瓶裝新酒

　　·新問題+老方法：新瓶裝舊酒

　　·新問題+新方法：新瓶裝新酒

　　網(wǎng)絡(luò)安全領(lǐng)域的研究問題，從長時(shí)間維度(10年)來看，依然離不開入侵檢測(cè)、惡意軟件檢測(cè)這類古典傳統(tǒng)的老問題。這類老問題之所以長期存在，主要原因是網(wǎng)絡(luò)安全領(lǐng)域技術(shù)攻防對(duì)抗螺旋上升的特色，使得當(dāng)時(shí)有效的檢測(cè)技術(shù)在新型攻擊技術(shù)出現(xiàn)后變得低效或無效。比如，10年前針對(duì)主機(jī)的入侵行為，在今天依然是大量存在，這個(gè)過程里無論是入侵技術(shù)還是檢測(cè)技術(shù)都一直推陳出新。另外，這些老問題從歷史上看，也是從來沒有徹底得到過解決，所以遺留至今。比如，從未有任何一種通用方法可以有效檢測(cè)任何新型的惡意軟件。

　　以機(jī)器學(xué)習(xí)為代表的新方法正在試圖改變上述局面，因而吸引了大量的研究人員開展研究。在取得根本性突破之前，老問題+新方法“舊瓶裝新酒”將持續(xù)成為網(wǎng)絡(luò)安全研究的主要方法特征。

　　3，物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)兩類場(chǎng)景的安全問題值得高度關(guān)注

　　2022年物聯(lián)網(wǎng)領(lǐng)域的研究占比為15%，工業(yè)控制系統(tǒng)(工業(yè)互聯(lián)網(wǎng))研究占比5%。根據(jù)一些學(xué)者的定義，工業(yè)互聯(lián)網(wǎng)也可以納入物聯(lián)網(wǎng)范疇，因而兩者的綜合總比達(dá)到了1/5。這兩類新場(chǎng)景的安全問題值得高度關(guān)注，其面臨的主要挑戰(zhàn)和研究機(jī)遇如下圖所示。

　　4，小樣本學(xué)習(xí)在惡意軟件檢測(cè)中的嘗試

　　巴西的一個(gè)研究團(tuán)隊(duì)[1]提出了一種稱為“Malware‐SMELL”的小樣本學(xué)習(xí)方法，用于檢測(cè)0day惡意軟件。論文的核心是提出了一種基于視覺表征的相似性度量方法，包括了兩種表征：潛在特征空間和S空間。Malware-SMELL可以在沒有先驗(yàn)知識(shí)的情況下檢測(cè)惡意軟件，即廣義小樣本學(xué)習(xí)ZSL，準(zhǔn)確率為84%。

　　5，應(yīng)對(duì)高速流量的入侵檢測(cè)新技術(shù)

　　現(xiàn)有IDPS難以應(yīng)對(duì)越來越高的網(wǎng)絡(luò)流量，隨著InternetProtocol Flow Information Export(IPFIX)標(biāo)準(zhǔn)的推進(jìn)，德國Paderborn大學(xué)的Felix團(tuán)隊(duì)[2]提出應(yīng)對(duì)高速流量的IPFIX-based Signature-based Intrusion Detection System(FIXIDS)；在不丟包的情況下，可比Snort能處理的流量高出4倍。

　　6，深入窺探加密的流量

　　根據(jù)google的網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)，流經(jīng)google服務(wù)器的流量中，加密流量占比已經(jīng)高達(dá)95%以上。

　　伴隨著越來越多互聯(lián)網(wǎng)應(yīng)用在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層進(jìn)行各式各樣的加密，從網(wǎng)絡(luò)流量視角來看，一個(gè)隱蔽的、不透明的互聯(lián)網(wǎng)世界正在被構(gòu)建。傳統(tǒng)的基于有效負(fù)載內(nèi)容分析(如DPI)的手段顯得越來越蒼白無力，機(jī)器學(xué)習(xí)手段正在得到普遍的重視。

　　新加坡網(wǎng)絡(luò)空間技術(shù)中心的研究團(tuán)隊(duì)[3]發(fā)表了一篇重要的綜述論文，提出了一種通用的基于機(jī)器學(xué)習(xí)的加密惡意流量檢測(cè)技術(shù)框架。

　　此外，由于缺乏公認(rèn)的數(shù)據(jù)集和特征集，目前的研究采用不同的數(shù)據(jù)集來訓(xùn)練模型。因此，它們的模型性能無法進(jìn)行可靠的比較和分析。文獻(xiàn)[3]分析、處理和組合了來自5個(gè)不同來源的數(shù)據(jù)集，生成一個(gè)全面而公平的數(shù)據(jù)集，為該領(lǐng)域未來研究奠定了基礎(chǔ)。在此基礎(chǔ)上，實(shí)現(xiàn)并比較了10種加密惡意流量檢測(cè)算法，給業(yè)內(nèi)研究人員作為一個(gè)重要的啟發(fā)和參考。

　　7，不斷突破APT攻擊檢測(cè)的難題

　　高級(jí)可持續(xù)攻擊(APT)和檢測(cè)是網(wǎng)絡(luò)攻防領(lǐng)域的皇冠，APT攻擊手法多樣、涉及技術(shù)復(fù)雜，加上高度定制化攻擊工具，使得APT攻擊檢測(cè)極為困難，漏報(bào)誤報(bào)雙高。各種結(jié)合上下文信息和來源圖的實(shí)時(shí)檢測(cè)機(jī)制已經(jīng)被提出來防御APT攻擊。然而，現(xiàn)有的實(shí)時(shí)APT檢測(cè)機(jī)制由于檢測(cè)模型不準(zhǔn)確和來源圖尺寸不斷增大而存在準(zhǔn)確性和效率問題。

　　為了解決準(zhǔn)確性問題，浙江大學(xué)的一個(gè)研究團(tuán)隊(duì)[4]提出了一種新穎而準(zhǔn)確的APT檢測(cè)模型，稱為CONAN。

　　該模型提出了一個(gè)基于狀態(tài)的框架，在這個(gè)框架中，事件作為流被消費(fèi)，每個(gè)實(shí)體都以類似于FSA的結(jié)構(gòu)表示。此外，通過在數(shù)據(jù)庫中僅存儲(chǔ)千分之一的事件來重建攻擊場(chǎng)景。該模型已經(jīng)在Windows上實(shí)現(xiàn)，并在現(xiàn)實(shí)攻擊場(chǎng)景下進(jìn)行了全面的測(cè)試，可以準(zhǔn)確有效地檢測(cè)到評(píng)估中的所有攻擊。隨著時(shí)間的推移，CONAN的內(nèi)存使用和CPU效率保持不變，使CONAN成為在現(xiàn)實(shí)場(chǎng)景中檢測(cè)已知和未知APT攻擊的可參考借鑒的模型。

　　8，針對(duì)機(jī)器學(xué)習(xí)的隱私保護(hù)

　　人有隱私，機(jī)器學(xué)習(xí)也有隱私。深度學(xué)習(xí)模型的梯度信息就是最重要的隱私。梯度泄漏攻擊被認(rèn)為是深度學(xué)習(xí)中最嚴(yán)重的隱私威脅之一，攻擊者在迭代訓(xùn)練期間秘密地監(jiān)視梯度更新，而不影響模型訓(xùn)練質(zhì)量，但使用泄漏的梯度秘密地重建敏感的訓(xùn)練數(shù)據(jù)，具有很高的攻擊成功率。

　　喬治亞理工大學(xué)的一個(gè)團(tuán)隊(duì)[5]分析了現(xiàn)有的具有差分隱私的深度學(xué)習(xí)實(shí)現(xiàn)，這些使用固定的隱私參數(shù)向所有層的梯度中注入恒定的噪聲。盡管提供了差分隱私保護(hù)，但這類方法精度較低，容易受到梯度泄漏攻擊。團(tuán)隊(duì)提出了基于動(dòng)態(tài)隱私參數(shù)的防梯度泄漏的彈性深度學(xué)習(xí)方法，引入自適應(yīng)噪聲方差。在六個(gè)基準(zhǔn)數(shù)據(jù)集上的大量實(shí)驗(yàn)表明，具有動(dòng)態(tài)隱私參數(shù)的差分隱私深度學(xué)習(xí)優(yōu)于使用固定差分參數(shù)的深度學(xué)習(xí)和現(xiàn)有的自適應(yīng)剪輯方法。

　　9，讓暗網(wǎng)不暗

　　暗網(wǎng)一直是互聯(lián)網(wǎng)時(shí)代數(shù)字治理的頑疾，不僅成為違法犯罪的溫床，也是危害國家安全的重要源頭。暗網(wǎng)流量分類是識(shí)別匿名網(wǎng)絡(luò)應(yīng)用和防范網(wǎng)絡(luò)犯罪的關(guān)鍵。盡管將機(jī)器學(xué)習(xí)算法和精心設(shè)計(jì)的特征相結(jié)合對(duì)暗網(wǎng)流量進(jìn)行分類的研究取得了顯著的成果。但目前的方法要么嚴(yán)重依賴手工制作的特征，要么忽略了從不同數(shù)據(jù)位置自動(dòng)提取的局部特征之間的全局內(nèi)在關(guān)系，導(dǎo)致分類性能有限。

　　為了解決這一問題，北京航空航天大學(xué)的一個(gè)研究團(tuán)隊(duì)[6]提出了一種新的暗網(wǎng)流量分類和應(yīng)用識(shí)別的自關(guān)注深度學(xué)習(xí)方法DarknetSec。DarknetSec還可以從有效載荷統(tǒng)計(jì)信息中提取側(cè)信道特征，以提高其分類性能。在CICDarknet2020數(shù)據(jù)集上評(píng)估，實(shí)現(xiàn)了92.22%的多分類精度和92.10%的f1評(píng)分。此外，DarknetSec在應(yīng)用于其他加密流量分類任務(wù)時(shí)保持了較高的準(zhǔn)確性。

　　10，拒絕被勒索軟件勒索

　　勒索軟件在過去幾年對(duì)政府、金融、關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了嚴(yán)重危害。對(duì)勒索軟件進(jìn)行快速、準(zhǔn)確地檢測(cè)是該領(lǐng)域的重要研究課題。

　　采用深度神經(jīng)網(wǎng)絡(luò)檢測(cè)勒索軟件是現(xiàn)在的技術(shù)趨勢(shì)，但是勒索軟件的訓(xùn)練數(shù)據(jù)稀缺導(dǎo)致深度神經(jīng)網(wǎng)絡(luò)的使用存在挑戰(zhàn)。新西蘭的一個(gè)研究團(tuán)隊(duì)[7]提出一種基于少樣本元學(xué)習(xí)模型的Siamese神經(jīng)網(wǎng)絡(luò)，不僅可以檢測(cè)勒索軟件，還能對(duì)其進(jìn)行分類。主要原理是通過勒索軟件二進(jìn)制文件獲得與其他勒索軟件簽名相關(guān)聯(lián)的熵特征。通過實(shí)驗(yàn)，該方法檢測(cè)勒索軟件的F1值超過0.86。

　　四、結(jié)語

　　未來，山石網(wǎng)科將用遠(yuǎn)見超越未見，用網(wǎng)絡(luò)安全的技術(shù)創(chuàng)新，持續(xù)護(hù)航國家安全。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如稿件版權(quán)單位或個(gè)人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。