近年来,从传统蠕虫和木马发展形成的僵尸网络逐渐成为攻击者手中最有效的攻击平台,甚至可以成为网络战的武器,因此,关注僵尸网络已有研究成果与发展趋势都十分必要.将僵尸网络的发展历程概括为5个阶段,分析各阶段特点和代表性僵尸网络.对僵尸网络进行形式化定义并依据命令控制信道拓扑结构将其划分为4类.同时,将当前僵尸网络研究热点归纳为检测、追踪、测量、预测和对抗5个环节,分别介绍各环节的研究状况,并对每个环节的研究进展进行归纳和分析.通过研究僵尸网络在攻防对抗中的演进规律,提取僵尸网络存在的不可绕过的脆弱性.最后,综合分析当前僵尸网络研究现状,并展望僵尸网络发展趋势.

可信计算技术作为一种新型信息安全技术,已经成为信息安全领域的研究热点.在可信计算领域取得长足发展的同时,其关键技术仍存在许多问题亟待解决,近年来这方面的相关研究已经陆续展开.综述了在可信计算关键技术方面的研究成果,从构建可信终端的信任入手,建立了基于信任度的信任模型,给出了基于信息流的动态信任链构建方法,一定程度上解决了终端信任构建的实时性、安全性等问题.针对远程证明协议的安全性和效率问题,构造了首个双线性对属性远程证明方案和首个基于q-SDH假设的双线性对直接匿名证明方案.在可信计算测评方面,提出了一种基于扩展有限状态机的测试用例自动生成方法,并基于该方法研制了国内首个实际应用的可信计算平台测评系统.

基于Shim数字签名方案,提出了一种基于身份的可验证加密签名方案.该方案不需要零知识证明系统提供验证,避免了因复杂交互而产生的计算负担.该方案的可验证加密签名仅需在普通签名参数上作一次加法运算即可完成,可验证加密签名的验证仅需在普通签名验证等式右边作一次乘法运算即可实现,方案形式较为简洁.在CDH问题难解的假设下,该方案在随机预言模型中是可证明安全的.分析表明,与现有同类方案相比,该方案具有更少通信量和更低的计算复杂度.

基于分级身份的签名在大规模网络中具有重要应用前景,为克服已有方案的私钥或签名长度依赖于分级级数及最大分级级数的缺陷,提高计算效率,提出了一种新的基于分级身份的签名方案．与已有方案相比,新方案优势明显,如身份分级级数越大,私钥长度越短,且签名长度为常数,仅含有3个群元素．验证算法仅需要3个双线性对运算,同样不依赖于分级级数.另外,新方案的安全性建立在推广的选择身份安全模型,该模型为适应性选择身份安全模型及选择身份安全模型的推广,在计算h-CDH困难假设下,新方案被证明是安全存在性不可伪造的,且其安全性不依赖于随机预言机．与已有的标准模型下的分级方案相比,新方案的安全性基于的困难假设更具有一般性.

功能加密极大地拓宽了秘密信息的共享方式,但支持多主密钥功能性函数加密方案的构造问题仍未解决,多主密钥功能加密具有更强的表达能力和更广义的特性.在功能加密的一个子类密钥策略属性基加密上,首次提出了多主密钥形式的安全模型M-KP-ABE.利用线性多秘密共享方案,设计了该安全模型下的一个支持多主密钥功能性函数的加密方案.基于DBDH假设,在标准模型下证明方案在适应性选择挑战和自适应选择明文攻击下是安全的.该方案加密数据的访问策略更为灵活,可退化为单主密钥的加密方案,可构造具有精细访问树的方案,其计算量与单主密钥方案相等,具有较高的效率.

基于进程代数的无干扰性分析是分析信息流安全性质的主要方法.为考虑概率时间配置下的信息泄漏，对安全进程代数进行概率时间域上的扩展，提出概率时间安全进程代数ptSPA，给出其形式化语法及语义，引入概率时间弱互拟等价的概念，在此基础上，讨论概率时间信息流安全属性，提出TBSPNI,PTBNDC,SPTBNDC属性，分析属性的包含性，证明提出的属性在表达能力上强于原有属性，最后给出一个实例，对IMP机制在概率时间配置下进行了建模分析，分析结果表明ptSPA对捕获概率时间隐蔽通道的有效性.

模式匹配问题是计算机科学的基础问题之一,是网络信息安全、信息检索与过滤、计算生物学等众多领域的核心问题.模式匹配技术在网络信息安全领域的广泛应用,导致了许多安全问题.WuManber算法是一种经典的多模式匹配算法,通过对WuManber算法实现原理的分析,给出了一种对WuManber算法进行复杂度攻击的方法,并对攻击数据的构造问题给出了问题描述和最优求解.实验表明,WuManber算法检测攻击数据的速度明显慢于检测随机数据和网络真实数据的速度,并发现只需已知少量的模式串,就可以构造有效的攻击数据.根据攻击数据的构造方法,在给出攻击方法的同时,也给出了防守方面的建议,可以有效地提高使用WuManber算法系统的安全性.

提出一种模块化的扩展Canetti-Krawczyk模型(简称meCK模型)以摆脱认证密钥交换协议对随机预言机的依赖.首先将认证密钥交换协议划分为秘密交换模块和密钥派生模块，并分别形式化定义其攻击者的能力与安全属性；然后综合上述模块得到认证密钥交换协议的模块化安全模型，并证明所提出的安全定义蕴涵原始的扩展Canetti-Krawczyk安全.借助协议模块化分析的思想，设计了一种高效且在标准模型下可证明安全的认证密钥交换协议(简称UPS协议).在meCK模型下，UPS协议的安全性可有效归约到伪随机函数簇、目标抗碰撞Hash函数簇和Gap Diffie-Hellman等标准密码学假设上.与其他标准模型下可证明安全的协议相比，UPS协议所需的密码学假设更弱、更标准，且指数运算次数降低了50%～67%.最后，UPS协议的构造与安全性验证了所提出的模块化方法的合理性和有效性，并解决了ProvSec09上的一个公开问题.

无线射频识别技术(RFID)是适用于普适计算环境的技术之一,它的应用正在变得随处可见.RFID安全与隐私问题是这些应用的基本需求之一.由于RFID标签的资源限制,传统的安全元素不能很好地应用到RFID标签中.因此,设计轻量级的安全机制非常重要.应用中,贴有标签的物品经常发生所有权的转移.这就需要保护原所有者与新所有者的隐私.基于SQUASH方案,一种具有可证安全属性的消息认证码机制,提出了一种新的轻量级所有权转移协议.新协议比基于Hash的方案具有更高的效率.同时,它还具有很强的安全特性.新协议是第1个基于SQUASH的方案,优化了所有权转移协议,去掉了Hash方案中不需要的特性.最后,新协议完全满足所有权转移协议的要求,可有效保护原所有者与新所有者的前向与后向隐私.

基于D-S证据理论,设计了一个MANET信任评估模型,为路由建立提供安全的网络环境.改进ARAN协议,提出安全的路由协议AE-ARAN.协议根据信任评估结果选择可信节点建立路由,并提出在路由表中存储节点匿名身份的Hash路由登记表,保证ARAN协议认证安全,实现匿名安全和提高路由查找效率,同时协议在路由建立过程中,完成会话密钥协商.理论分析和仿真结果表明,所提出的协议能有效地检测和隔离恶意节点,抵御攻击.协议可实现路由匿名性,提高网络的效率及安全性.

访问控制是根据网络用户的身份或属性,对该用户执行某些操作或访问某些网络资源进行控制的过程.对现有访问控制模型进行分析,并针对其不足对RBAC模型进行了扩展,提出了基于信任的访问控制模型TRBAC(trust based access control model).该模型可以提供更加安全、灵活以及细粒度的动态访问授权机制,从而提高授权机制的安全性与可靠性.

可信平台模块(trusted platform module, TPM)是信息安全领域热点研究方向可信计算的关键部件，其安全性直接影响整个可信计算平台的安全性，需要对其进行安全性验证.针对已有工作对TPM规范中多类安全性问题进行形式化建模与验证过程中所存在的不足，从分析TPM和使用者的交互过程出发，使用应用π演算对TPM进行形式化建模，把TPM规范中定义的各实体行为特性抽象成为进程的并发安全性问题，在讨论并发进程中机密性、认证性和弱机密性的基础上，对交互模型进行安全性论证，提出并使用自动定理证明工具验证了对应安全属性的改进方案.

文件系统中的TOCTTOU缺陷是类Unix操作系统面临的一个严重安全问题，现有的静态检测方法具有很高的误报率.原因有2点：一是对导致TOCTTOU缺陷的函数对缺乏精确定义和分析；二是分析过程过度抽象，忽略了很多重要的程序信息.因此，首先对TOCTTOU缺陷进行了分类，并系统分析了C标准库中可以导致TOCTTOU缺陷的函数对.在此基础上，提出了一种TOCTTOU缺陷的静态分析方法，利用有限状态安全属性刻画TOCTTOU缺陷，分析精度达到了过程内路径敏感、过程间流敏感.实验结果表明，该方法能够有效检测C 程序中的TOCTTOU缺陷，相比现有方法，有效降低了误报率.

在虚拟化云计算平台中,如何保证其上运行软件的可信性是云平台广泛应用的关键.完整性测量与验证技术是保证软件系统可信性的一种主要方法.然而,现有的软件完整性验证系统大多需要修改操作系统内核,很难为大规模虚拟机环境中的众多异构系统提供一致解决方案,且无法抵御内核级恶意攻击.针对当前方法在兼容性、安全性以及可管理性上存在的问题,设计并实现了一种在VMM层基于系统调用分析技术来验证软件完整性的方法VMGuard.它通过截获客户操作系统中的系统调用来识别软件加载,并基于系统调用关联性分析和虚拟机文件系统元数据重构技术来验证客户操作系统中软件的完整性.在Qemu和KVM两种主流虚拟化平台上实现了VMGuard,并通过实验评测VMGuard的有效性和性能.实验结果表明,VMGuard能够有效验证客户操作系统中软件的完整性,且性能开销在10%以内.

针对可信计算组织TCG(Trusted Computing Group)的信任链无法保障软件运行时动态可信的问题,对该信任链进行扩充,引入对软件运行时动态可信性的检测,提出了可信引擎驱动的可信软件信任链模型,并在此基础上提出了一种可信软件设计方法及可信性评价策略.通过引入描述软件可信行为轨迹的可信视图,在可信软件检查点处植入检查点传感器,将软件可信性融入软件设计中.通过对软件的完整性度量以及运行过程中软件行为轨迹的监测,实现软件的可信性保障.实验分析表明:采用该方法设计的软件能够有效地检测软件异常,并且成功检测软件异常的能力明显优于基于TCG信任链的软件.

设备驱动是允许高级程序与硬件设备交互的底层程序.通常设备驱动中的漏洞较之应用程序中的漏洞对计算机系统的安全具有更大的破坏性.写污点值到污点地址是Windows设备驱动程序中频繁出现的一种漏洞模式.首次明确地对该种漏洞模式进行描述,提出一种针对二进制驱动程序中该种漏洞模式的自动检测方法,并实现相应的原型工具T2T-B2C.该方法基于反编译和静态污点分析技术,与其他方法相比,既可以分析C代码,也可以分析本地二进制代码.该工具由T2T和B2C两个组件组成:首先B2C基于反编译技术将二进制文件转换为C语言文件;然后T2T基于静态污点分析技术检测B2C生成的C代码中出现写污点值到污点地址漏洞模式的语句.使用多种反病毒程序中的二进制驱动对T2T-B2C进行了评估,发现了6个未公开漏洞.评估结果表明:该工具是一款可实际应用的漏洞检测工具,可应用于对较大规模的程序进行检测.

可信动态度量为保障可信计算平台的可靠运行提供了重要支撑.根据系统的可靠性、可用性、信息和行为安全性,提出了可信度量要达到的目标.当前的可信度量集中在可信功能度量上,基于交互式马尔可夫链增加性能特征指标度量,即在预期行为描述模型中,运用变迁系统模型描述功能预期,通过将体现在可靠性上的路径概率与预期的关联,获取完成特定行为功能在时间特征上的预期,用于性能特征指标的度量.所构建的功能与性能特征预期用于对系统运行时证据实施相应的功能与性能上的可信性验证.基于交互式马尔可夫链的动态度量模型，从性能角度完善了对可靠性的保障,更全面地确保了系统的可信.

声誉系统由于其聚集评价的特点,为恶意节点提供了可乘之机.一些恶意节点合谋形成GoodRep攻击组,相互虚假夸大,进而在高声誉值的掩饰下危及P2P网络安全.提出了GoodRep的攻击模型及其防御机制——RatingGuard,并给出了该机制的数学描述和模块化实现过程.RatingGuard通过分析推荐节点之间的评价行为相似度,对推荐节点进行聚类划分和异常检测,识别出存在的GoodRep攻击组节点,从而帮助声誉系统排除GoodRep攻击组的干扰.仿真结果表明,RatingGuard在GoodRep攻击组的抵制方面效果显著,有效提高了声誉系统在面对GoodRep攻击时的恶意节点检测率.

机会网络整合了容迟网络、移动自组织网络、社会网络等多种概念,可通过移动节点的相遇性机会实现消息的传输与共享.针对机会网络中目前较为流行的基于社会上下文的路由转发协议,设计了基于身份加密的安全架构来保证节点社会上下文的隐私性以及消息的机密性:通过可搜索的加密算法为每一个节点的社会属性设置相应的陷门,使得中继节点在可计算自身与目的节点之间上下文匹配度并制定相应的转发策略的同时,却得不到目的节点的任何属性信息;另一方面,使用节点的社会上下文生成公钥来加密信息,保证了消息的机密性.实验仿真表明,本方案的部署并未对网络报文投递率与报文平均时延造成明显影响,是一种高效实用的机会网络安全架构.

对现有僵尸网络的防御已取得很大成效,但僵尸网络不断演变进化,尤其在三网融合不断推进的背景下,这给防御者带来新的挑战.因此,预测未来僵尸网络以及时应对,非常必要.提出了一种基于冗余机制的多角色P2P僵尸网络模型(MRRbot),该模型引入虚壳僵尸终端,能够很大程度上验证僵尸终端的软硬件环境,增强其可信度和针对性;采用信息冗余机制和服务终端遴选算法,使僵尸终端能够均衡、高效地访问服务终端,提高命令控制信道的健壮性和抗毁性.对MRRbot的可控性、时效性和抗毁性进行了理论分析和实验评估,并就其健壮性与前人工作进行了比较.结果表明,MRRbot能够高效下发指令,有效对抗防御,更具威胁.探讨了可能的防御策略,提出基于志愿者网络的防御体系.

攻击图是一种基于模型的安全分析技术,将不同的原子攻击关联起来,用图的形式描述所有可能的攻击路径,在网络和系统的安全性分析中得到广泛的应用.研究了攻击图中的最优原子攻击修复集问题和最优初始条件修复集问题.针对这2个问题,定义了原子攻击拆分加权攻击图和初始条件拆分加权攻击图,将最优原子攻击修复集问题和最优初始条件修复集问题分别归结于原子攻击拆分加权攻击图中的最小S-T割集问题和初始条件拆分加权攻击图中的最小S-T割集问题,并证明其等价性.在此基础上提出了基于网络流的具有多项式复杂度的算法.模拟实验表明,与已有成果相比,该算法具有较高的实际运行效率和很好的可扩展性,能应用于大规模攻击图的分析中.

随着网络攻击种类和数量的增加以及网络带宽的不断增大,网络流量异常检测系统面临着误报率高和漏报率高的问题.针对该问题,首先对采集到的网络流量数据进行多维多层次在线联机分析,通过构建检测立方体数据结构并在检测立方体上针对异常检测的应用特征提出了一系列优化策略，采用最小生成树对多维度上的多查询进行优化，采用异常驱动的方法动态设定聚集的层次,来有效降低在线联机分析的时间和空间复杂度;然后在联机分析计算结果的基础上采用熵对多维多层次流量数据分布特征进行度量,获得流量数据在各个维度上的熵值序列;最后采用一类支持向量机对多维熵值序列进行分类,达到高效准确检测异常的目的.在大量实际网络流量数据集上对所提方法进行了验证并和已有方法进行了对比实验,取得了较好的实验效果.

大象流的及时、准确提取对防御大规模网络安全事件具有重要意义.针对独立的LRU和SCBF提取大象流存在的不足,提出了基于LRU和SCBF的大象流提取方法——LRU_SCBF算法.该算法使用LRU列表和SCBF数组二级存储结构,将到达的老鼠流存入SCBF中,达到一定门限则提取到LRU中,LRU满时按最近最久未用策略淘汰老鼠流到SCBF中,循环实现大象流和老鼠流的分别聚集.理论分析和模拟实验表明:LRU_SCBF算法占用空间小,误报和漏报低,能实现高速网络环境下大象流的及时准确提取.应用于DDoS攻击防御中,能够实现DDoS攻击的及时检测和追踪.

空间数据库的广泛应用给人们的生活带来极大便利的同时,也带来了严重的安全威胁.空间应用要求授权系统支持灵活的细粒度授权策略以及否定策略,提供高效的授权实现技术.针对这些安全需求,提出一种基于谓词的矢量数据授权模型,并依据空间数据库管理系统在实现上的特征,采用谓词改写的方法实现对矢量数据的有效授权.和现有工作相比,该模型利用授权谓词表示授权区域,具有更灵活的表达能力,且支持否定授权;所提出的谓词改写的方式不仅避免授权判定时额外增加的一次空间查询,而且可以保证与空间数据库管理系统的低耦合度,还有利于空间谓词的优化,减少空间谓词的冗余.实验证明,该授权模型和实现方法能够满足空间应用的安全需求,实现对空间数据库矢量数据的访问控制和有效授权.

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.

采用多级安全策略的信息系统中,事务的并发冲突会导致数据冲突隐蔽信道.现有的隐蔽信道检测方法存在以下问题:1)分析角度单一,入侵者可以通过分散记录的方式逃避检测;2)使用单一的检测指标,存在一定的误判和漏判.提出了一种基于冲突间隔时间的隐蔽信道检测方法CTIBDA.该方法解决了以上问题:1)从主体和客体2种角度对冲突记录进行划分,以防止入侵者通过分散冲突记录的方式逃避检测;2)使用冲突间隔时间分布和冲突间隔时间序列2种规律性特征指标作为检测依据.实验结果证实,该方法能够降低检测结果的误报率和漏报率,提高准确率.同时该方法结构简单适合在线实施,对于其他的并发冲突隐蔽信道场景具有普遍的适用性.

随着加密算法在嵌入式可信计算领域的广泛应用,如何提高其执行效率成为研究的热点问题.高级加密标准 (AES) 凭借其在安全性、费用开销和可执行性等方面的内在优势,成为使用最为广泛的对称密钥加密算法.采用指令集架构 (ISA) 扩展优化的方法对AES算法进行指令扩展优化.基于电子系统级(ESL)方法设计流程,使用基于LISA语言的处理器生成工具构建了一个高效AES专用指令处理器(AES_ASIP)模型,最终实现于FPGA中.经过一系列的仿真和验证,对比ARM处理器指令集架构,实验结果显示AES_ASIP以增加少许硬件资源为代价,提高了算法58.4x%的执行效率并节省了47.4x%的指令代码存储空间.

针对图像隐写分析中常用的直方图特征,给出了一类基于相对熵的直方图差异计算方法,并提出了一种基于相对熵的JPEG隐写的定量分析方法.首先根据两假设检验中的最优检验——似然比检验,分析了相对熵在衡量2个直方图间的距离时的优越性,并给出了2种基于相对熵的直方图差异计算方法.然后,以新的直方图差异特征为基础,训练支持向量回归分析器,以估计隐写对DCT系数的更改比率.针对JSteg和改进的F5隐写的实验结果表明:与其他的直方图差异特征相比,根据所提出的基于相对熵的直方图差异特征所训练的定量隐写分析器具有更高的估计精度和稳定性.