“ 安全可信互联网体系结构与关键技术”成果展示
“ 安全可信互联网体系结构与关键技术”成果展示
针对动态异构网络传送连接不安全,导致DDoS攻击泛滥,恶意流量识别的通用性、高吞吐、低时延及鲁棒性难以同时满足的问题,项目采用频域分析、用户交互图等方法,结合智能化技术和智能协作机制,有效对抗隐蔽逃逸检测和DDoS攻击。
基于频域特征的鲁棒性恶意流量检测技术
针对隐藏在高速率广域网流量中难以发现的低速率恶意流量攻击,提出一种基于频域特征的鲁棒性恶意流量检测技术。首先,通过特征压缩编码降低特征冗余性,压缩特征规模6倍以上,显著提升处理效率;其次,通过频域特征变换抽取细粒度时间序列特征,有效防止攻击者逃逸检测;最后,采用轻量级无监督机器学习算法学习流量的频域特征向量,在检测阶段将聚类损失率大的流量标注为异常流量。
发表论文:Chuanpu Fu, Qi Li, Meng Shen, Ke Xu. “Realtime Robust Malicious Traffic Detection via Frequency Domain Analysis”, ACM CCS, 2021
基于流量交互图的高效隐蔽恶意流量检测技术
提出了基于流量交互图的通用加密恶意流量检测方案,流量交互图可有效表示网络用户的长期交互信息,进而在图上挖掘异常的交互模式,实时定位隐蔽的攻击者发送的低速、加密、隐蔽的恶意流量。基于流长分布特征的图压缩方法,压缩了90%的图规模;采用无监督图学习方法,不依赖领域知识,可有效检测未知攻击 ;基于信息论的量化分析表明,流量交互图相比于传统流量审计更有效 。
在低速探测、加密洪范等80 个(传统的洪范式攻击、加密的洪范流量、面向Web的恶意攻击流量以及恶意软件加密通讯流量)场景中进行验证,相比传统方案可以达到17.5%
- 31.2%的检测准确度提升。
常规商用服务器可对平均 28.2 Gb/s 的高速流量进行交互图审计日志构建,并以 118.5 Gb/s 的吞吐量检测出攻击,相比传统方案具备更高的检测吞吐量
相比传统网络审计,流量交互图具备低冗余性优点,其开销更低,GB主存空间即可支持 TB 级别的隐蔽攻击检测
发表论文:Chuanpu Fu, Qi Li, Ke Xu. “Detecting Unknown Encrypted Malicious Traffic in Real Time via Flow Interaction Graph Analysis”, NDSS, 2023
基于高效智能数据面的智能流量分析
提出智能网络模型与可编程网络硬件联合设计和部署的新范式,首次定义并阐述智能数据平面,设计了数据面感知的多阶段序列模型和高效的模型部署,构建了智能化网络流量线速转发的一体化软硬件系统NetBeacon。
在P2P应用指纹、隐蔽通道检测、DDoS攻击检测三个任务上进行验证,引入流级别特征后, NetBeacon相比于baseline准确率分别提升13%、40%、20%。
发表论文:Guangmeng Zhou, Zhuotao Liu, Chuanpu Fu, Qi Li, Ke Xu. “An Efficient Design of Intelligent Network Data Plane”, USENIX Security, 2023 (杰出论文奖)
研制了具备多级智能能力的网络交换设备,围绕高速转发场景下提升网元内生智能水平的目标,通过构建多级处理架构,在保证数据面转发能力基本不变的基础上,基于可编程网络技术实现网络技术体制切换,使得智能网元能够对网络数据包进行学习推理,用于支持对网络数据包的智能化计算和存储,从而实现自主可控的网络智能化。这是国内首个通过测试的具备多级智能能力的新型智能可编程交换设备。
