“一Dian分享”之网安组项目分享

“一Dian分享”之网安组项目分享

文| D689 蒋浩懿

11月26日晚，D648号队员陆国航与D697号队员李瑞源，在团队例会上进行了网安组（网络安全组）项目内容的“一Dian分享”系列讲座。

“没有网络安全就没有国家安全”

网络安全牵一发而动全身，已成为信息时代国家安全的战略基石。习近平主席在全国网络安全和信息化工作会议上强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。这一论述表明在信息化时代网络安全就是国家安全的基石。党的十八大以来，以习近平同志为核心的党中央高度重视网络安全和信息化工作，统筹协调涉及政治、经济、文化、社会、军事等领域信息化和网络安全重大问题，作出一系列重大决策、提出一系列重大举措。

在这一时代背景下，网安组项目应运而生。该项目聚焦于APT攻击，研究其在网络流量上的检测防御方案。

APT(Advanced Persistent Threat)攻击，即高级可持续威胁攻击，指某组织对特定对象展开的持续有效的攻击活动，具有极强的隐蔽性和针对性。听起来“APT攻击”似乎只局限于网络而对现实无影响，但实际上其对国家安全与社会安全将产生巨大危害。陆国航以“震网事件”为例：美国国安局和以色列合作研制的震网病毒，入侵伊朗核设施网络，使数千台离心机超载运行，进而阻断了伊朗核武器研发进程。由此可见，网络安全问题由虚向实，可谓危害巨大。

图1 陆国航介绍网安组项目

针对上述问题，网安组同学提出了一套通过行为复现、逆向分析明确恶意软件的网络行为特征的APT工具机理分析的完整流程，以及恶意流量检测防御原型系统。

接下来，陆国航介绍了这一原型系统。该系统针对不同特征类型的流量采取了不同的检测方法进行检测。此外，该系统提供了数据聚合分析功能，可以高效形象的展示APT攻击过程，并针对性的发出预警。

基于深度学习的恶意流量检测

由于C&C恶意软件的流量当中存在加密，单纯依靠人工逆向提取特征比较困难，在项目中应用了“玄学”的深度学习技术进行检测。在算法上，李瑞源针对当前算法中存在的攻击指令不匹配、模型泛化能力差的问题，设计了基于Attention机制与MLP投影结构的字节特征提取器、与基于Bi-LSTM、Skip-LSTM的多时序特征提取器，并提出了HALNet网络结构。

图2 李瑞源介绍网安组提出的深度学习恶意流量检测模型

通过这一系列改进，HALNet不仅在当前任务中分类达到了99.95%的准确率，并且在CCE-Ⅰ、CCE-Ⅱ等公开数据集上达到了SOTA的性能，相比其他目前主流算法都有着5%左右的提升，证明了该网络结构的泛化能力。同时，该工作也在“15th International Conference on Network and System Security”国际网络与系统安全会议上以《HALNet: A Hybrid Deep Learning Model for Encrypted C&C Malware Traffic Detection》论文形式发表。

通过网安组两位同学的分享，团队同学们不仅对网络安全的技术流程有了更多的了解，还更深刻地认识了网络安全的重大意义。也在此期待我们团队能继续在这些面向世界科技前沿、面向国家重大需求主战场的科研项目方向有所成果，有所突破！