2018年第七届全国网络与信息安全防护峰会入选信息安全优秀作品
- 1. MiningDetection
学校:武汉大学 学生代表:李蕊诗、孙旭洋 指导老师:张立强
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
近些年国内的大规模挖矿木马攻击事件数量剧增,如何保护个人主机不被非法分子利用进行挖矿是个急需解决的问题。但是恶意软件检测方法用于检测挖矿木马时存在检测时效性问题、木马变种等问题。针对基于PoW共识机制的挖矿行为,本作品提出一种新型主机监控系统RMH,从网络通信、散列算法两方面捕捉挖矿行为,利用数据包结构匹配、流量模型检测、指令序列匹配三种模型实现检测。现有挖矿通信协议基本为stratrum和getwork,网络通信中有着固定的数据结构,我们根据其结构特点制定匹配规则,对受监控进程的网络通信包进行严格规则匹配。将流量包特征映射为灰度图,学习训练出二分类模型加以辅助,并选择散列算法的汇编指令执行序列作特征,构造算法的静态分类模型,从而检测未知软件实现散列算法检测。当综合判决结果为挖矿进程时,系统会警告用户,询问是否查杀该进程,从而确保主机的安全。 - 2. SecChain:抗路由污染的自监督区块链系统
学校:武汉大学 学生代表:韩凌、张陶 指导老师:陈晶
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
我们通过网络协议优化和自监督机制设计,防范对应的安全威胁。本系统采用一套同构多模的主副链架构搭建具有抗路由污染功能的自监督区块链系统。我们在数据层、网络层、共识层和应用层对系统架构进行了设计。在数据层,我们提出了双指针区块头数据结构来奠定数据层基础,通过币基数据的结构设计来实现辅助性信息的挂载。在网络层,我们基于HTTP协议设计本系统的P2P网络通信协议,根据防御方案的设计对网络层邻节点管理机制进行优化设计与改进,同时通过资源优化设计实现了网络与存储资源的低消耗。在共识层,我们设计主副模式的难度更新机制,与数据层结构共同完成同构多模的主副链架构搭建。同时通过抗自私行为的保障性激励机制设计以及分叉处理原则设计实现主副链架构稳定性的保证。在应用层,我们在系统底层架构的基础上通过将信誉信息作为辅助信息的挂载设计了自监督机制,同时对系统的节点服务端与用户客户端进行了交互式的图形化设计。 - 3. Windows应用软件升级过程安全性分析验证系统
学校:中国人民解放军战略支援部队信息工程大学 学生代表:腾金辉、黄宇垚 指导老师:光焱
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
在线升级是应用软件的必备模块,如果在线升级的流程设计或代码实现中存在安全缺陷,将对用户主机的安全性构成严重威胁。然而现有的升级安全性检测方法缺乏统一的标准,效率低下且严重依赖人工检测,难以满足进行大批量高效分析和检测的要求。为了解决这一问题,本作品通过对大量软件样本升级流程和机制的分析与研究,设计并实现了一个面向Windows应用软件升级过程的安全性自动化分析与验证系统,系统由数据提取与分析、安全性检测以及安全性自动验证三个子系统组成,能够实现对应用软件升级过程信息的多维度提取与融合分析,实现升级流程和加解密机制的自动还原,以及基于此的安全性缺陷检测与自动化验证。 - 4. 动态可扩展的macOS安全分析与防护系统
学校:武汉大学 学生代表:刘思德、朱思猛 指导老师:彭国军
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
本作品针对Mac系统严峻的安全形势,实现了一款动态可扩展的macOS安全分析与防护系统-XGuard。我们首先研究并实现了基于内核的macOS系统软件行为HOOK机制与通用检测拦截框架,在此基础上针对macOS典型恶意软件防护需求,构建了恶意软件安全防护策略。更重要的是,我们基于当前框架构建了安全策略的自定义配置,有效实现了系统的动态可扩展性,可满足各类安全需求。最后我们基于系统监控日志,将构建基于深度学习的恶意行为检测机制与分析接口。本作品将为macOS安全防护及研究提供较好支撑,具有良好的创新性与应用前景。 - 5. 非对称计算资源环境下密钥协商协议的快速实现
学校:武汉大学 学生代表:谢璐遥、蔡鑫伟 指导老师:王后珍
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
本作品是以经典的Diffie-Hellman协议为例,设计和实现计算资源非对称的密钥交换协议。在当前物联网、云计算等具有典型的计算资源非对称特点(即服务器端计算能力强,客户端计算资源受限)的新型环境下,传统密码体制在物联网终端设备上实现较为困难。因此,针对这种情况,适用于计算资源非对称环境的密钥交换协议应运而生。
本作品在保证密码协议安全性的前提下,采用了时空置换的思想,牺牲服务器端的计算资源以及通信资源,将协议计算能力弱的一方的计算量转移至计算能力强的一方,最大程度地提高计算能力弱端的实现效率。 本作品选用智能手表作为计算能力弱的客户终端,实现Diffie-Hellman密钥交换协议以及我们的改进算法。结果表明,改进协议能有效地提高计算能力弱端的实现效率。例如基于离散对数问题的Diffie-Hellman密钥交换协议,本作品的改进算法可将计算能力弱端的实现效率提升2-4倍,而对基于椭圆曲线的密钥交换协议,本作品能提升2-13倍。 - 6. 基于SGX平台的密码货币钱包管理系统
学校:北京航空航天大学 学生代表:周博文 指导老师:张宗洋
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
随着互联网络服务功能的不断完善,各种软件的广泛使用极大程度地方便了人们的生活和工作,也带来了各种各样的安全性问题,如隐私问题和账户安全性问题等。对用户而言,安全性与便利性实属一对难以平衡的需求。本作品利用因特尔公司提供的SGX技术,以今年火热的数字货币为依托,给出了上述问题的一种解决方案。
本作品将用户的密钥利用SGX封存,并将不同用户与其申请保护的密钥分别管理,用户身份验证、密钥的封存及解封过程均在SGX中进行,这些过程无法被外部恶意程序获取,封存过程使用的密钥基于CPU硬件产生,脱离本地环境亦无法获取。前端与SGX的交互使用RSA-FHD算法进行签名与加密,可以有效的防止中间人攻击。所有的行为对用户是不透明的,因此使用体验与一般应用程序无异。 - 7. 基于动态生物特征的身份认证系统
学校:海军工程大学 学生代表:樊杰、郑锦南 指导老师:朱婷婷
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
当目前人脸识别认证技术普遍存在被欺骗的风险。虽然 3D人脸识别技术相比2D识别安全性更高,但却对硬件要求高且成本高,难以面向低端市场以及普及大众,并且被3D面具欺骗的安全隐患依旧存在。本作品希望能够实现低成本、高安全性的身份认证系统。针对现有各种人脸识别产品存在的被照片、视频欺骗的现状,在3D人脸识别的基础上提出了基于唇型、微表情及声纹动态生物特征的“活体检测”方法,并在此框架内构建了能够有效抵御照片、视频等欺骗攻击的抗重放身份认证系统。本作品的应用有利于打造一个安全、高效便捷的身份认证系统,克服了2D人脸识别易被欺骗,3D人脸识别方案成本高昂难以推广的问题。 - 8. 基于关键数据保护的家庭移动端监控实时预警系统
学校:中国地质大学(武汉) 学生代表:李斯敏、陈聪 指导老师:余林琛
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
目前,我国视频监控产业成高速增长的态势,高清化、智能化已成为行业发展主导方向。但随着视频数据的爆炸式增长,监控视频的数据安全问题也日益突出。近年来,监控平台弱口令漏洞频发,大量家庭摄像头遭入侵,IP地址被破解,摄像头被劫持,以至于用户在毫不知情的情况下被偷窥,用户隐私受到威胁。经测试,我们发现市场上现有智能摄像头产品将监控视频以明文形式在服务器处理,极易造成隐私泄露,存在严重安全问题。本作品提出一种新的移动端家庭监控关键信息提取算法,有效提高监控视频中异动信息提取的准确性和实时性,可及时对用户进行预警,另外设计了一套多级的安全防护机制,在数据层、传输层、用户层进行安全管理,来保障监控数据的存储、传输安全。本作品可以有效减少视频冗余信息,大大降低监控数据被截取带来的信息泄露风险,保护用户隐私。 - 9. 基于光感的智能门禁系统
学校:中国人民武装警察部队工程大学 学生代表:雷斌、陆梓邦 指导老师:魏彬
所获奖项:2018年全国大学生信息安全竞赛 一等奖、创业价值奖作品简介:
随着经济社会的快速发展,国内外各种各样的密码解锁防盗产品也正在日新月异地向着高精尖技术发展。为了弥补目前市场上关于智能门禁技术所存在的安全问题的不足,更好地满足人们对个人居住环境、私人财产、商业秘密、军事机密等信息安全性的需求,我们团队基于光的特性、硬件加密技术以及现有的手机APP技术,提出了更加新颖,更加安全的光感门禁系统。
光感门禁系统利用手机APP软件来驱动手机闪光灯进行闪烁,将闪烁的频率间隔作为密码的输入,硬件则接收并解析光信号,然后与存储的密码进行匹配,匹配成功则允许通过。本作品实现了软、硬件同步加密,密码由光的闪烁时间决定,密码可由我们通过软件任意设定,不易被他人获取,多重加密手段也有效克服了已有密码锁密码量少、安全性能差的缺点,使密码锁无论在技术上还是在性能上都得到了大大的提升。基于以上特性,该产品具有较高的应用前景。 - 10. 基于区块链的移动端安全电子身份证设计方案
学校:海军工程大学 学生代表:陈忠楷、肖雄飞 指导老师:胡卫
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
(1)设计了PC端公安认证服务系统与手机端APP的认证和绑定功能。借助智能手机产生具有强身份认证功能的动态二维码作为公民电子身份证,电子身份证能够代替实体的二代居民身份证来实现身份的认证功能,同时由于电子身份证中的个人隐私信息是以密态形式存储,这样可以有效防止认证服务应用获取个人敏感信息; (2)设计了基于区块链技术的公民身份认证链。结合国家商用SM3算法,充分利用区块链技术的不可篡改、去中心化等特性,将公民身份认证信息以区块链的形式存储。各级公安系统共同维护该认证区块链,有效避免了单点失败和多CA信任难的问题。 (3)设计了PC端酒店管理系统。我们通过扫描用户电子身份证,对比公民身份认证区块链上的信息,认证用户身份的真实性和有效性,实现对旅客的入住登记工作。 - 11. 基于深度学习模型的漏洞检测系统及可视化展示
学校:华中科技大学 学生代表:汪嘉来 指导老师:邹德清
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
基于当前严峻的安全形势,人们已经深刻地意识到软件漏洞问题的严重性。然而传统漏洞检测方法却需要大量的人工操作,这些操作又往往会带来不可避免的人为失误。为了解决这些问题,人们转向了对自动化检测漏洞的研究。目前一种相对高效的自动化检测方法是通过静态分析软件程序源码,从中找出可能存在的漏洞。但是现有的检测漏洞的解决方案往往存在两个主要缺点,一是过多依赖专家定义特征,二是特征定义的有效性不佳所导致的高漏报率、高误报率问题。针对当前检测产品存在的共有问题,我们实现了一个基于深度学习模型的漏洞检测系统。 - 12. 基于统计学习的威胁情报繁殖系统
学校:南开大学 学生代表:林美含 指导老师:王志
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
本作品是一种基于统计学习的威胁情报繁殖系统。本作品利用编写的Python爬虫,从全球60多个安全公司、安全组织的相关网站上获取其网站公开的黑名单数据,从Alexa上获取到前100万个域名作为白名单,最终利用正则表达式进行数据处理与合并,我们得到关于网站的白名单与黑名单。用户在进行网站的访问时,本作品利用Bro对该网站的IP、域名等进行分析,从而得到了一个新的数据,在原有的黑名单基础上加入该数据并运用机器学习进行打分。根据第一次机器学习的得分再一次进行机器学习,运用Conformal Prediction统计学习算法对该数据进行分析,从而获得网站的可信度,并将其提供给用户,使用户知道该网址的可信程度。同时将分析后认定为危险网址的数据加入危险情报库,形成新的威胁情报库,实现了威胁情报的进一步利用。 - 13. 基于隐私保护的智慧公交
学校:哈尔滨工业大学 学生代表:王璞 指导老师:翟健宏
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
针对公交到站时间无法预知问题,我们提出一种基于隐私保护的智慧公交系统。以大数据为基础,我们利用基于LSTM的循环神经网络模型进行公交到站时间信息的预测,并通过终端移动设备GPS实时显示公交的位置和公交车站的等车状况。 然而,本作品需要采集大量用户的信息作为数据基础,所以我们必须要保证用户信息的安全性。为了更准确地获取公交车的实时运行状态,我们提供普通用户端和司机端。普通用户端面向大众乘客,无需注册登录即可使用。基于隐私保护,我们仅仅是在用户许可的情况下收集数据。同时,在数据保护方面,我们有多重防护措施:传输前利用SM2算法进行数据加密,传输时司机端与普通端以相同频率相同格式传输数据,并且利用vuvuzela系统技术实现不可溯源和差分隐私保护,切实保证数据在传输过程中不会被攻击和利用。 - 14. 基于证书和虹膜识别的移动支付安全问题解决方案
学校:海军工程大学 学生代表:郭肖豪、李方焜 指导老师:付钰
所获奖项:2018年全国大学生信息安全竞赛 一等奖、创业价值奖作品简介:
随着智能终端全面普及,移动支付逐渐成为人们生活的重要一部分,各种支付安全问题也日益凸显,主要包括伪基站威胁、公用WIFI的信息泄露、二维码病毒等。针对移动支付中二维码病毒和伪基站威胁问题,目前安全防御手段主要通过建立大数据平台,结合手机安全软件对接收到的短信和扫描出来的信息做安全性评估,这种方式并不能够验证短信或二维码的来源是否可信,也不能实现事后的责任追究。为此,本作品提出了一种基于数字证书和虹膜识别的移动支付安全问题解决方案。利用数字证书对杂凑处理后的信息进行签名,供他人进行可信性验证,并保证信息完整性;用户在申请证书过程中通过虹膜识别进行实名认证,确定用户的物理身份,间接完成数字证书与用户物理身份的绑定,实现事后的责任追究。 - 15. 一种编译时引入的控制流完整性保护机制的设计与实现
学校:中国人民大学 学生代表:侯尚文、王渭森 指导老师:梁彬
所获奖项:2018年全国大学生信息安全竞赛 一等奖作品简介:
近年来,“控制流劫持攻击”已经成为了一种黑客常用的、主流的攻击方式。攻击者往往通过某处安全漏洞覆写内存,修改转移操作的目的地址,使得程序偏离正常的控制流转移关系。攻击者可以通过它来逐步获取目标系统的控制权,进而达成执行任意代码等入侵目的,对目标系统能造成巨大的损害。
针对这一问题,本作品设计了一种在编译时引入的控制流完整性保护机制。其基本思想是:合法的间接调用/跳转的目的地址虽难以通过预先静态分析确定,但都应为某个基本块的开始处。具体而言,本作品通过在gcc编译器层面完成特征指令与检测代码的插桩,让特征指令作为控制流图中基本块的入口标识,以之为程序运行中正常转移合法性的检测标准。这样使得绝大部分想要通过间接跳转与间接调用进行攻击的异常行为被强制中止,程序与用户将免受非授权访问的危害。