CCF-绿盟科技"鲲鹏"科研基金项目申报指南

总则CCF-绿盟科技"鲲鹏"科研基金面向国内高校/科研机构的研究人员和团队,旨在以小微课题的方式支持科研人员的研究与创新,推动科研技术成果转化,促进外部科研机构优秀研发能力与公司内部产品价值的深度融合,构建互动合作与创新发展的生态圈,为绿盟科技的产品预研提供支持.

资助对象和条件:申请人须是国内高校/科研院所在职的全职教师或科研人员;申请人须具有良好的学术素质和较高的科研能力,拥有一定数量的相关领域研究成果,能作为项目的实际负责人并担负实质性研究工作;申请人同一研究项目只能申报一个同类科研基金,不能重复申报资助方式及课题范围2017年计划资助16个CCF-绿盟科技"鲲鹏"科研基金项目,单个项目的资助金额为3-30万元人民币.
2017年,CCF-绿盟科技"鲲鹏"科研基金重点资助的研究领域和方向(详见一《申报主题/方向》):(1)云计算系统安全领域;(2)工控与物联网安全领域;(3)网络空间信息探查与威胁情报领域;(4)数据科学与大数据分析领域;(5)安全检测与公共技术领域.
项目申请和评审符合条件的研究人员在项目申报规定时间内邮件报名,填写并发送《2017CCF-绿盟科技"鲲鹏"科研基金项目申报表》(二)至kunpeng@nsfocus.
com,每位申请人限提交一份申请.
CCF和绿盟科技成立联合项目组,共同邀请专家审核申请项目.
专家评审时主要考虑:(1)申请课题的意义和必要性,包括国内外市场需求以及对产业的带动示范作用;(2)申请课题的技术基础,包括技术创新性和技术含量、技术成熟性、自主知识产权等情况;(3)申请课题初步建设方案的可行性,包括技术路线、各技术指标等;(4)申请者的实施计划及输出成果的意义和价值;(5)申请者(及团队)条件,包括学术水平和科研能力.
3、联合项目组依据专家审核意见,结合公司具体情况,确定资助的研究课题及资助强度等.
时间安排项目指南发布2017年5月10日项目申请截止2017年6月30日项目评审结果发布2017年7月31日签署协议,启动立项2017年8月CNCC2017颁奖典礼2017年10月中期检查,提交报告2018年3月31日项目结束,提交成果2018年8月31日CNCC2018终期答辩2018年10月项目进行过程中的具体时间节点,请关注CCF-绿盟科技联合项目组通知.
课题经费管理基金项目评审结果公示后的3个月内,CCF、绿盟科技、项目获得人及其所在单位四方需完成基金项目技术交底及项目合同书的签署工作,以确定各方责任和义务,对项目依据合同进行管理.
合同履行期间,绿盟科技可根据需要委派领域专家(组)或其代表,对受资助人合同履行的情况进行检查、监督.
CCF依据绿盟委托,根据确定的项目经费、项目执行检查情况及合同约定,将项目经费分阶段划拨至项目获得人所在单位.
项目获得人按阶段提交研究成果.

CCF-绿盟科技"鲲鹏"科研基金实行专款专用,该经费不得用于发放人员工资,可用于项目研发相关的材料费、实验费、信息资料费、差旅费及科研津贴等.
项目管理项目立项后不可更换项目获得人.
在项目研究工作中,如因项目获得人自身原因中断研究工作,项目终止并根据项目合同所载明的具体阶段经费使用说明,退回已拨部分或全部经费.
绿盟科技按照合同条款约定定期检查评估全部资助课题,项目获得人需按照合同要求提交阶段成果,项目进行中期,项目获得人填写《中期报告表》(三).
项目完成后,项目获得人填写《结题报告表》(四),由联合项目组组织检查验收,项目获得人应将结题报告和合同中规定的相关技术成果提交绿盟科技和项目获得人所在单位归档.
项目获得人原则上不可放弃基金资助,如有特殊情况,需提交《放弃基金声明》并加盖被项目获得人所在单位公章后由联合项目组存档留备.
成果管理项目获得人在课题研究过程中形成的与项目相关的成果的著作权及专利等,包括但不限于论文、著作、源代码、研究报告和数据等,其知识产权权利归属项目获得人及其所在单位和绿盟科技公司三方共同所有.
绿盟科技公司有权免费优先使用.
使用的具体细节以与项目获得人和其所在单位签署的协议为准.

在此期间发表的论文及著作需标注"受CCF-绿盟科技"鲲鹏"科研基金资助"字样.
CCF有权将上述论文及著作收入CCF数字图书馆,供CCF会员阅读.
本指南自公布之日起实施,由绿盟科技公司负责解释.
CCF-绿盟科技"鲲鹏"科研基金项目联系人:李娜lina3@nsfocus.
com18600807302叶建伟yejianwei@nsfocus.
com18600838933一2017CCF-绿盟科技"鲲鹏"科研基金项目申报主题云计算系统安全云计算已经成为社会变革重要的技术推动力,云安全也日益成为从业者关注的领域.
如虚拟化、容器、软件定义网络等新技术出现,安全问题伴随而生.
一方面需研究这些技术自身的安全性,另一方面也应借助其先进能力更好的防护业务系统.

【F2017-0101C】Docker的安全性研究Docker已经成为业界非常热的技术,在Devops、分布式系统和云计算应用中得到越来越广泛的部署.
与Hypervisor相比,基于操作系统层面虚拟化的Docker技术的安全性较弱,所以如何在应用Docker技术快速开发、测试、部署时,保证其应用的安全性,是一个非常重要的课题.

建议研究方向包括但不限于:Docker技术自身的安全机制、脆弱性和防护手段.
Docker容器内应用的代码和数据安全性.
Docker和SDN环境下网络安全防护机制.
Docker漏洞挖掘与分析.
【F2017-0102D】基于Opendaylight的安全资源控制技术研究利用资源池技术提升云端和传统IT环境中的安全防护能力是新的安全防护趋势,SDN和NFV作为资源池系统的支撑技术,分别用于实现流量调度和资源池化.
目前,存在Opendaylight、ONOS等具有代表性的开源SDN控制器,可与NFV、IaaS系统进行交互,实现服务链功能,已得到众多知名网络厂商、运营商和互联网企业的支持.
利用这些开源SDN控制器实现服务链,可根据安全应用的策略实时调度、生成虚拟化的安全资源,通过根据网络拓扑下发网络策略和安全设备策略,形成按需、动态和优化的安全资源池.

建议研究方向包括但不限于:Opendaylight、Hypervisor和Openstack的集成机制.
Opendaylight的租户隔离和共享机制.
【F2017-0103C】云计算环境安全监测及动态防护技术研究目前云计算技术发展较快,运营商以及各大企业都在开展云计算和虚拟化技术研究,公有云,私有云等基础设施建设发展迅猛.
云计算环境越来越复杂,租户数量增长迅猛,虚拟机弹性扩容,动态迁移,虚拟网络,大数据存储等大量应用,其中伴随的安全问题也层出不穷,需要能够及时检测和处置.

建议研究方向包括但不限于:云计算平台的安全检测方案研究与设计.
虚拟机自动安全配置检查和加固机制.
云计算平台接入部分的安全问题和安全机制.
云计算系统中的数据存储安全机制.
云计算系统/平台中核心组件的漏洞挖掘.
工控与物联网安全随着传感、计算、通信等技术的成熟,工控与物联网已进入高速发展期,在各行业将有越来越多的应用.
然而,与其应用的高速发展不同,目前对工控与物联网安全还缺乏系统的研究,尚无体系化的安全技术和方法体系可供参考.
近期爆发的克兰电力断电、Mirai病毒等事件正暴露了工控与物联网安全的严峻形势,引发了对其安全性的广泛关注.
本专题将专注于工控与物联网安全相关的研究与应用.

【F2017-0201D】工控与物联网系统恶意行为分析方法研究由于在接入设备、联网形态、应用场景与业务模式上与传统信息系统存在较大差异,现有信息系统的安全体系并不适用于工控与物联网系统,需要根据其安全特性研究针对性的安全模型和方法体系,以指导后续的安全研究.
同时,从近期发生的安全事件可以看到:针对工控系统的恶意行为是与业务高度相关的,而目前采用的检测方法普遍缺乏与业务的深度融合,缺乏对攻击机理的清楚认识,急需研究适用于工控系统的攻击分析模型,有效发现潜伏在恶意行为.

建议研究方向包括但不限于:工控(或物联网)系统的威胁模型与安全体系.
工控(或物联网)系统具体应用场景下的安全问题与解决方案.
智能配电网、市政燃气管道、水处理等常见工控系统的业务系统的安全需求、安全威胁及其特异性.
通过对工控协议的深度解析,研究利用协议自身存在的安全隐患来构建恶意代码、实施攻击的方法.
研究包括但不限于以下协议:IEC60870-5-104、MODBUSTCP、S7、Ethernet/IP.
提出一种适用于工控系统发掘攻击行为的分析模型.
【F2017-0202C】工业互联网安全检测和防护技术研究工业互联网是开放、全球化的网络,实现人、数据和机器的有机互联,目前正在全球范围内迅猛发展,中国也提出了"中国制造2025"的概念.
由于工业互联网普遍连接着关系国计民生的重要基础设施,一旦出现问题,后果将更加严重.
进入新千年后,针对工业控制系统的攻击行为时有发生,早在2010年就已经出现针对工业控制系统的病毒,利用工业控制领域存在的漏洞感染数据采集与监控系统,最终导致工业设备停止运转.
安全检测和防护技术研究是工业互联网安全研究的核心内容之一.

建议研究方向包括但不限于:基于深度学习的攻击检测方法.
利用深度学习在特征提取上完备性高的特点,通过深度学习来实现高效的攻击检测.
基于白名单模式与深度包解析的攻击检测方法.
研究工业互联网环境下的白名单生成机制,提供MAC地址、IP地址、端口、协议标识符、功能码、设备标识符、数据地址和数据内容等规则选项,白名单内的规则可根据用户需求自行配置.

基于随机序列模型的攻击检测方法.
建立系统的随机序列数学模型,将攻击检测问题转换为随机序列中变点的检测问题.
适用于工业互联网的安全防护方案研究.
【F2017-0203D】软件定义边界在物联网环境下的应用研究物联网设备漏洞层出不穷,单纯的固件更新很难抵抗恶意人员对于物联网设备的攻击.
软件定义边界(SoftwareDefinedPerimeter,SDP)以所有者可控的逻辑组件取代物理设备,只有在设备认证和身份认证之后,才提供对于应用基础设施的访问.
它提供了一种新的访问控制思路,能够有效缓解攻击行为.
SDP技术本身具有通用型,可部署于传统企业环境、IaaS环境、物联网等不同应用环境,本研究关注其在物联网环境中的应用.

建议研究方向包括但不限于:软件定义边界在某一(或某些)特定物联网环境中的应用.
应用的具体环境及其数量不限,可选择车联网、智能家居、工业控制系统等.
软件定义边界自身存在的问题.
SDP技术还不够成熟,研究可改进的点及提出改进方法.
研究在系统部署SDP后,SDP可以抵抗哪些攻击,不能抵抗哪些攻击,对于不能抵抗的攻击,给出防护方法.
【F2017-0204C】物联网安全网关技术研究在物联网环境中,网关扮演着一个非常重要的角色.
在智能家庭环境中,网关是内部设备与外部网络的边界,做好了网关安全,将极大减少物联网的攻击面.
建议研究方向包括但不限于:研究针对物联网网关的攻击方法.
研究物联网安全网关的体系结构.
研究与实现物联网网关的某一(或某些)安全能力.
研究物联网的核心硬件后门检测及防范技术.
网络空间信息探查与威胁情报信息获取能力的不对称是当前攻守失衡的主要原因之一.
孙子曰"知己知彼,百战不殆",而全面的网络空间信息侦察和精准的威胁情报正是网络攻防战场上"知己知彼"的关键.
尤其是当前网络攻击越来越规模化、自动化,各种高级威胁频现的情况下,借助精准全面的威胁情报共享,建立协同防御生态圈,及时掌握攻击者的意图与战略战术,能够极大扩展威胁防御的时空边界,是实施更加积极主动的防御策略的基石,转变主被动防御态势的关键.

【F2017-0301B】网络空间资产指纹识别与探查技术研究网络空间资产包括硬件层面的各种网络设备、通信层面的IP端口和各种网络协议、以及软件层面的操作系统、应用软件及其支撑组件等.
由亿万资产互联互通组成的网络空间是网络攻防的主战场,而网络资产是攻防的直接工具和受体.
资产的网络指纹是网络流量中包含的可用于准确识别资产的特征的集合.
通过研究资产指纹识别与网络探查技术,可以快速实现互联网、物联网、工控系统等接入系统的远程资产识别,进而发现其存在安全威胁,对于安全预警、态势感知、系统加固与应急响应具有极其重要的价值.

建议的研究方向包括:高性能网络资产远程探查模型与分析技术.
适用于主动探查(或被动监听)模式的网络资产指纹库.
可以包括硬件、软件、组件、系统等一个或多个方面.
物联网设备、协议的识别方法.
物联网蜜罐的实现原理和识别方法.
资产指纹自动提取技术.
可从一定规模的网络流量数据中自动提取资产指纹.
【F2017-0302B】互联网威胁情报提取与分析技术研究当前网络空间安全形势日趋复杂,入侵手段不断提升,越来越产业化、规模化.
各种威胁信息散布于网络空间的各个角落,隐藏在海量的网络数据中,无法通过单一的手段获取全面的威胁情报信息,必须通过多种手段从网络空间中汇聚威胁数据,并通过高级分析方法从中提取有价值的情报.
该方向的研究意在对网络空间中威胁情报相关信息的传播机理,及其收集、分析与提取技术进行研究.

建议的研究方向包括但不限于:对网络空间中威胁情报相关信息的主要分布与传播机理进行系统梳理.
从暗网、黑客交流群、论坛、微博、等社交平台和媒体中收集、分析和提取威胁情报的关键技术.
可以针对一个或多个平台或媒体类型.
评估从不同途径搜集的威胁情报的质量与价值.
【F2017-0303C】威胁情报分析与攻击画像技术研究威胁情报的高级形态是对攻击者、攻击事件和攻击对象进行全面准确的刻画,并能对威胁态势和发展趋势进行准确评估.
威胁情报包含漏洞、样本、IOC、告警、资产、等基础情报与外部收集的情报信息,而部分战略、战术层面的高级情报需要基于基础情报分析产生.

建议的研究方向包括但不限于:不同来源威胁情报的比较与融合方法研究.
威胁情报质量评估与验证体系研究.
建立可量化的情报质量评价体系,提出评估标准与评估方法;研究威胁情报时效性评估方法;研究情报准确性验证方法.
基于威胁情报进行网络资产安全指数(易受攻击性)与威胁指数(对外攻击性)评估的方法研究.
网络资产可包括设备、IP、服务等.
攻击者画像技术研究.
对攻击者的描述维度进行定义,并提出各维度情报的收集与分析方法.
基于威胁情报进行安全事件全球发展态势评估与趋势预测的技术研究,包括数据收集方法、评估与预测算法.
基于威胁情报进行特定领域(或行业)的安全态势评估与发展趋势预测的技术研究,包括数据收集方法、评估与预测算法.
数据科学与大数据分析安全行业通过历史积累和大量部署的探针,能够获取到海量的安全数据,包括样本数据、互联网基础数据和攻击相关日志等.
大数据分析技术的成熟给安全研究带来了契机,能够让安全研究员更容易从中发现新的攻击线索和攻击模式.
然而,庞大的数据量仅靠以往安全经验难以应对,需要数据科学辅助安全分析.
因而研究数据科学在安全大数据中的应用对安全分析尤为关键.

【F2017-0401C】基于人工智能的恶意软件分析技术研究目前,主流的未知恶意软件检测技术主要包括静态分析技术和动态行为分析技术.
静态分析技术速度快但是易被绕过,基本上已无法应对当前的高级恶意软件.
动态行为分析是当前主流的未知恶意软件检测技术,优点是恶意软件难以绕过,但其缺点也非常明显,首先是执行速度慢,其次是基于行为规则的告警不易解读,同时难以对恶意软件进行定性判断,且面临很多人工的干预工作,产品运维负担沉重.
以往的改善方式往往是根据文件的静态信息和动态信息进行人工特征提取,通过训练分类器进行判定.
但人工特征提取依赖人工经验,难以发现新的特征维度.
深度学习技术的成熟能够增强特征学习,进而生成高阶的有效特征,因而研究深度学习在恶意软件检测中的应用尤为关键.

建议研究方向包括但不限于:基于深度学习的恶意软件分类技术.
深度学习得出的高阶特征蕴含的安全意义.
基于机器学习的恶意软件行为检测技术.
基于机器学习的恶意软件行为聚类与家族分析技术.
【F2017-0402C】基于全量网络数据的安全分析技术研究网络流量隐藏着网络攻击的全部信息,是安全分析和追踪溯源的关键数据.
本课题意在通过对全量网络数据的采集与分析,利用大数据和智能分析方法,结合传统特征识别分析技术,实现恶意行为、已知与未知攻击的识别与分析.

建议研究方向包括但不限于:基于Netflow与协议元数据,利用智能分析方法进行恶意行为分析与识别的技术,发现常规攻击和高级威胁攻击线索,进行攻击研判和回溯分析.
基于Netflow与协议元数据,利用深度学习方法进行恶意软件识别与分类的方法.
基于Netflow、PDNS、HTTP请求等数据的钓鱼网站的识别方法.
基于全量网络数据的业务层异常行为分析技术.
加密流量自动识别技术.
恶意行为流量特征的自动化挖掘技术.
【F2017-0403C】用户实体行为分析技术研究大多传统的安全防护技术由于采用基于规则和特征的检测技术,具有很大的局限性,不能快速有效地发现未知威胁和异常行为.
UEBA技术为高级威胁与异常行为检测提供了一个新的方案,通过行为分析技术进行正常与异常行为建模与检测,并与基于特征和规则的技术进行整合,可以使自动威胁检测系统更加有效,同时可以指导发现企业内部的异常网络访问与异常业务行为.

建议研究方向包括但不限于:针对主流操作系统、中间件、数据库、网络应用与组件等实体的行为建模与异常行为检测技术.
网络用户或虚拟人识别技术.
用户行为建模与异常行为检测技术.
基于威胁等级和异常程度的威胁研判技术.
半自动化威胁管理与反馈学习技术.
业务网络资产与用户识别、归类与行为画像技术.
安全检测与公共技术【F2017-0501C】自动化漏洞挖掘及防御技术研究当前形态繁多的系统,形式多样的应用广泛存在并被大量使用,基于人类本身的劳动力查找漏洞已经跟不上漏洞出现的速度和频率了.
如何能自动化地挖掘漏洞,并能使其适用于复杂的环境;如何能自动化验证所挖掘漏洞,并提供自动化修复方法,是一项前沿的安全技术研究课题.

建议研究方向包括但不限于:自动化挖掘漏洞的技术和方法,当前主流方法有动态分析(DynamicAnalysis)、静态分析(StaticAnalysis)、符号化执行(SymbolicExecution)、ConstraintSolving、数据流追踪技术(DataFlowTracking)以及模糊测试(FuzzTesting)等.
结合人工智能技术,研究自动化漏洞挖掘技术.
结合人工智能技术,研究已挖掘漏洞的自动化验证技术.
结合人工智能技术,研究已挖掘漏洞的自动化修复方法.
【F2017-0502B】WEB漏洞自动化测试及验证技术研究当前,漏洞扫描的自动化技术已经获得突破,可实现多数漏洞扫描的有效测试,而页面逻辑漏洞的测试与验证尚缺乏有效的自动化方法.
如果能解决web页面逻辑漏的的自动化测试与验证问题,就能从工程上和实践上促进WEB漏洞渗透测试的自动化,逐步降低渗透测试对工程师人员技能的依赖,最终实现渗透测试的规模化、标准化和持续化.

建议研究方向包括但不限于:Web页面逻辑漏洞自动化测试与验证技术的可行性论证.
Web页面逻辑漏洞自动化测试与验证技术的原型实现,并验证其有效性.
WEB漏洞自动化测试及验证系统方案.
【F2017-0503C】网络诈骗行为检测技术研究伴随着移动互联网、网络金融、移动支付能技术的普及,各种形式的网络诈骗行为层出不穷,给广大人民的生命财产安全带来了巨大的危害,迫切需要对各种网络诈骗行为进行及时的检测和处置.
建议研究方向包括但不限于:虚假或钓鱼网站发现与识别技术.
网络诈骗行为识别与检测技术.
网银业务欺诈监测技术研究.
针对商业银行典型网银业务,研究网银业务交易流程梳理及其风险识别、业务欺诈风险规则,并基于历史数据使用机器学习等智能方法建立欺诈风险评估模型,实现网银业务欺诈风险的持续评估和监测.