“自动化漏洞挖掘与攻击检测”为《信息安全研究》2022年第7期专题方向。本期专题的责任编委老师是北京大学博士生导师文伟平教授。下面由文老师为大家推荐本期专题论文，欢迎大家阅读留言。

▶专题推荐论文

《僵尸网络多级控制关系可视化分析》（作者：付博扬、严寒冰，单位：北京航空航天大学计算机学院、国家计算机网络应急技术处理协调中心）

《虚拟机软件保护技术综述》（作者：李成扬、陈夏润、张汉、文伟平，单位：北京大学软件与微电子学院、武汉十月科技有限责任公司战略规划部）

《僵尸网络多级控制关系可视化分析》

▶论文推荐理由

近年来信息化快速发展，互联网设备深入渗透到生活中。截至2018年，中国已建立了近33亿个连接的庞大网络，预计到2025年该数字将达到接近160亿，这也导致僵尸网络中的被控设备数量大幅度增长，网络上的大规模攻击也越发猖獗。2019年的一起针对在线流媒体应用的大规模僵尸网络攻击中，短短13天内受控设备数量高达40多万台。僵尸网络中的主机在网络中常常处于隐匿状态，这就导致如果仅通过对网络上的单个节点流量进行检测以发现异常，从而检测僵尸网络行为是不可行的，关闭流量异常节点的处置方法难以对整个僵尸网络造成打击。因此，如何发现可疑的攻击者使用的僵尸跳板网络成为建立有效防御手段的重要步骤。

论文提出的僵尸网络多级控制关系可视化分析系统可以基于流数据，判定僵尸网络中哪些节点是多级控制网络中的非顶层节点，从而发现网络设备之间的多级控制关系，定位可能处于跳板位置的C&C服务器节点，为后续溯源分析，发现隐藏的主机节点提供帮助。

▶责任编委点评

论文针对网络攻击当中的隐藏行为，尤其是僵尸网络中的隐藏主机节点进行研究。分析了当前针对单个节点的异常流量进行僵尸网络检测的局限性；通过流特征筛选控制节点，梳理控制行为，基于图数据库实现了僵尸网络多级控制关系可视化分析；利用关系数据可视化直观发现节点间的多级控制关系，找出跳板节点，溯源僵尸网络，从而找出隐藏的主机节点；提出引入基于图的方法进一步区分节点的行为模式，划分出不同集群，从可疑僵尸网络社区中选择出真正的僵尸网络社区，并进一步判断僵尸网络社区中每个节点所扮演的角色。论文为僵尸网络检测提供了一种新的可视化检测分析方法。

▶论文主要内容

论文主要分为4部分：介绍了僵尸网络主机溯源以及定位分析所面临的挑战；对当前僵尸网络行为检测的相关研究进行分析；研究并设计了僵尸网络多级控制关系可视化分析系统；对僵尸网络多级控制网络的进一步分析和探索进行展望。

《虚拟机软件保护技术综述》

▶论文推荐理由

在软件的分发过程中，针对软件的静态和动态分析始终存在。虚拟机软件保护作为代码混淆的延伸发展，为抵御MATE攻击提供了可能性。面对该领域综述性文章空白的现状，亟待相关优秀成果出现。

论文梳理汇总了国内外虚拟机软件保护研究现状，针对虚拟机软件保护的架构和安全性给出了详细阐述，对该领域的进一步研究作出了贡献。

▶责任编委点评

论文针对国内外虚拟机软件保护的成果进行分析。对当前虚拟机软件保护研究存在的问题和面临的挑战进行阐述：一方面是保护层面有待新理论的提出，在降低性能开销和增强保护效果上取得突破；另一方面是对于方法的评估模型或指标的构建，结合方法本身的特性给出可量化的评估方案。对有关研究方向和方法进行介绍，并给出直观的汇总与分析。针对虚拟机安全性进行分析，从被保护程序以及保护程序2种安全实体出发，阐述相关安全性保障。对未来进行展望，提出从统一评估指标、开销和保护粒度、跨平台性等方面进一步研究。

▶论文主要内容

论文主要分为4部分：指出现有虚拟机保护中存在的问题；介绍虚拟机软件保护的结构；引述相关文章对其安全性进行分析和总结；对未来研究方向进行展望。

【本期责任编委·个人简介】

文伟平，北京大学教授，博士生导师。全国网络信息安全工程师高级职业教育项目组核心成员，北京大学软件安全研究小组主要负责人，通信网络安全专委会委员，北京计算机学会网络安全与法务专委会主任，公安部第一研究所和中国航天科工集团软件测评中心专家组专家。主要研究领域为系统与网络安全、大数据与云安全及智能计算安全研究。

阅读论文全文可至“信息安全研究”官网查看。