网络安全小组在高能所网络安全运维和安全保障体系建设实践的基础上,开展相关安全技术研究,主要研究方向包括入侵检测与防御、安全漏洞与恶意代码、重大科技基础设施安全等。网络安全攻击手段发展日新月异,跟踪和研究最新入侵检测与防御技术、最新安全漏洞检测与修复手段是安全运维工作的重要技术基础,也是安全体系建设的重要组成部分。高能所建设和运行着多个国家重大科技基础设施,研究重大科技基础设施安全体系标准和相关技术,加强设施安全防护能力建设,在日益严峻的网络安全形势下对保障设施平稳运行具有重要意义。
入侵检测与防御方面主要研究基于流量、日志和威胁情报等安全数据分析检测,以及主机安全取证研究等方法研究入侵行为特征并研究制定相应防御策略。目前主要开展基于Zeek的流量分析系统研究、基于MISP的威胁情报共享系统研究,以及基于Kafka,ELK等数据管道和分析工具的日志分析研究。同时开展与商业解决方案的对比研究。
安全漏洞研究方面,主要开展Web应用漏洞和主机漏洞的跟踪、检测、缓解和修复方法研究。随着信息化的发展,安全形势日益严峻,新安全漏洞层出不穷。利用最新安全漏洞实施网络攻击成为入侵者的主要手段之一。因此及时跟踪最新漏洞,研究其检测、缓解和修复方法,对于我们及时修复漏洞十分重要。
高能所建设和运行着多个国家重大科技基础设施。加强这些设施的网络安全保障能力十分重要。网络安全小组自2018年起开展重大科技基础设施网络安全相关研究。主要研究内容包括重大科技基础设施网络安全战略咨询研究、标准体系研究、安全保障示范工程建设等。同时,与中科院内其他承担重大科技基础设施的研究所以及网络安全相关技术研究机构合作,开展全院范围内的重大科技基础设施网络安全建设方案研究与合作。