应用安全支撑平台体系结构与实现机制研究
摘要:针对等级保护工作中应用系统面临的典型安全问题,设计并实现了应用安全支撑平台。该平台以可信计算为基础,最小权限为原则,利用应用环境中资源与进程的映射,构建可信域与非可信域,限制了应用安全漏洞能够影响的范围,实现了应用间信息流的安全隔离。利用应用安全封装机制,在系统内核层对来自上层应用的信息流加以分析和判决,确保了安全机制的通用性与不可旁路性。基于IXP2850的异常流量检测模块的设计与实现
摘要:为了解决高速网络中异常流量对节点系统的冲击而难以实时检测的问题,设计实现了一种基于网络处理器IXP2850的异常流量检测系统模块。该模块采用两个微引擎并行的方式嵌入到路由系统的流水处理中,提出了分级统计的方法来解决IXP2850可移植构架中线程交叉复杂而造成的资源冲突问题,提高了系统的吞吐量,采用用户行为距离运算和本地资源监控相结合的分析方法,对突发性流量攻击的检测在精度和反应延迟表现优于一般的采集-分析异构系统。直接评价节点诚信度的P2P动态信任模型
摘要:为解决现有P2P信任模型计算开销大、动态适应能力差、推荐可信度的动态性未得到足够重视等问题,提出了一种新的动态信任模型。通过直接交互节点的局部评价加权其推荐可信度计算节点的全局信誉值,避免了迭代过程,降低了网络开销。采用基于时间帧的方法更新节点的全局信誉值和推荐可信度,以抑制节点提供服务和推荐两方面的动态性。仿真实验结果表明,新模型较现有模型在网络开销、节点动态性推荐的抑制等方面有较大改进。基于PKI和U盘的身份认证系统的设计与实现
摘要:为提高网络应用系统的安全性,同时降低系统升级的成本和复杂性,提出了一个基于公钥基础设施(PKI)和U盘的身份认证系统。在系统设计中,以PKI安全体系为基本框架,采用“挑战/应答”协议实现对用户身份的有效确认,使用普通U盘作为数字证书的载体,同时结合双因子验证机制,不但大大节省了应用系统的升级费用,而且保证了数字证书的移动性和安全性,提高了证书使用的便利性。在系统实现中,通过单一文件接口简化了与应用系统的集成过程。改进的基于RTT口令认证协议
摘要:传统的口令认证方案面临自动程序实施的在线字典攻击威胁,为了解决这个问题,Pinkas和Sander提出了一个基于RTT的口令认证协议,虽然该协议有很高的安全性,但是该协议存在已知函数攻击和缺少对恶意用户的惩罚措施的不足,针对以上不足,提出了一种新的改进方案。改进后的协议不公避免了原有协议的不足,且能更好地防止在线字典攻击。在NET平台下编程实现了改进后的协议,实验结果表明,该协议有很好的可用性和可扩展性。基于改进ReliefF算法的Honeynet告警日志分析
摘要:针对蜜罐中数据分析系统的薄弱性,提出了基于PCA和改进的ReliefF方法的告警日志分析系统。通过主成分分析,去除特征之间的冗余性,能够有效降低算法的复杂性,再利用改进的ReliefF算法,选择出最能代表样本的特征,构成有效特征子集,实现特征的降维。该方法能够在保证较高分类精度的同时,显著提高分类速度,并在一定程度上实现了数据分析的智能化和自动化,实验结果表明了其正确性。白名单主动防御系统的设计与实现
摘要:党政机关对于未知木马、恶意程序入侵造成的泄密往往采用安装杀毒软件的方法,但是基于黑名单技术的传统杀毒软件的特征库的更新晚于恶意软件的发现,所以无法从根本上做提前防范,因此提出了一种基于白名单技术的主动防御系统。详细阐述了系统功能模块的划分和客户端验证等关键技术的实现方法。白名单采集的是经过管理员验证后可信任软件的文件指纹,然后通过文件指纹的校验和比对,可以禁止运行未知的软件,从而在根源上节制了恶意软件的运行和传播。微过滤驱动在终端文档安全保护中的应用
摘要:在研究WindowsNT内核操作系统的驱动框架的基础上,基于Minifilter过滤驱动技术以及文档标识技术,设计并实现了一个具有文件安全保护能力的终端文档安全保护系统。该系统既实现了对终端文档的透明标识及透明加密安全保护,又具有对文档访问的策略控制,能有效地防止终端重要信息的泄漏。改进了文档标识技术,将文档密钥嵌入文档标识中,文档标识不仅起到标识文档的作用,也起到了简化密钥管理的作用。基于Kerberos协议的单点登录研究与设计
摘要:通过对传统的基于Kerberos协议的单点登录研究,分析了其存在的问题,提出了自己的解决方案。该方案采用密钥分发中心与资源服务器的会话密钥来替代它们之间的永久密钥以提高系统的安全性,采用基于时间戳和MAC地址的双重验证来解决重放攻击问题,采用Flag标记实现客户方与资源服务器的双向验证。在此基础上设计出了改进的单点登录系统,开发了软件系统原型,并通过实验验证了所提方案的有效性,为单点登录提供了可行的解决途径。计算机病毒的演化与控制
摘要:为了更有效地预防和控制计算机病毒,提出了一个传播模型,并利用该模型分析病毒的演化。运用动力学方法分析了模型的平衡态和稳定性,并进行了仿真验证。在理论分析的基础上,利用蒙特卡罗算法仿真了病毒对传播率的演化选择。仿真结果表明,复杂的生态环境更有利于小传播率病毒的传播。对具有演化优势的病毒,进一步仿真了防病毒技术出现的时间延迟和系统重装周期对该类病毒的影响,结果表明,减少时间延迟和有选择地延长系统重装周期有助于遏制小传播率病毒的传播,并且,理论分析为选择系统重装周期提供了指导。基于TCM的可信签名系统设计
摘要:针对普通PC环境下的电子签名可能被恶意程序篡改、不能保证电子签名的真实性的问题,提出一种基于可信计算技术和嵌入式技术的嵌入式可信签名系统。该系统基于TCM设计了一个嵌入式可信电子签名终端,通过信任链的建立和平台完整性的证明构建了可信签名环境,并设计了可信环境下的签名和验签方案。由于系统设计的信任链基于嵌入式系统的核心可信度量根CRTM,信任链在终端启动时即开始建立,而非系统硬件启动后进行,保证了信任链的完整性和签名环境的可信性。IPv6源地址和网络业务验证体系结构
摘要:针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。基于移动Sink节点剩余能量树路由算法
摘要:在深入研究了异步可延伸能效(SEAD)算法和MintRoute算法的基础上,提出了剩余能量树路由算法,该算法将网络中的节点分成能量相近的区域,再利用SEAD算法的思想,在每个能量相近的区域中构建以采样节点为根,传递节点作为枝叶的树状网络结构模型,将树最末端的节点作为节点,Sink节点移动时,只需要保持同节点的通信,便可以保证Sink节点同整个网络连通。运用该路由算法可以很好地解决无线传感器网络中的因某个节点过早死亡而导致网络路由“瓶颈”问题和节点间的信息泛洪问题。采用剩余能量树路由算法,可以使网络能量得到更均衡合理充分的利用,仿真实验结果表明,该算法可以很好地延长网络寿命。JSON数据传输效率研究
摘要:为了对Web开发中数据传输格式的选择提供更有力的参考依据,研究了当前主流数据传输格式JSON(Java Script objectnotation)的数据传输效率。对XML及FSV格式的数据传输开销公式进行了分析和研究,在此基础上针对JSON格式数据记录进行比较分析,提出了JSON数据传输开销计算公式。分别从数据传输开销、传输时间以及客户端数据反序列化效率3个方面对JSON、XML及FSV(fixed—sizedfile)进行量化比较,实验数据表明,JSON在数据传输效率方面明显优于其他数据传输格式,这为轻量级应用中数据传输格式的选择提供了一个优化的参考方案。多数据项请求的多信道并行广播调度算法
摘要:为减少数据广播中用户请求的平均访问时间、提高广播性能,提出了一种新的基于减少数据访问冲突和应用重复广播技术的广播调度算法。该算法有效减少了多信道并行广播中多数据项请求的访问冲突,对热点数据项采取重复广播技术,极大地减少了对热点数据项请求的访问时间。仿真实验结果表明,该算法有效地降低了平均访问时间,提高了数据广播性能,特别是在访问概率偏斜率较大时具有更好的性能。二维扩频系统帧同步技术研究与FPGA实现
摘要:对TF/MCDS—CDMA(time—frequency—domain spread Multicarrier DS—cDMA)系统结构和同步问题进行了详细的分析,根据TF/MCDS—CDMA具有OFDM结构的特点,提出了利用最大似然算法完成整个系统的帧同步,针对最大似然算法运算量和硬件开销大以及TF/MCDS。CDMA可容纳用户及数据量多的特点,在FPGA实现中提出了利用双RAM缓存数据并且在移动求和模块中采用移动窗累加、CP长度可调等措施,一定程度上减少了系统的硬件资源开销,提高了同步模块的运行速度。在QuartusII7.2工具平台上对同步模块电路进行了时序仿真,仿真结果表明,模块电路可以准确地检测到每帧数据的帧同步点,在减少硬件资源开销的同时能够保证整个同步模块的精度,满足预期要求。能量有效的无线传感器网络时间同步算法
摘要:针对无线传感器网络时间同步能耗问题,提出一种能量有效的时间同步算法。该算法结合了TPSN协议和RBS协议的特点,利用无线信道的广播特性,在两个参考节点广播域里的所有节点通过监听参考节点之间的数据包交换而达到同步。并提出一种同步节点选择方法,将该同步算法扩展到多跳网络。实验结果表明,该算法在保持同步精度的同时降低了能量消耗。基于谱相关函数的多循环频率合作频谱检测
摘要:为了避免干扰主用户的通信,认知用户在伺机使用主用户授权频段之前,需要检测该频段是否处于空闲状态,为此研究了基于谱相关函数的频谱检测方法。根据噪声谱相关函数的幅度确定检测门限,将接收信号在主用户某一循环频率处的谱相关函数的幅度与检测门限进行比较,若大于判决门限,则判断主用户存在。利用主用户信号的多循环平衡特性,多个循环频率之间通过合作检测来提高检测性能,并利用蒙特卡洛仿真方法验证该检测方法的可行性。仿真实验结果表明,该算法可有效检测到主用户,通过多循环频率的合作检测提高了检测概率。
