基于权限提升矩阵的攻击图生成方法

目前的攻击图生成算法的复杂度较高,难以应用于大规模网络环境的攻击图生成.本文对攻击图构建过程进行了研究,在攻击模式库和目标环境描述模型的基础上,提出了基于权限提升矩阵的攻击图生成方法,以矩阵描述攻击过程中攻击者的权限提升过程,能够以较低的算法复杂度生成攻击图.搭建实验网络,验证了本文算法的攻击图生成过程.      

Linux Kernel 2.6的权限提升类漏洞攻击研究

缓冲区溢出攻击和CoreDump攻击是两种常见的权限提升类漏洞攻击。通过分析攻击原理,指出了攻击产生的原因及危害,并提出一种主动防御攻击的新方案。     

Linux 环境下Web服务器攻击的防范措施研究

Linux系统下Web服务器所受到的攻击越来越频繁.为了保护Web服务器不被恶意攻击与破坏,就必须针对从HTTP拒绝服务攻击、缓冲区溢出、基于PHP的SQL注入攻击以及攻击者获取root权限等问题,对相应的硬件与软件进行合理的配置.     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

改进的RBAC模型在电子政务系统中的应用研究

针对传统RBAC模型的不足,提出一种新的RBAC权限模型。该模型在传统的RBAC模型的基础上引入了岗位和机构两个实体,使得权限的管理配置更加灵活,同时增加了数据权限管理,实现了数据权限和功能权限的集成处理。该方案借助流行的SSI框架在某电子政务系统中得到应用,结果表明:改进后的权限管理模型不仅提高了系统的安全性,而且使得系统的权限维护和扩展更加方便。     

数据库访问安全性研究及实现

数据安全访问是保障数据库安全的关键问题之一。本文首先研究了数据库访问安全的要素,针对用户权限及系统攻击进行了详细阐述。接着重点分析了数据库访问安全模型及实现,实现的模型中应用程序使用具有最小权限的帐户进行数据库登录。通过本文的研究,希望能够为应用开发者就数据库访问安全的实现提供有价值的参考。     

基于Servlet/JSP的WEB安全控制

由于网络开放性、程序缺陷和黑客的攻击,基于Servlet/JSP技术的Java Web应用面临安全控制的重大挑战。针对系统部署,提出了通过声明方式在web.xml文件中指定安全处理机制,为Web资源设置安全约束,指定Web资源访问权限;从程序语言本身,分析了如何对跨站脚本攻击和注入缺陷等安全隐患进行最大程序的防范,根据各种攻击方式的原理及其攻击过程,进行了更细粒度的安全控制。     

内存RowHammer攻击与防御综述

RowHammer攻击利用DRAM的固有特性,可对不具有访问权限的内存数据进行修改。通过攻击可导致提升特权、拒绝服务,甚至数据泄露等严重后果,破坏了内存数据的完整性和机密性。低成本且高效的攻击手段给用户和企业的数据保护带来了很大的威胁和挑战。针对RowHammer的攻击和防御已经成为该领域的一个研究热点。文章首先简要介绍内存的基本架构,对RowHammer攻击进行分析和总结;然后从硬件和软件的角度对现有的防御方法进行梳理,讨论了现有缓解技术的可行性和实用性;最后指出了未来值得研究的发展方向。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

入侵检测系统规则的挖掘

针对基于网络的入侵检测系统Snort,提出了一种新颖的规则挖掘方法.这种方法希望帮助Snort入侵检测系统,自动从检测的攻击数据中生成误用检测规则,实现自动检测最新攻击和异常攻击的能力.为了达到这样的功能,设计了一个规则挖掘模块,它能够应用数据挖掘技术从收集的检测攻击包中提出新的攻击规则,并且转化到Snort系统的检测...     

目标价格形成机制下的装备修理价格审核研究

为促进装备修理价格审核工作的发展,提高装备修理费用的使用效益,通过对目标价格的相关分析,说明了如何在装备修理价格管理中运用目标价格的价格形成机制,并对新的价格机制下审价工作的改变进行了研究,提出了实施目标价格的价格形成机制的几点建议。     

ASP动态网页安全性探讨

目前应用ASP开发Web程序应用很广,但安全性往往被忽视。下面从服务器端和ASP程序两方 面的安全设置进行讨论。包括NTFS权限、Web权限、安全设置和客户身份验证等方面。     

一种基于船舶应用的权限管理系统

 权限管理系统是船舶管理系统中的重要模块，其在系统中所产生的作用是非常巨大的。通过对船舶系统、权限配置管理功能模型进行分析，探讨了权限配置管理中间件实现的关键技术，研究并实现了基于船舶系统的一种权限配置管理系统。     

基于品质度量的移动自组织网络安全分簇算法

为解决移动自组织网络中分簇存在的恶意簇首和簇首不稳定问题,通过在簇首选择中引入节点品质度量模型和分布式TA选择机制,提出了一种移动自组织网络安全分簇算法。该算法能生成适应不同通信模式、通信距离和移动速度的稳定簇结构,保持可信权威机构TA成员的相对稳定性。仿真分析表明：SCAQM能抵御外部恶意节点的入侵和内部合谋节点的威胁。相比其他分簇算法,SCAQM能有效抑制节点的恶意行为,以较小的算法控制开销生成更稳定的分簇结构。     

基于动态ID跳变的CAN总线安全调度算法

CAN(controller area network)总线是应用最广泛的现场总线,由于缺乏认证及消息检验机制,使得现在的CAN总线具有极大的安全隐患,需要为CAN总线设计防御机制.针对此情况,本文设计了一种优先级跳变机制,将通过散列函数进行一次性标识符动态跳变的方式引入到实时调度算法中.使用遗传算法计算固定优先级,求出优先级可妥协范围,将各帧进行分组,将数据帧的ID段进行分段重构,ID段前部分决定优先级并进行优先级跳变,ID段的后部分进行一次性动态跳变.实验结果表明,使用动态优先级和一次性ID跳变的方式进行跳变,相较于已有的ID跳变机制其安全性有了较大的提升.     

一种基于C/S模式的用户权限管理机制

通过对数据库应用系统开发中用户权限管理实现问题的分析 ,提出了一种基于C/S模式环境下安全性较高、操作方便、实现容易的双重用户权限管理机制 ,即应用程序控制系统模块的操作权限 ,而对于其不能控制的安全性则利用DBMS提供的用户权限管理机制 ,使用户以不同的权限登录数据库 .给出了在Powerbuilder/Oracle环境下具体的实现方法     

远程用户身份认证

网络信息安全的第一道防线是身份认证,文章基于一般远程登录机制的弊端,提出了一种实用的身份认证方法。     

一种基于异或运算的属性撤销CP-ABE方案

针对属性撤销CP-ABE方案中密钥更新时属性授权机构与用户之间的通信开销过大及密文更新时云存储中心的计算复杂度过高的问题,本文提出一种基于异或运算的、支持属性级撤销的密文策略属性基加密方案. 在该方案中,属性授权机构先将需要撤销的属性名称、被撤销用户的标识及新的时间参数发送给云存储中心,然后云存储中心根据用户标识和新的时间参数的异或结果与密文的一部分进行异或运算,得到新密文.收到新密文后,正常用户可以利用自己的密钥解密得到原密文,进而得到明文,而被撤销用户则只能使用已撤销属性的新密钥才能解密得到原密文,从而实现属性级撤销. 理论分析和数值模拟表明,在保证系统安全性的前提下,该方案能够减少属性授权机构与用户间的通信开销,降低云存储中心的计算复杂度.     

Apache安全机制的研究及应用

Web服务是Internet上最常见的服务之一。本文介绍了Web服务器软件Apache提供的安全机制。基本认证和HTTP认证提供了对受保护资源的访问控制策略 ,而SSL则提供对敏感数据加密传输的机制。     

我国《职业教育法》执法监督制度的完善

《职业教育法》颁布实行十多年来为职业教育的发展起到了巨大的推动作用，但由于该法执法监督制度的缺陷，使其很难成为真正的强制性规范。立法机关应从执法主体、执法程序、执法权限和法律责任等方面对职业教育法的执法监督制度进行重新修订，从而符合职业教育当前发展需要。