一种基于意图隐藏的对等网推荐可信度评价模型

对等网信誉系统的一个关键问题是如何提高推荐信息的可用性。现有模型将推荐节点的交易可信度等同于其推荐可信度,因而容易造成恶意推荐节点对信誉系统的虚假推荐和共谋推荐攻击。提出了一种基于意图隐藏的推荐可信度评价模型。在该模型中,一方面恶意推荐节点无法判断节点的查询意图,因而很难采取针对性行为;另一方面,基于历史推荐满意度的评价方法能对节点的推荐可信度进行有效评价。分析和仿真结果验证了模型的有效性。     

内容中心网络中基于熵率的攻击防御方法

兴趣包泛洪攻击通过耗尽路由器中待定兴趣表的资源从而对内容中心网络(content centric networking, CCN)产生严重的影响,目前的攻击防御方法主要是基于待定兴趣表的异常状态统计,但这些方法容易对合法用户产生误判,导致用户体验变差,因此针对内容中心网络中检测和防御兴趣包泛洪攻击的问题,提出基于信息熵和熵率的攻击防御方法。利用CCN中用户请求内容名称的随机性检测兴趣包泛洪攻击,再通过信息熵的差值识别恶意名称前缀,并向相邻节点发送包含恶意名称前缀信息的通知包,从而进行协同防御。仿真结果表明,与传统防御方法相比,在尽早检测出攻击的前提下,该方案能将突发流与攻击流进行区分,并快速抑制恶意兴趣包的转发,有效减少网络攻击造成的影响。     

CMAD-XCP:一种防御XCP协议公平性攻击的协同机制

针对XCP(eXplicit Congestion Protocol)协议分析公平性攻击的方法和特性,提出一种协同式路由器监控机制CMAD-XCP(XCP with Cooperative Malicious Attacker Detection)。CMAD-XCP由核心路由器感知恶意攻击,由边缘路由器实施对恶意流的区分和惩罚。仿真结果表明,CMAD-XCP可以及时、有效地惩罚恶意流,保护XCP协议的公平带宽分配,同时有效避免不公平竞争导致的网络拥塞。     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

基于JavaCard的移动代理安全机制研究

在目前的移动代理系统中,保护主机免受恶意代理攻击的研究已经取得了很大的进展,而保护代理免受恶意主机攻击,却是一个很棘手的问题。提出了用JavaCard来提供安全的执行环境,首先系统分析了代理所受的攻击,接着给出用JavaCard保护代理的详细方案。     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

基于潜在数据挖掘的小样本数据库对抗攻击防御算法

为了降低小样本数据库欺骗率,提升小样本数据库的攻击防御效果,设计了一种基于潜在数据挖掘的小样本数据库对抗攻击的防御算法(潜在数据挖掘的防御算法).采用改进的Apriori算法,通过频繁属性值集的工作过程获取准确的强关联规则优势,并从小样本数据库中挖掘潜在数据对抗攻击,同时优化候选集寻找频繁集的过程,然后利用关联分析检测对抗攻击,并通过可信度调度控制访问速率来防止产生恶意会话,实现小样本数据库对抗攻击防御.实验结果表明,潜在数据挖掘的防御算法可有效防御小样本数据库遭受的多种类型攻击,降低攻击产生的数据库欺骗率,保障小样本数据库服务器利用率的稳定性.     

基于接入层的网络安全防御技术研究

针对病毒和恶意攻击导致网络中断甚至瘫痪的现象,通过对接入层交换机的恶意病毒攻击的安全防御过滤技术,使交换机智能识别网络中携带恶意病毒的主机,并自动中断网络连接,把对网络的攻击源主机终结在接入层,提高网络对病毒和恶意攻击的抵抗力,保证网络安全,在某高校的网络环境中测试,取得了显著效果．     

基于进程级虚拟机的软件防篡改方法

分析整理了进程级虚拟机(PVM)保护机制,并提出一种基于进程级虚拟机的软件防篡改方法.该方法将校验和哨兵技术及反调试技术以虚拟指令(VI)的方式融合进来,设计并实现了多种防篡改安全指令(TPI)和反调试安全指令(ADI),并基于哨兵环和随机化的思想植入源程序中.保证被保护程序的内部代码不遭到恶意篡改攻击,且程序在无损环境中执行.最后,通过原型系统VMGuards进行验证,实验结果表明VMGuards的保护粒度与保护后程序的执行性能开销之间能达到很好的平衡.     

基于区域动态信任管理的可信路由协议

在区域路由协议ZRP的基础上,提出了一种新的移动Ad hoc网络安全可信路由协议。此协议使用基于区域动态管理的可信度计算方法以及身份验证技术,采用动态调整、区域更新、必要时验证等策略,可有效防止路径中信息篡改和路由失效等恶意节点的攻击,提高了网络中路由信息的可信度,较好地解决了Ad hoc网络的路由安全问题。     

路径条件驱动的混淆恶意代码检测

代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.     

MS Windows兼容的系统芯片硬件核心的分析与实践

研究了开发MS Windows兼容的系统芯片硬件核心的方法.该方法在确保MS Windows兼容的前提下,通过多次模拟运行、逐步抽取的方式获得硬件核心基本系统功能规范.实验表明,相对于完整系统,该硬件核心的复杂度大幅度降低,同时表明不同MS Windows版本所需硬件核心有明显差别.此外,还在FPGA原型上验证了支持MS Windows 98的系统芯片硬件核心.     

恶意代码的符号执行树分析方法

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。     

WindowsNT环境下基于多线程的面向对象应用系统设计

以ＷｉｎｄｏｗｓＮＴ为背景，提出了设计我线程进程与实现多进程启停同步的面向对象的表驱动方法，给出了１种通用的实现框架，基于该框架设计多任务应用，可充分利用系统资源，实现多个任务的并发招待。     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。     

事务级入侵容忍数据库的控制和修复策略

在研究了UMBC的事务级入侵容忍的多阶段损害控制模型的基础上,提出了一个改进的多阶段损害控制模型,在初始化控制阶段设计了更新记录日志,有效避免了恶意事务对其进行破坏.解控阶段放弃对事务进行实例化,采用受控数据的过量控制策略,避免破坏扩散发生,同时减少了恢复延迟.对于两个解控阶段采用并发执行的策略,进一步提高了执行速度.实验结果表明,提出的算法在修复时间、修复准确率等方面大有提高.     

基于Windows Hook的软件录制回放系统的设计和实现

针对现有高可靠性软件中回放功能性能低下、实现繁琐的现状,提出一种基于守护进程(Daemon)和Windows Hook的通用窗口软件记录机制。该机制由独立于被录制软件的守护进程动态的监视、截获、记录用户的操作动作,从而达到高效、透明的录制效果和完整再现用户操作的回放效果。     

一种基于残差分析过滤的安全定位算法

在无线传感网络节点定位中,恶意锚节点的出现会降低网络定位性能,为了解决这个问题,根据节点定位过程中的恶意锚节点攻击特性和定位计算中的残差问题,提出一种基于残差分析和过滤的无线传感网络安全定位算法.建立了基于距离的安全定位模型,对网络定位中的残差问题进行了分析,并且通过残差特性过滤掉网络中恶意锚节点,利用剩余锚节点信息和梯度下降法对未知节点实现高精度定位.仿真表明,此算法在多个性能指标下都能取得相对较高的定位精度,并且在高强度的恶意攻击下也能保持较高的定位性能.此算法不但能有效地抵御恶意攻击对节点定位的破坏,还显著地加强了网络的定位安全性.     

vCerberus: A DRTM system based on virtualization technology

This paper presents vCerberus, a novel hypervisor to provide trusted and isolated code execution within virtual domains. vCerberus is considerably tiny, while allowing secure sensitive codes to be executed in an isolated circumstance from the virtual domain, and can be attested by a remote party in an efficient way. These properties will be guaranteed even if the guest operating system is malicious. This protects the secure sensitive codes against the malicious codes in the Guest OS, e.g., the kernel rootkits. We present an approach to dynamically measure and isolate the launch environment on the virtual machines based on the para-virtualization technology and a novel virtualization of trusted platform module (TPM). Our performance experiment result shows that the overhead introduced by vCerberus is minimized; the performance of the launch environment in vCerberus is as competitive as the guest OS running on mainstream hypervisors.