SYN_Flooding攻击原理及预防方法

:SYN—Flooding攻击是一种拒绝服务攻击。文中分析了SYN—Flooding攻击的原理 ,探讨了一些解决办法 ,重点论述了基于监控方式的预防方法。该方法给数据的源地址赋予不同的状态 ,根据源地址的状态来处理不同的数据包。

Web服务访问控制模型研究

本文分析了Web服务给访问控制带来的挑战性问题,包括跨域的访问控制、动态授权和标准化问题等。然后,根据访问控制模型的决策依据,对现有的访问控制模型进行了分类研究。介绍了各类模型的基本原理,分析了它们解决Web服务访问控制挑战性问题的能力。最后,对Web服务访问控制模型研究的方向进行了讨论。

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。

高校课程过程式考核方法的思考与探索

针对过程式考核方式在具体实施过程中存在考核目标不明确、考核环节及考核内容设置不合理、考核结果缺乏及时反馈等问题,从课程考核目标定位、考核结果反馈、高分和高能统一等方面分析过程式考核的本质,总结过程式考核的一般过程。以计算机网络课程为例,说明网络工程本科实施过程式考核的一些具体实践情况。

计算机网络课程中的基于问题教学模式

分析计算机网络课程理论教学中导致学生兴趣不高的主要原因和可行对策,提出基于问题教学模式的基本思路,具体介绍课程组在计算机网络课程理论教学中的实践过程。

基于担保的Web服务访问控制模型

提出的基于担保的Web服务访问控制模型采用形式化的方式描述,核心思想就是主体与对象之间通过担保人建立联系,担保人为主体颁发授权担保,多级担保形成一条担保链,通过担保链,主体可以得到对象一定信任度的授权;给出了基于担保的Web服务访问控制模型的授权决策算法,并通过实例说明了基于担保的授权决策过程。

7-Zip加密文件快速口令恢复算法研究

随着7-Zip软件的广泛使用,快速恢复7-Zip加密文件口令对信息安全中的电子取证有着充分的现实意义。目前针对7-Zip加密文件的口令恢复问题,主要依靠219轮SHA256产生AES256密钥结合循环冗余校验(Cyclic Redundancy Check,CRC)校验码验证的方法,效率不高。通过研究7-Zip加密文件的明文统计特征,提出使用明文特征进行验证的快速口令恢复算法;通过分析7-Zip加密流程的脆弱性,提出使用密钥表进行解密的快速口令恢复算法。实验数据表明,设计的算法大幅度减少了计算量,在CPU上与目前业界使用最广泛的John破解软件相比,其口令破解速度可提升数千倍。

基于逻辑的访问控制研究

描述了访问控制和逻辑的关系,并将访问控制授权判决问题归约成逻辑蕴涵问题;总结了基于逻辑的访问控制的基本逻辑问题,即逻辑基础、可判定性和安全性分析;分析了一些访问控制模型的基本逻辑问题,包括基于身份的访问控制模型、基于信任管理的访问控制模型和基于属性的访问控制模型;指出了结构化属性描述能力和安全性分析是基于逻辑的访问控制需要进一步研究的问题。

基于PMI的文件访问控制系统

随着互联网的发展,基于网络的应用越来越多,而其中文件的访问是使用得最多的应用之一.如何实现对这些文件系统的有效访问控制,是一个很有意义的课题.

基于属性的内部文档访问控制

采用基于属性的访问控制模型思想,实现了分布式环境下的内部文档访问控制。采用F-Logic语言,描述了访问控制策略,具有良好的结构化知识的描述能力。采用FLORA-2作为逻辑推理引擎,具有更好的通用性。在统一的访问控制框架下,以具体应用为例,描述了基于属性的内部文档访问控制实现过程中的各个要素,包括属性描述、访问控制请求描述、策略描述。

Web服务防火墙的设计与实现

为弥补传统防火墙对Web服务防护能力的不足,设计了Web服务防火墙—WS-Firewall,其主要功能是Web服务攻击检测拦截和提供Web服务的访问控制机制。通过应用XML模式匹配方法,提高了Web服务攻击检测的能力,实现了基于属性的访问控制机制,更适合Web服务的跨域应用场合。

Modem与局域网安全研究

该文讨论了与Modem有关的局域网安全问题。局域网内的用户如果通过Modem拨号连入Internet,将是黑客打开入侵网络的另外一条通道。该文深入分析了这个安全隐患的实质、起因、危害,给出了预防该隐患的安全措施,并针对该隐患介绍了笔者研发的一个安全软件C-Cat。最后,文章就网络安全的实质提出了自己的一些观点。

IP分片重组Cache实现的测试与分析

IP碎片攻击是网络攻击的主要方式之一,攻击者利用系统对IP数据包分片重组实现上的漏洞,构造大量特殊的分片发送给目的主机,导致目的主机由于重组错误而造成拒绝服务、系统崩溃等。IP分片重组Cache的实现包括IP分片的重组算法、超时处理、替换策略等。文章从分析Linux操作系统IP分片重组Cache实现的策略入手,提出了一种测试IP分片重组Cache实现的方法,并在此基础上推测出Windows系统实现IP分片重组Cache的方法。

基于函数注入的沙箱拦截识别方法

沙箱验证机制的测试需要首先识别沙箱拦截,即识别沙箱截获的系统函数集。已有的Hook识别方法大多仅关注钩子的存在性,识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法,该方法分析系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先,向不可信进程注入并执行系统函数来获取函数的执行记录;其次,根据沙箱截获系统函数执行记录的特点,设计了地址空间有限状态自动机,并在自动机内分析获取的执行记录来判别沙箱截获的系统函数;最后,遍历测试函数集来识别目标沙箱截获的系统函数集。该文设计实现了原型系统SIAnalyzer,并对Chromium和Adobe Reader进行了沙箱拦截识别测试,测试结果验证了方法的有效性和实用性。

一种Web应用中轻量级的JavaScript API保护机制

随着Java Script API的功能日益强大,对Java Script API保护机制的缺失,导致Web应用面临严重的安全风险。提出一种轻量级的Web页面Java Script API的保护机制PMJA,证明由PMJA保护的Java Script API不被攻击者恶意利用。PMJA定义浏览器为Web页面提供安全风险的Java Script API,允许开发者细粒度的配置每个页面可访问有安全风险的Java Script API。策略语言简单易用,开发者可自动为Web页面设计策略,使用PMJA对Web页面渲染效率的影响较小。实验结果表明,使用PMJA页面的渲染时间增加0.7%~5.1%,平均不足2.8%。由于在Web页面中嵌入一段Java Script代码即可实现,PMJA直接部署到现有的Web应用中。

软件安全测试课程情景式考核模式改革探索

软件安全测试是一门实践性非常强的专业课程,内容面广,教学和实践过程复杂,考核难度大。针对计算机和软件工程专业学员的特点,结合教学实际情况,探索情景式教学和考核模式的构建方法和改进措施,对推进教育改革,培养高素质网络安全人才具有指导意义。

内容安全策略研究综述

从发展历程、安全目标、实现方法、研究进展等方面对内容安全策略进行了综述,并展望了未来的主要研究方向。

基于机群网络入侵阻断研究

首先叙述了NNA侵阻断技术背景，然后分析了网络入侵阻断技术发展状况及所存在的问题．在此基础上，本文提出了一个基于机群网络入侵阻断系统(简称CBIPS)，CBIPS由多台计算机组成，并行阻断网络攻击．实验结果表明，CBIPS可以提高网络入侵阻断性能．

面向资源泄漏的浏览器沙箱测试方法

资源泄漏是导致浏览器沙箱逃逸的重要缺陷之一,已有浏览器沙箱测试方法不完全适用于发现资源泄漏缺陷.基于大多数导致沙箱逃逸的资源具有相同或相似属性取值的分析,本文提出了一种面向资源泄漏的浏览器沙箱测试方法.该方法首先分析并约简敏感资源的属性来生成资源筛选规则;其次,定义资源与资源筛选规则前件的最大加权语义相似度为逃逸指数,并使用逃逸指数阈值来筛选测试资源;再次,设计并实现了原型系统BSTS(Browser Sandbox Testing System),并在BSTS内分析了方法的性能.进一步,选择多个主流浏览器沙箱来测试本文方法的资源泄漏发现能力,实验结果显示本文方法具有良好的资源泄漏发现能力.

网络协议分析实验课程设计

针对网络协议分析实验课程存在的实验内容相对陈旧、验证型实验比例过大、课程实施灵活性差等问题,从实验科目更新、动手能力提升、创新能力培养、模块化实验科目设计等方面入手,对网络协议分析实验课程的科目内容和实施方式等进行探讨并提出改进措施。