一种主动检测和防范ARP攻击的算法研究

为了能有效对抗ARP攻击,提出一种采用主动检测技术的算法。在算法中,对主机发送和接收的ARP报文头信息进行一致性检测,丢弃ARP头信息不一致的ARP报文;根据接收的ARP报文信息构造特定数据包,采用主动检测方法对发送方实施身份认证,拒绝未通过认证的报文;依照先发送请求后接收应答规则验证ARP应答,拒绝无请求型应答。与其它ARP攻击解决方法相比较,该算法除了能更快速和准确检测出其它机器对本机的ARP攻击,还能阻止本机对其它机器进行ARP攻击,能更有效地防止ARP攻击。

一种启发式拓扑发现算法

网络拓扑结构的自动发现对于增强网络管理和提高网络利用率至关重要,然而传统基于SNMP的拓扑发现算法适用范围受限。在分析网络IP地址分配规律的基础上,提出了一种适用范围广泛的启发式拓扑发现算法,主动探测网络拓扑,根据IP地址分配规律和前一次的探测结果,确定下一次的地址探测目标,提高拓扑搜索的速度;采用探测网络设备指纹特征技术解决端口合并问题。用该算法实现的程序能更加快速、准确获取网络拓扑结构。

WAP环境下移动支付协议公平性分析

为保证买卖双方公平交换,基于主动测试定理和发送边存在定理分析了移动支付协议的公平性,指出该协议存在安全缺陷。由此提出了一种改进协议,通过增加时间戳和改变部分消息发送的主体弥补协议公平性缺陷,并用扩展串空间模型对其公平性进行了形式化分析,证明其在没有影响运行效率的前提下能够满足公平性要求。研究结果验证了所提的方法可以有效地分析协议公平性。

BLP模型的时域安全研究

对BLP(Bell-LaPadula)模型在时域的安全特性进行了深入分析,指出一种在时域上对BLP模型的错误理解,并给出新的模型安全性证明,表明BLP模型在时域上符合机密性要求,不存在安全漏洞。

信息对抗技术专业建设探索

信息对抗技术是信息领域中具有多学科交叉、应用性强等特点的专业。作为我校的新增专业,我们从学科的特点、社会需求和学校的实际情况出发,从培养方向、培养目标、课程体系和师资队伍建设等几个方面探索我校的信息对抗专业建设方法,取得了初步成效。

基于Chinese Wall安全策略的职责分离模型

职责分离是一个系统最基本的防止欺骗和错误的手段。该文在ChineseWall安全策略的基础上,实现了一种基于历史记录的职责分离模型,通过跟踪用户的历史权限记录来决定用户当前分配的权限从而实现职责分离,并对其进行了形式化描述和分析,证明其满足职责分离安全原理。该模型继承了ChineseWall策略和职责分离安全原则的优点,能够提供更加完善的访问控制策略。

可信计算中完整性度量模型研究

为了进一步丰富可信计算完整性验证机制,根据TCG规范中可信传递的思想,提出一种系统完整性度量模型,在执行前度量客体的完整性,防止恶意代码破坏系统完整性,实现信任从前一个实体传递到下一个实体,从而把信任链从运行环境延伸到应用空间。完整性度量模型扩展了现有安全模型的安全属性,它与其它安全模型的结合将能给系统提供更加细致和完善的安全策略。

移动存储设备数据安全导入系统

针对既能通过通用移动存储设备将非涉密计算机中的数据导入涉密计算机,又能防止涉密计算机中的信息通过通用移动存储设备泄露的问题,设计了一种基于数据二极管的移动存储设备数据安全导入系统。给出了该系统的硬件和软件设计,创新性地将数据二极管技术应用于移动存储设备的数据导入。介绍了基于双光纤收发器实现数据二极管的方法,详细分析了影响数据导入可靠性的几种因素,提出了"分片重传"、"分片写盘"等提高数据导入可靠性的方法。给出的方法能有效提高数据导入的可靠性,对于安全导入系统的具体实现具有重要的参考价值。

MS-CHAP鉴别协议安全性分析

微软质询-握手鉴别协议(MS-CHAP)通常被嵌入到其他协议中,通过“三次握手”对参与通信的实体进行身份鉴别。利用一种基于攻击者协议验证方法对MS-CHAP协议的安全性进行了形式化分析,发现该协议存在使攻击者无需破解口令即可通过身份鉴别的安全漏洞,并给出了相应的攻击剧本。研究表明MS-CHAP协议存在致命安全缺陷,不能达到预期的安全目标。

基于终端资源的内网监控系统研究与实现

为了规范内部网络用户的操作行为,防止恶意使用内部网络资源破坏内部网络通信秩序、窃取内部网络敏感信息,分析了内部网络信息系统中主体的违规操作,以内部网络中终端资源为监控对象,设计并实现了内部网络监控系统。对该监控系统在实际网络环境中的应用、监控系统的模块结构进行了说明,特别对该监控系统中使用的部分关键技术进行了分析。通过实际应用,该监控系统能有效监控终端资源的使用,控制主体的操作,但同时也面临一些不足。

基于可信计算的恶意代码防御机制研究

根据TCG规范中可信传递的思想,提出一种恶意代码防御机制,对被执行的客体实施完整性度量以防止恶意代码的传播;对客体的执行权限严格进行控制,防止恶意代码的执行,降低恶意代码的传播速度并限制其破坏范围,确保系统的完整性不被破坏。利用可信计算技术设计并实现恶意代码防御机制。

采用电子钥匙和密钥托管技术实现的私钥管理方案

在PKI体系中,私钥集中存放或私钥托管方式的安全性和方便性依赖于管理员的可信性或者需要一个各行业都能使用和接受的具有权威性的第三方托管机构。借鉴密钥托管的思想,设计了一个私钥管理方案。将加密的私钥和加密私钥的密钥分离,使得KMC和KEC都不能单独解密出私钥。与其他私钥管理方案相比,该方案安全性不依赖于管理员或第三方托管机构的可信性,更加方便和安全。

信息安全专业Java Web课程教学改革探索

传统的Java Web课程教学中存在着重理论、轻实践的不足,导致培养的学生无法满足用人单位的需求。本文针对信息安全专业的Java Web课程教学提出了一些改进措施:设计贯穿全课程的教学项目、强化信息安全技术在实践项目中的应用以及采用过程化考试平台实施过程化考核。这些改进措施的最终目的是强化培训学生的工程项目实践开发能力,上述措施在教学过程中实施后也取得了一定的效果。希望本文提出的改进措施能为Java Web课程教学的改革提供一些参考思路。

小样本下基于度量学习的僵尸网络检测方法

僵尸网络给互联网带来了极大的威胁,尽早有效地检测出僵尸网络对于维护网络空间安全具有重要的实践意义。然而在僵尸网络发现初期,可获得带标记样本数量较少,这使得目前大部分基于深度学习的检测方法无法得到充分训练,导致检测结果不佳。因此,提出了一种用于小样本下的基于度量学习的僵尸网络检测方法BT-RN,利用基于任务的元学习训练策略优化模型,在任务中引入验证集并通过度量验证样本和训练样本特征表示之间的相似度来快速累积经验,从而降低模型对标记样本空间的依赖;引入了特征级注意力机制,通过计算特征中各维度的注意力系数,重新整合特征表示并分配重要度关注来优化特征表示,从而减少深度神经网络在小样本中的特征稀疏问题;引入了残差网络设计模式,利用跳跃链接来规避增加特征级注意力机制模块后,较深的网络所带来的模型退化和梯度消失风险。实验结果表明,在小样本背景下,所提僵尸网络检测方法的正确率和模型泛化能力优于其他小样本检测方法和深度学习检测方法。

基于电子钥匙的远程访问VPN身份鉴别方案

文章阐述了远程访问VPN应用中进行身份鉴别的目的。提出了一种基于电子钥匙的应用于远程访问VPN的身份鉴别方案。该方案采用电子钥匙承载远程访问客户端的鉴别信息,是一种双因素的、双向的身份鉴别方案。该方案能有效对抗拒绝服务攻击,并能在鉴别不同步的情况下,实现鉴别再同步。

基于虚电路的拒绝服务攻击防御研究

设计了一种基于虚电路的拒绝服务保护基体系结构;介绍了基于虚电路的资源分配算法;在基于服务元网络体系结构的虚电路结构原型系统中实现了所提出的资源分配算法。与其他算法相比,该算法能有效对抗来自网络的恶意授权实体的拒绝服务攻击。

环Z_n上圆锥曲线上的群签名方案及其应用

首先引入环Zn上的圆锥曲线Cn(a,b),给出Cn(a,b)上的一个群签名方案,并将其应用到电子现金发行系统中。该方案的安全性基于大数分解和有限Abel群(Cn(a,b),)上计算离散对数的困难性。在计算过程中,引进标准二进制快速计算群元素的整数倍,节约1/4计算量。与经典群签名方案相比较,离散对数问题更加困难,有效提高了方案的安全性;与环Zn上椭圆曲线上的群签名方案相比较,除了保留安全性提高的优点外,还具有明文嵌入更加方便,阶的计算、基点的选取、群元整数倍等的运算速度更快,更易于实现等优点。

安全协议抗DoS攻击的形式化分析研究

随着拒绝服务攻击给协议的可用性带来的危害越来越大,需要行之有效的方法对安全协议的抗DoS性进行分析.但是目前对安全协议的抗DoS性进行分析的方法模型都存在一些缺陷,有的只能分析部分的DoS攻击,有的只关注协议各方计算资源的消耗,而忽略了存储资源消耗.针对以上不足,本文对基本的串空间模型进行扩展,引入消息相关度集合和代价函数,提出了一种分析安全协议抗DoS性的新方法,并利用该方法,对JFK协议的抗DoS性进行了详细分析.

单向传输中丢包的相关性研究

随着单向传输技术在组播、安全隔离与信息交换、大数据高速传输以及卫星通信中的广泛应用,单向传输的性能和可靠性等问题成为单向传输应用中重点关注的问题。通过对单向传输中丢包数据的分析,得出丢包与传输速率、数据包负载的相关性,并对丢失数据包间相关性构建丢包模型。这对减少单向传输中的丢包,提高单向传输性能,以及单向传输中纠错编码方案的选择,具有重要的指导作用。

SET协议认证机制的形式化分析

移动支付是移动电子商务的重要组成部分,而安全性成为移动支付的发展瓶颈,因此电子商务协议的安全性成为此问题的核心。为了解决上述问题,使用串空间模型的测试理论,对SET协议中用户和商家、商家和支付网关之间的认证性进行形式化分析,分析结果表明商家与支付网关之间的认证是安全的;用户和商家的认证性不满足安全需求,在支付交易流程中双方易受到攻击。