Measuring the Impact of DoS Attack on Availability: Empirical Study Based on Accessibility

Information Security is determined by three well know security parameters i.e. Confidentiality, Integrity and Availability. Availability is an important pillar when it comes to security of an information system. It is dependent upon the reliability, timeliness and accessibility of the Information System. This paper presents an analytical view of the fact that when Accessibility is degraded during the presence of an ongoing attack, the other factors reliability and timeliness can also get affected, therefore creating a degrading impact on the overall Availability of the system, which eventually leads to the Denial of Service Attack and therefore affecting the security of the System.

异构防火墙IP封堵系统的设计与实现

互联网网络安全形势日趋严峻,在企事业单位的互联网业务应用遭受网络攻击等网络安全紧急事件时,如何及时有效地阻断来自互联网的恶意攻击,降低甚至消除网络攻击对互联网业务应用系统的影响,保障企事业单位业务的正常运转,显得尤其重要。结合互联网业务应用通常的部署架构,在互联网业务应用的边界提出基于防火墙IP黑名单功能或者访问控制策略的阻断方式,在广泛结合主流防火墙的基础上,分别提出不同的解决方案,并在实际网络中进行部署,实践结果表明,该方案可实现对恶意攻击IP的快速有效甚至秒级封堵。

基于区块链的物联网可信访问控制研究

针对当前物联网数据量庞大且数据之间孤立,以及物联网可信访问服务管理中交易不透明和易受攻击等问题,提出了基于区块链的物联网可信访问控制研究,将区块链技术应用到物联网的访问控制中,利用区块链的去中心化特性结合物联网访问控制技术,设计了物联网可信访问控制模型。通过模拟实验显示,物联网可信访问控制模型能够有效量化信任度、有效检测到物联网访问攻击行为,在整个访问控制中能够确保数据不被篡改,在每500次访问增量下的攻击检测率可提升约1.77百分点,具有较高的实用性。

切片分组网安全技术研究

随着5G技术的广泛部署和应用,承载5G基站的切片分组网(Slicing Packet Network,SPN)成为保障5G网络安全性的重要基石。首先阐述了SPN安全技术,包括SPN安全隔离技术和网络层安全技术,其中安全隔离技术主要关注SPN小颗粒切片安全隔离,网络层安全技术包括认证和加密、访问控制、防攻击以及应急恢复等技术;其次说明了SPN安全技术在中国移动SPN现网的应用;最后对SPN安全技术进行了总结和展望。

一种基于风险代码抽取的控制流保护方法

代码复用攻击是控制流安全面临的主要威胁之一.虽然地址分布随机化能够缓解该攻击,但它们很容易被代码探测技术绕过.相比之下,控制流完整性方法具有更好的保护效果.但是,现有的方法要么依赖于源码分析,要么采用无差别跟踪的方式追踪所有的控制流转移.前者无法摆脱对源码的依赖性,后者则会引入巨大的运行时开销.针对上述问题,本文提出一种新的控制流保护方法MCE(Micro Code Extraction).MCE的保护目标是源码不可用的闭源对象.与现有的方法相比,MCE并不会盲目地追踪所有的控制流转移活动.它实时地检测代码探测活动,并仅将被探测的代码作为保护目标.之后,MCE抽取具有潜在风险的代码片段,以进一步缩小目标对象的大小.最后,所有跳转到风险代码中的控制流都会被追踪和检测,以保护它的合法性.实验和分析表明,MCE对代码探测和代码复用攻击具有良好的保护效果,并在一般场景下仅对CPU引入2%的开销.

软件开发环境下API应用安全的实现与研究

API是数据交换的重要途径,其安全问题不容忽视。从基于API应用安全技术的身份验证、访问控制、消息加密及攻击检测等几个方面,深入探讨了在软件开发环境下API应用安全的实现方式与设计思路,以保障软件开发环境下API接口的使用安全,从而提升软件开发质量。

基于SPEA-Ⅱ算法的网络多层次安全访问控制方法

当前网络技术迅猛发展,网络安全问题日益突出,尤其是访问控制安全性;为了解决目前网络系统中存在的威胁检测精度和安全访问控制问题,引入SPEA-Ⅱ算法,提出一种新的网络多层次安全访问控制方法;深入分析网络多层次访问控制机制原理,明确安全访问控制目标;结合网络边界区域、传输信道区域及移动终端设备区域,建立边界访问控制目标函数、安全威胁检测目标函数、用户身份认证目标函数,提高网络系统安全威胁检测精度;利用SPEA-Ⅱ算法对联合目标函数进行求解,获取网络多层次安全访问控制机制最佳方案;通过迭代逐渐接近近似最优解集,建立最优安全策略组合,计算攻击流量因子完成网络多层次安全访问控制;实验结果表明,所提方法的网络多层次威胁检测精度为94%,安全评估为0.96;由此证明,所提方法的网络多层次安全访问控制效果较好,具有较强的安全性和适应性,能够为中移互联网领域的网络安全策略提供技术支持。

Server-aided access control for cloud computing

With the massive diffusion of cloud computing, more and more sensitive data is being centralized into the cloud for sharing, which brings forth new challenges for the security and privacy of outsourced data. To address these challenges, the server-aided access control(SAAC) system was proposed. The SAAC system builds upon a variant of conditional proxy re-encryption(CPRE) named threshold conditional proxy re-encryption(TCPRE). In TCPRE, t out of n proxies can re-encrypt ciphertexts(satisfying some specified conditions) for the delegator(while up to t-1 proxies cannot), and the correctness of the re-encrypted ciphertexts can be publicly verified. Both features guarantee the trust and reliability on the proxies deployed in the SAAC system. The security models for TCPRE were formalized, several TCPRE constructions were proposed and that our final scheme was secure against chosen-ciphertext attacks was proved.

面向频谱接入深度强化学习模型的后门攻击方法

深度强化学习(Deep Reinforcement Learning,DRL)方法以其在智能体感知和决策方面的优势,在多用户智能动态频谱接入问题上得到广泛关注。然而,深度神经网络的弱可解释性使得DRL模型容易受到后门攻击威胁。针对认知无线网络下基于深度强化学习模型的动态频谱接入(Dynamic Spectrum Access,DSA)场景,提出了一种非侵入、开销低的后门攻击方法。攻击者通过监听信道使用情况来选择非侵入的后门触发器,随后将后门样本添加到次用户的DRL模型训练池,并在训练阶段将后门植入DRL模型中;在推理阶段,攻击者主动发送信号激活模型中的触发器,使次用户做出目标动作,降低次用户的信道接入成功率。仿真结果表明,所提后门攻击方法能够在不同规模的DSA场景下达到90%以上的攻击成功率,相比持续攻击可以减少20%~30%的攻击开销,并适用于3种不同类型的DRL模型。

支持大属性空间和安全分级的KP-ABE

现有的KP-ABE(Key-Policy Attribute-Based Encryption)方案主要通过哈希函数实现对大属性空间的支持,安全性建立在随机预言模型下而非标准模型下;计算每个属性对应的密文子项或密钥子项,指数运算次数大于最大加密属性个数;不支持数据和用户安全分级.针对上述问题,本文提出了一种支持大属性空间和安全分级的KPABE方案.该方案通过编码函数而不是哈希函数将任意“属性名称:属性值”编码映射至有限域中的一个元素,实现对任意“属性名称:属性值”的支持并确保任意两个不同“属性名称:属性值”的编码值不同;结合强制访问控制思想,方案对密文和用户赋予不同的安全等级,只有用户安全等级不低于密文的安全等级时用户才能解密.最后对本文方案进行了安全性和性能分析,在标准模型下证明了该方案针对选择明文攻击是安全的;性能分析表明,所提出方案只需要进行2次指数运算,就能完成一个属性对应的密文子项或密钥子项的计算.

一种支持分级用户访问的文件分层CP-ABE方案

文件分层的密文策略基于属性的加密(FH-CP-ABE)方案实现了同一访问策略的多层次文件加密,节省了加解密的计算开销和密文的存储开销.然而,目前的文件分层CP-ABE方案不支持分级用户访问,且存在越权访问的问题.为此,提出一种支持分级用户访问的文件分层CP-ABE方案.在所提方案中,通过构造分级用户访问树,并重新构造密文子项以支持分级用户的访问需求,同时消除用户进行越权访问的可能性.安全性分析表明,所提方案能够抵御选择明文攻击.理论分析和实验分析均表明,与相关方案相比,所提方案在计算和存储方面具有更高的效率.

复杂环境下能源企业内网综合防护体系研究

在网络安全威胁愈加复杂多元的背景下,能源企业内网的安全防护能力建设和提升已迫在眉睫.针对企业内网存在的对高威胁可持续性攻击抵御能力不足、横向渗透攻击难以防御以及内网僵尸网络难以根除等问题,对能源企业内网所面临的复杂威胁进行分析,提出了能源企业内网综合安全防护能力建设的体系设计,主要包括提高资产测绘发现能力;建立内网统一准入授权系统;完善内网细粒度安全控制策略;构建攻击识别模型和制度保障人才培养等关键措施.

基于活跃-空闲能耗的云主机访问监控算法

由于传统云端访问安全监控方法无法识别访问数据的伪显特征,服务器易受存储空间限制,导致监控效果和数据保密性较差。为了能察觉网络攻击,及时做出应对方案,提出了基于活跃能耗与空闲能耗的云主机访问安全监控算法。利用离散小波变换方法处理云主机访问页面入侵信息,得到数据自相关函数,放大倍数中雷同性,分割成不同聚合序列;通过计算节点能量消耗,得到活跃与空闲状态能耗,增加访问路径节点活跃时隙次数,均衡网络能量负载,延长网络使用周期;以网络访问特点构成云主机网络的多角度分析模型,明确其特征功能与处理形式,获得全部云主机访问有效域数据,提高处理器应用率,算出时间平均数,感知云主机访问安全状况。实验结果表明,所提算法能监控攻击情况,误报率更低,检出精准度接近100%,优于其他两种算法,证明了该方法的有效性。

常见Web应用越权漏洞分析与防范研究

Web应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现Web攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开放Web应用安全项目(Open Web Application Security Project,OWASP)列入10个最关键Web应用程序安全漏洞列表。结合近几年披露的与越权相关的Web应用通用漏洞披露(Common Vulnerability and Exposures,CVE)漏洞,通过分析Web越权漏洞成因和常见攻击方法,提出了针对Web越权漏洞攻击的防范方法。

Web服务安全问题研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,同时也使其自身面临许多独特的安全问题。Web服务的安全性对其发展前景产生重要的影响,也是目前Web服务并没有进入大规模应用阶段的主要原因之一。总结了Web服务存在的主要安全问题;概述了已有的Web服务安全标准;然后从消息层安全、Web服务安全策略、Web服务组合安全、身份与信任管理、Web服务访问控制、Web服务攻击与防御、安全Web服务开发等方面详细分析了目前有代表性的Web服务关键安全技术解决方案;结合已有的研究成果,讨论了Web服务安全未来的研究动向及面临的挑战。

AES访问驱动Cache计时攻击

首先给出了访问驱动Cache计时攻击的模型,提出了该模型下直接分析、排除分析两种通用的AES加密泄漏Cache信息分析方法;然后建立了AES加密Cache信息泄露模型,并在此基础上对排除分析攻击所需样本量进行了定量分析,给出了攻击中可能遇到问题的解决方案;最后结合OpenSSL v.0.9.8a,v.0.9.8j中两种典型的AES实现在Windows环境下进行了本地和远程攻击共12个实验.实验结果表明,访问驱动Cache计时攻击在本地和远程均具有良好的可行性;AES查找表和Cache结构本身决定了AES易遭受访问驱动Cache计时攻击威胁,攻击最小样本量仅为13;去除T4表的OpenSSL v.0.9.8j中AES最后一轮实现并不能防御该攻击;实验结果多次验证了AES加密Cache信息泄露和密钥分析理论的正确性.

一种新的针对AES的访问驱动Cache攻击

Cache访问"命中"和"失效"会产生时间和能量消耗差异,这些差异信息已经成为加密系统的一种信息隐通道,密码界相继提出了计时Cache攻击、踪迹Cache攻击等Cache攻击方法.针对AES加密算法,提出一种新的Cache攻击-访问驱动Cache攻击,攻击从更细的粒度对Cache行为特征进行观察,利用间谍进程采集AES进程加密中所访问Cache行信息,通过直接分析和排除分析两种方法对采集信息进行分析,在大约20次加密样本条件下就可成功推断出128位完整密钥信息.

空对地攻击效能评估模型

空对地攻击是现代战争中最具威胁的作战方式之一,军事训练(作战模拟)对于武器系统作战效能分析具有非常重要的作用.只有对打击的结果进行科学的分析和评估,为修改射击诸元提供校验参数,才能取得更好的训练效果.建立了空对地攻击的数学模型,导出了可攻击区、首攻概率、目标识别率和效能指标等计算方法.通过实弹射击验证,表明该模型正确有效,能提高部队军事训练的效率,大大节省国防开支,在工程实践中具有广阔的应用价值.

改进的Android强制访问控制模型

为了降低Android平台受应用层权限提升攻击的可能性,研究分析了对利用隐蔽信道进行的合谋攻击具有较好防御能力的XManDroid模型,针对该模型存在无法检测多应用多权限合谋攻击的问题,采用构建进程间通信连接图并利用有色图记录应用通信历史的方法,提出了一种基于通信历史的细粒度强制访问控制模型。对原型系统的测试结果表明:所提出的模型能够很好地解决XManDroid模型存在的问题。