基于脆弱性关联模型的网络威胁分析

为了解决网络脆弱性建模存在的问题以及威胁评估方法中的不足,结合面向对象技术提出了基于扩展时间Petri网的脆弱性关联模型,通过定义攻击复杂度和危害度因素以及各评估指标的量化方法,给出了脆弱性关联模型的生成算法。结合网络威胁度的计算公式,运用改进的Dijkstra算法给出了无目标导向的网络威胁量化分析方法。该模型能够有效缩减状态空间的规模,适合对复杂网络攻击建模。实验证明了脆弱性关联模型的正确性及其优越的描述性能,基于该模型的威胁分析方法也更为合理、有效。     

基于虚拟化技术的动态污点分析

在现有的污点分析技术基础上,针对当前污点分析工具的记录不准确等缺陷,研究并实现了基于虚拟化技术的动态污点分析。结合虚拟化技术设计了动态污点分析框架,针对内存污点数据和硬盘污点数据分别设计了基于Hook技术的污点标记模型和Hash遍历的污点标记模型,依据Intel&AMD的指令编码格式对指令进行分类并依据指令类型设计污点传播策略,为解决信息记录冗余问题设计了基于指令筛选的污点记录策略。实验证明,该技术是有效的动态污点分析方法,可以很好地运用于模糊测试中的测试用例生成与漏洞检测。     

深埋硬岩隧洞岩爆倾向性指标RVI的建立及验证

 在总结国内外岩爆倾向性研究的主要成果和理论方法的基础上,针对性地提出适合于深埋隧洞工程的岩爆倾向性评估新方法的建立过程和基本构架。分析锦屏II级水电站深埋隧洞群中62例岩爆案例,揭示岩爆的特征和主要控制因素,在此基础上提出新的岩爆倾向性指标RVI及其建立方法,确定RVI中岩爆控制因素的选取原则。RVI由4个控制因子构成,即应力控制因子Fs、岩石物性因子Fr、岩体系统刚度因子Fm和地质构造因子Fg,4个控制因子分别反映不同岩爆控制因素对岩爆倾向性的贡献。研究发现,锦屏II级水电站深埋隧洞岩爆破坏深度与RVI存在显著的相关性,建立的经验关系式的确定系数可达到80%以上,该经验关系式可评估深埋隧洞工程的岩爆倾向性和破坏程度。锦屏II级水电站深埋隧洞典型岩爆实例分析验证RVI的适用性。     

岩体滑坡冲击能计算及受灾体易损性定量评估

 滑体下滑及对受灾体冲击过程中,由于滑体内部的崩解碰撞将会耗散部分动能,而工程中通常采用简化的方法计算滑体冲击能,没有考虑内部耗能的影响。采用离散元法模拟得到滑体对受灾体的冲击力–时间曲线,根据冲量定律和能量守恒定律换算得到滑体冲击能。以实际工程为例,详细分析滑体下滑过程与冲击受灾体过程中的能耗规律。结果表明：同时考虑下滑和冲击过程中滑体内外部耗能的计算方法与只考虑滑体外部摩擦耗能的计算方法相比,冲击能计算结果相差较大,说明滑体内部耗能不可忽略。另外,还对冲击能和受灾体易损性影响因素进行分析。分析结果表明：在几何条件一定的情况下,冲击能对滑体内摩擦角最敏感,其次是受灾体与滑坡源的相对位置,再次是滑体节理间距、滑体密度与冲击面宽度,对滑体黏聚力最不敏感。另外滑体冲击方向会同时影响冲击能和抗冲击能。     

Emotion regulation and vulnerability to depression: Spontaneous versus instructed use of emotion suppression and reappraisal.

Emotion dysregulation has long been thought to be a vulnerability factor for mood disorders. However, there have been few empirical tests of this idea. In this study, we tested the hypothesis that depression vulnerability is related to difficulties with emotion regulation by comparing recovered-depressed and never-depressed participants (N = 73). In the first phase, participants completed questionnaires assessing their typical use of emotion regulation strategies. In the second phase, sad mood was induced using a film clip, and the degree to which participants reported to have spontaneously used suppression versus reappraisal to regulate their emotions was assessed. In the third phase, participants received either suppression or reappraisal instructions prior to watching a second sadness-inducing film. As predicted, suppression was found to be ineffective for down-regulating negative emotions, and recovered-depressed participants reported to have spontaneously used this strategy during the first sadness-inducing film more often than controls. However, the groups did not differ regarding the effects of induced suppression versus reappraisal on negative mood. These results provide evidence for a role for spontaneous but not instructed emotion regulation in depression vulnerability. (PsycINFO Database Record (c) 2010 APA, all rights reserved)     

基于故障树的计算机安全性分析模型

提出了通过分析计算机系统的资源实体、访问者权限、安全需求和弱点等安全属性,按照不同的安全需求构造出安全故障树来直观地反映攻击者可能选取的攻击手段的安全状况评价方法;分析安全故障树,使用潜在攻击路径和系统安全失效概率从定性和定量两个方面表达计算机系统的安全状况,为系统的安全改进提供指导和建议。     

OpenSSL HeartBleed漏洞分析及检测技术研究

HeartBleed漏洞是一个严重的安全漏洞。分析了OpenSSL中心跳机制的源代码,在代码层次总结了HeartBleed漏洞产生的原因。采用Python语言实现了漏洞检测脚本工具,通过发送心跳信息长度与长度字段不一致的心跳数据包,并根据响应数据包的类型和响应数据的长度,判断目标是否存在HeartBleed漏洞。针对应用OpenSSL的Web网站以及网络服务的服务器进行了检测实验。与已有检测工具的比较实验表明,实现的检测脚本工具检测范围广,检测时间快,正确率高,可以有效完成HeartBleed漏洞的检测工作。     

智能合约漏洞检测技术综述

智能合约作为可信的去中心化应用,获得了广泛的关注,但其安全漏洞问题对其可靠性带来了巨大威胁.为此,研究者们利用各种前沿技术(如模糊测试、机器学习、形式化验证等)研究了多种漏洞检测技术,并取得了可观的效果.为了系统性地梳理与分析现有智能合约漏洞检测技术,搜集截至2021年7月关于智能合约漏洞检测的84篇论文,根据它们的核心方法进行分类,从每种技术的实现方法、漏洞类型、实验数据等方面展开分析,同时对比国内外研究现状在这些方面的差异.最后,对现有的智能合约漏洞检测技术进行总结,探讨面临的挑战,并展望了未来的研究方向.     

基于熵权法的流域水资源脆弱性评价——以淮河流域为例

流域水资源脆弱性评价可以量化表现出水资源的脆弱性程度,客观地反映研究区的水安全状况。根据水资源脆弱性的表现形式及成因,设置了水量、水质、洪涝灾害、旱灾4个一级指标,自然因素、人为因素、承载因素3个二级指标,分级构建了水资源脆弱性评价指标体系,在线性加权法的基础上采用熵权法构建了水资源脆弱性评价模型。以淮河流域为例进行实证分析,从时间、空间2个维度上对2003—2012年淮河流域整体及流域内的4个省份进行水资源脆弱性评价。结果表明时间上,10 a间淮河流域整体水资源脆弱度数值逐年减小,水资源脆弱性呈现好转趋势,流域内河南、安徽、江苏、山东4省的水资源脆弱性在10 a间均有所缓解;空间上,淮河流域水资源自西向东越来越脆弱。研究结果表明目前淮河流域水资源脆弱性状况呈现好转趋势,但仍然存在一些问题,有待进一步管理和调控。     

基于累积效应的网络脆弱性扩散分析方法

网络脆弱性评估是一种主动防范技术,意在攻击发生之前对安全态势进行分析进而制定防御措施,但传统的定量分析模型不能对实体间动态交互关系有很好的展现,而且大都不能得出风险扩散的全局化结果。将脆弱性扩散过程类比于社会网络中影响力传播过程,提出了基于累积效应的网络脆弱性扩散分析方法,定义的脆弱性扩散分析模型给出了细粒度级的主体关系结构,利用攻击效果累积特性提出的分析算法可以更准确地刻画脆弱性扩散规则,保证更好的影响范围。最后对该模型和算法进行了实例验证,在模型描述简洁性、分析结果准确性、安全建议合理性等方面的横向比较分析,验证了模型在评估结果直观性和制定成本最小安全措施等方面的优势。