基于逻辑的访问控制研究

描述了访问控制和逻辑的关系,并将访问控制授权判决问题归约成逻辑蕴涵问题;总结了基于逻辑的访问控制的基本逻辑问题,即逻辑基础、可判定性和安全性分析;分析了一些访问控制模型的基本逻辑问题,包括基于身份的访问控制模型、基于信任管理的访问控制模型和基于属性的访问控制模型;指出了结构化属性描述能力和安全性分析是基于逻辑的访问控制需要进一步研究的问题.     

大规模软件自动化安装方法研究

软件安装就是将开发者封装好的程序部署到用户系统环境的过程.本文采用增量式分析策略,对需要安装的安装包,使用简单易行的静默安装方式完成部分软件的安装;之后对无法使用静默安装的软件,采用基于规则的控件识别和OCR识别方式进行安装.最后对安装后的结果进行分析,不断调整追加安装规则,争取对获取的大规模软件安装包实现最高的安装覆盖率.     

基于函数注入的沙箱拦截识别方法

沙箱验证机制的测试需要首先识别沙箱拦截,即识别沙箱截获的系统函数集。已有的Hook识别方法大多仅关注钩子的存在性,识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法,该方法分析系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先,向不可信进程注入并执行系统函数来获取函数的执行记录;其次,根据沙箱截获系统函数执行记录的特点,设计了地址空间有限状态自动机,并在自动机内分析获取的执行记录来判别沙箱截获的系统函数;最后,遍历测试函数集来识别目标沙箱截获的系统函数集。该文设计实现了原型系统SIAnalyzer,并对Chromium和Adobe Reader进行了沙箱拦截识别测试,测试结果验证了方法的有效性和实用性。     

SYN—Flooding攻击原理及预防方法

ＳＹＮ－Ｆｌｏｏｄｉｎｇ攻击是一种拒绝服务攻击,文中分析了ＳＹＮ－Ｆｏｌｌｄｉｎｇ攻击的原理,探讨了一些解决办法,重点论述了基于监迭方式的预防方法,该方法给数据的源地址开予不同的状态,根据源地址的状态来处理不同的数据包。     

一种层次递进的动态协议一致性测试方法

在协议一致性测试过程中,不一致性传播问题会导致协议测试执行效率低下,无法达到理想的实际测试覆盖度。为此,在改进已有方法不足的基础上,提出一种层次递进的动态协议一致性测试方法,以递进的方式执行测试用例,利用执行结果对后续测试进行指导,减少不一致性传播对协议测试带来的影响,提高测试效率,扩大实际测试范围。     

面向数据泄漏的Web沙箱测试方法

数据泄漏是导致Web沙箱逃逸的重要原因,即在未授权情况下,程序可以访问系统的敏感数据。已有的Web应用安全分析方法不完全适用于发现Web沙箱的数据泄漏。设计一种面向数据泄漏的Web沙箱测试方法,在JavaScript对象建模的基础上,首先,采用深度优先的策略遍历浏览器的原生对象,获取程序可直接访问的对象集合;其次,设计敏感点导向的封装对象测试算法,获取程序间接访问的对象集合;再次,设计了多程序数据泄漏的测试算法,获取程序间可能的通信路径;最后,对比测试结果和Web沙箱的规格,以识别Web沙箱的数据泄漏。设计并实现了Web沙箱测试系统(WSTS),同时测试了不同版本的ADsafe沙箱,实验结果显示,所提方法具有良好的数据泄漏发现能力。     

网络协议分析实验课程设计

针对网络协议分析实验课程存在的实验内容相对陈旧、验证型实验比例过大、课程实施灵活性差等问题,从实验科目更新、动手能力提升、创新能力培养、模块化实验科目设计等方面入手,对网络协议分析实验课程的科目内容和实施方式等进行探讨并提出改进措施。     

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。     

面向资源泄漏的浏览器沙箱测试方法

资源泄漏是导致浏览器沙箱逃逸的重要缺陷之一,已有浏览器沙箱测试方法不完全适用于发现资源泄漏缺陷.基于大多数导致沙箱逃逸的资源具有相同或相似属性取值的分析,本文提出了一种面向资源泄漏的浏览器沙箱测试方法.该方法首先分析并约简敏感资源的属性来生成资源筛选规则;其次,定义资源与资源筛选规则前件的最大加权语义相似度为逃逸指数,并使用逃逸指数阈值来筛选测试资源;再次,设计并实现了原型系统BSTS（Browser Sandbox Testing System）,并在BSTS内分析了方法的性能.进一步,选择多个主流浏览器沙箱来测试本文方法的资源泄漏发现能力,实验结果显示本文方法具有良好的资源泄漏发现能力.