基于Fuzzing技术的云数据泄露漏洞检测

目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应用业务逻辑.本文分析云数据服务Web应用的业务逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,并实现了原型系统.实验结果表明,本文方案可检测造成云数据泄露的三种逻辑漏洞,与人工经验相结合,实现自动化的渗透测试.测试真实Web应用,发现了未被修补的三种逻辑漏洞,并已经得到厂商确认,提升了漏洞挖掘的覆盖度.     

基于CAS与Web服务的遗留系统集成框架研究

针对目前存在的大量遗留系统问题,提出了一种基于Web服务与CAS认证服务技术的遗留系统集成框架.该框架在应用集成过程中保持了原有遗留系统稳定性的同时,也解决了用户重复登录问题,使得遗留系统集成更加安全方便,从而对降低企业维护成本、提高应用系统可靠性有一定的实际意义.     

基于特征矩阵的Python克隆代码漏洞检测方法

随着人工智能和机器学习的快速发展,拥有强大第三方库的Python越来越受程序员的青睐。为了缩短开发周期,代码复用成为程序员的首选。代码复用的最直接方式是进行代码克隆,如果被克隆的代码存在漏洞,所造成的损失将是无法预料的。本文提出了一种基于特征矩阵的Python克隆代码漏洞检测方法。首先,针对不同的漏洞类型,提取相应的关键特征,依照不同关键特征对Python脚本进行前向或后向的程序切片。然后,利用基于代码块的抽象语法树,将代码转换为向量,构建特征矩阵。最后,利用机器学习的方法,对特征矩阵进行降维并计算相似度。实验结果显示,该方案可以有效检测出Python脚本的漏洞。     

一种基于Kerberos扩展的Web服务安全框架

Web服务安全问题集中表现在信任建立、端到端消息安全保障以及资源访问控制等方面.传统的Web安全框架如Atlassian Seraph和Apache Shiro无法同时解决消息安全保护和跨域访问控制的问题.本文提出并实现一种基于Kerberos的Web服务安全框架——KBW2SF,它包括用户认证、消息安全通信、服务访问控制三个核心功能.用户认证使用Kerberos作为底层协议在服务请求发和提供方之间建立信任关系;安全通信使用WSSecurity规范及Kerberos票据中的密钥保证消息端到端的完整性和机密性;服务访问控制基于Kerberos票据中的用户角色信息,由服务提供方对来访用户进行角色映射(跨域访问)和权限鉴定,以此保护服务资源不被非法或者低权限用户访问.同时,KBW2SF引入缓存管理机制提高应用效率,降低安全机制对Web服务应用的影响程度.通过应用场景的实验分析,该框架不但能够有效解决Web服务消息的安全性以及跨域访问控制问题,而且具有较高的效率,具备一定的实际应用价值.     

一种基于改进Fuzzing架构的工业控制设备漏洞挖掘框架

漏洞挖掘是解决当前工业控制系统安全问题的有效途径.本文分析了现有工业控制平台漏洞挖掘的问题,提出了一种改进的Fuzzing架构.通过引入置信度的概念对测试用例进行量化,将其作为分类器的输入进行分类,从而预先筛选出可能有效的测试用例,实现了减少输入空间、增加命中率的目的.基于该架构设计的针对工业控制系统的一种通用漏洞挖掘框架,实现了集畸形数据构造、测试目标监控和测试结果管理为一体,并同时支持多目标、多协议、多平台的扩展.通过对某款工业控制器进行实际测试,证明了该架构的可行性与高效性.     

Java RMI的企业级应用及框架设计

对RMI在企业级应用进行了探讨,分析了JavaRMI在企业级应用中存在的缺陷,并设计一个框架作为运行容器的方案来解决这些缺陷,该方案能有效地应对企业级的应用.     

基于数据挖掘的入侵检测系统框架

提出了基于分布式数据挖掘的入侵检测系统框架，详细讨论了该系统的实现方案、模块结构和关键技术，最后给出了系统训练和评价方法。该系统以基于关联规则方法的分布式数据挖掘技术为核心，从而实现了规则库的自动生成和更新，并能有效检测大规模协同攻击。     

基于活跃熵的Web应用入侵检测模型

由于现今的一些应用层Web攻击体现出大流量的特征,传统的Web入侵检测技术往往对这类攻击检测能力较弱,本文提出了一种基于活跃熵的Web入侵检测方法.该方法通过对HTTP数据包的截获,提取GET、POST请求参数以及HTTP Header中关键数据,并对其熵值进行分析,利用熵值的变化来发现Web数据流中存在的攻击行为.实验结果表明,本方法能实现此类大流量Web应用攻击行为的检测,有效的弥补了传统检测方法的不足.     

一种基于手机传感器的定位伪造检测方案

针对移动设备上用户伪造定位的情况,提出一种基于手机传感器的定位伪造检测方案。该方案通过采集设备中多个传感器数据并结合易获取的公共地图信息,分析用户轨迹,并与用户提交的地理位置信息进行匹配,从而鉴别用户定位是否存在篡改。实验结果表明,本文方案准确性高,可检测多种不同的定位伪造场景。该方案无需任何额外权限即可利用传感器定位,在保证实验结果可靠性的前提下,较低的采样频率不会影响手机正常使用,且额外耗电量较低。     

基于WSRF框架的空间信息服务技术

针对当前基于Web服务的空间信息格网(Spatial Information Grid, SIG)系统无法获取资源中间状态的缺点,探讨了一种基于Web服务资源框架(Web Service Resource Framework, WSRF)构建SIG的实现技术,而使SIG成为一种能够提供资源中间状态(stateful)的系统,有利于客户端与服务端的持久交互和状态回溯.在介绍了WSRF框架及其实现方式的基础上,探讨了基于WSRF构建空间信息服务的流程和关键,即确定系统中状态化的资源种类和空间信息服务.以地理坐标转换为例示范了状态化服务资源的创建过程,并提出了基于WSRF的SIG服务框架.     

通用数字图书馆的仓储管理方案研究

在数字图书馆时代,如何保证数字资源的长期可用性和服务的稳定性,对数字资源进行有效的管理和服务,是当前数字图书馆研究中的一个热点前沿话题.在研究分析了国外数字图书馆仓储管理的几种典型解决方案后,提出了一种基于数字对象的通用数字图书馆仓储管理方案.结果表明:该方案实现了统一存储各种属性不同的数字资源,并提供了很好的资源管理和访问接口.     

基于Web技术的网络拓扑图生成方法的研究

综合采用提取路由表和地址转发表的方法，对网络逻辑拓扑结构和物理拓扑结构进行自动探索，提出了用于优化显示网络拓扑图的一种显示算法，采用Java技术实现了基于Web的网络拓扑图，并对在实现过程中遇到的问题进行了探讨。试验结果表明，由此生成的网络拓扑图准确、美观、能够实现跨平台和跨区域的管理。     

基于Web技术的网络拓扑图生产方法的研究

综合采用提取路由表和地址转发表的方法，对网络逻辑拓结构和物理拓结构进行自动搜索，提出了用于优化显示网络拓扑图的一种显示算法，采用Java技术实现了基于Web的网络拓扑图，并地在实现过程中遇到到的问题进行了探讨，试验结果表明，由此生成的网络拓扑图准确，美观，能够实现跨平台和跨区域的管理。     

基于SVM的缓存污染资源代表性检测方案

攻击者通过中间人攻击等方式实施缓存污染,在受攻击对象浏览器中运行恶意代码窃取敏感数据。在缓存污染防御策略中,易受攻击的Web资源代表性对检测和防御的效果起到至关重要的作用。现有的资源代表性判断算法对小众资源或随机资源的识别率不高,本文基础上基于SVM技术,对已知的易受污染资源进行特征提取、数据预处理和模型训练,最后利用训练模型对未知资源进行预测判断,实验结果表明该方案在损耗小部分时间的情况下可以大幅提升污染样本的检测率。     

一种基于动态污点的内存越界访问检测框架

基于软件漏洞的APT(advanced persistent threat)攻击是目前互联网终端用户面临的最大安全威胁之一.传统的基于样本的检测方法往往滞后于攻击行动,无法在攻击发生时准确阻止攻击行为.针对悬浮指针(dangling pointer,DP)及索引溢出(index overflow,IOF)两类常见漏洞错误,通过分析漏洞的形成机理及防护条件下漏洞利用过程,提出一种针对上述两种错误的自动检测框架.该框架以二进制动态分析平台Pin为基础,使用动态插桩技术和污点技术,通过动态追踪指针的整个生命周期并对指针使用的合法性进行检查,从而准确检测出DP和IOF类型的漏洞攻击样本并提供详细的漏洞信息.     

基于漏洞属性矩阵的防火墙设计优化策略

分析了20个常见的防火墙漏洞，构造出一套防火墙漏洞属性矩阵，从不同的视角来分析并帮助预测防火墙中的漏洞，并演示了如何根据这套矩阵来优化防火墙的设计．该方法对最大化减少防火墙中的漏洞，保证网络安全运行有着显著的作用．     

基于策略和虚拟机技术的动态远程证明框架

针对现有可信计算中远程证明方案的不足,将虚拟机技术和策略相结合,提出并实现了一种新的远程证明框架.该框架在用户终端构建可信虚拟机向应用系统提供可信的执行环境,服务方可以制定灵活、细粒度的策略,并借助于可信虚拟机来分发和执行这些策略,从而保证终端平台的行为符合服务方的要求.通过相关分析和模拟实验,结果表明:该框架町以开放地允许更多的软件实体接入,并具有良好的实时性、动态性、灵活性,真正实现了基于行为的远程证明.     

基于Java APplet的Internet地图服务平台设计

;主要论述了网络环境下建立地图服务平台的设计思路与结构设计.在此基础上对矢量地图数据基本流程做了详细的论述,其中主要包括数据获取、数据压缩、数据传输、数据表达与空间查询等.基于Java语言.论文从底层实现了基于socket协议连接的服务器端与客户端地图数据的组织、传输与数据可视化表达,实现了网络地图发布平台.论文主要讨论了Java环境下具体地图服务平台设计.     

基于Web的作业平台系统设计

设计了一种较完备的基于Web的作业系统，该系统利用ASP实现了在网上各科作业的自动布置、提交、自动批改、统计及智能答疑，特别强调了师生之间的网上沟通。     

基于ARM+DSP索力检测技术的研究与应用

针对斜拉索的基频检测系统进行了研究,提出基于ARM+DSP的拉索振动信号分析检测技术.首先分析了前端振动信号的采集方法和信号处理技术,然后在ARM+DSP平台中进行基频分析算法的实现与优化,最终选取SEED-DEC138工业参考设计平台,并利用双核芯片进行关键模态分析算法的移植优化以及预处理算法的开发,实现了一种新的斜拉索振动信号处理系统.试验结果表明:新系统既能保证较高的检测精度,同时也能保证很好的实时性.