Web服务组合失效检测框架①

随着Web服务组合的不断发展,失效检测器成为构建可靠的Web服务组合环境所必需的基础组件之一。对基于Web服务组合的失效检测机制进行研究,设计了主从式失效检测算法并对其进行理论分析,构造Web服务组合失效检测框架,为Web服务组合监测提供有效的手段,提高系统可用性。     

一种基于抽象与精化技术的Web服务组合验证方法

模型检测因其自动化程度高、能够提供反例路径等优势,被广泛应用于Web服务组合的兼容性验证。本文针对模型检测过程中存在的状态爆炸问题,在传统的模型检测方法中引入谓词抽象和精化技术,提出了一种针对Web服务组合的抽象精化验证框架。使用谓词抽象技术对原子Web服务抽象建模,将各Web服务抽象模型组合成组合抽象模型;将模型检测后得到的反例在各原子Web服务上做投影操作,对投影反例进行确认;对产生伪反例的Web服务抽象模型进行精化,生成新的组合抽象模型,再次对性质进行验证。最后通过实例分析说明基于抽象精化技术的Web服务组合验证框架在缓解状态爆炸问题上的可行性。     

基于时间自动机的Web服务模型检测

传统的基于有限状态机的组合Web服务模型检测方法不能保证带有时间约束的组合Web服务的正确性.把组合Web服务看成多智能体系统,将带有时间约束的Web服务智能体建模为时间自动机,通过并发组合构成时间自动机网络,从而用时间自动机验证工具UPPAAL对组合Web服务的运行过程进行模拟,并验证其活性、安全性和死锁等性质.采用该方法对雇员出差安排组合Web服务进行建模和验证,结果表明,该组合Web服务存在死锁问题.最后通过分析死锁产生的路径,完善该组合Web服务的通信协议,从而消除了死锁.     

试论Web应用系统的安全性测试技术

对于Web应用系统安全性的研究还停留在对其服务安全实现的基础上,而安全测试性技术研究较为薄弱。Web应用的逐渐普及让很多技术研究人员对Web应用系统的安全性检测开始重视,很多检测工具被开发出来。基于Web应用系统的安全性测试,分析了Web的组成以及Web服务安全性测试框架,并结合实际工作经验,提出了增强Web应用系统安全性的测试途径。     

Web服务的模型检测技术探讨

从模型检测的基本概念出发,针对目前面向服务计算模式中,组合Web服务验证确认过程存在的问题,着重讨论了模型检测应用于Web服务验证中的关键技术,例如如何验证动态绑定服务的可信性,如何克服服务组合过程中的复杂性和不确定性;比较全面地总结并比较了几种具有代表性的对Web服务进行验证和确认的模型检测技术和相关工具;并探讨了应用于Web服务验证框架的模型检测技术研究中存在的一些问题及相应的解决方案.     

组合Web服务分层安全模型研究

随着Web服务技术的应用与发展,组合Web服务的安全问题日益突出。已有的Web服务安全规范只是指定实现单独的自治Web服务安全需求应该遵循的协议,尚没有一个被广泛接受的组合Web服务安全体系架构。指出了现有的Web服务组合安全框架研究的不足,分析了组合Web服务的安全模型的要求。针对Web服务应用模式,提出了一种基于Web服务协议栈的组合Web服务分层安全模型(HSM-WSC),并对每个层的安全功能进行了论述。HSM-WSC模型具有灵活性和可扩展性,能够满足Web服务组合的安全需求。最后还给出了HSM-WSC模型的实施机制。     

Web服务安全性测试技术研究

Web服务的应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。Web服务安全性测试是保证Web服务软件安全性、降低安全风险的重要手段。本文提出了一种Web服务安全性测试框架,论述了Web服务主要的安全功能需求、实现标准及实施安全功能测试的一般原理,并从攻击Web服务的角度对Web服务安全漏洞测试进行了系统介绍,分析了Web服务常见的安全漏洞及测试方法。     

试论Web应用系统的安全性测试技术

由于当前对于Web应用系统安全性的研究仅仅停留在服务安全的实现方面,对于安全测试性技术研究依然薄弱。随着Web应用的普及,越来越多的技术研究人员开始重视Web应用系统的安全性检测,越来越多的检查工具被开发了出来。本文基于Web常见的安全性问题,分析Web服务安全性测试框架,以此来探讨安全性测试技术,希望能够提升Web应用系统的安全性。     

Web服务组合的安全性研究*

对Web服务组合中的安全问题进行研究,描述了如何表达安全性能和约束,改进了一个Web服务安全组合的框架,最后用一个实例来详细说明了模型的工作过程。     

基于WS—Security框架的Web服务安全解决方案

Web服务为分布式异构系统的集成提供了很好的支持,但是它在安全性方面存在的问题却使得它的应用受到限制．本文介绍了WS—Security安全框架的构成,探讨了WS—Security框架在Web服务安全性中的应用,以XFire为背景,提出了完整的Web服务安全解决方案。     

基于限界模型检查的Web服务行为失配检测

在Web服务组合过程中,常因交互协议不一致等导致服务失配;Web服务失配检测可准确捕捉失配点,为实现服务的有效组合奠定基础。采用限界模型检查技术,提出一种基于可满足性模理论(SMT)的Web服务行为失配检测方法。该方法首先将服务失配检测问题转化为逻辑公式的可满足性判定问题,然后利用Yices工具实现Web服务行为失配检测,最后通过实例进一步阐述该方法的有效性。     

基于指纹分析的Web服务探测技术

准确掌握Web服务器的版本信息对于顺利进行计算机网络系统安全评估具有重要意义。该文通过banner分析了探测Web服务器版本信息的常规方法的局限性。介绍了通过指纹分析探测Web服务器版本信息的原理,以及Web服务器指纹信息的结构组成。给出了进行指纹匹配的算法模型和算法流程。通过实例验证了指纹分析方法在探测Web服务器版本信息方面的优越性。     

语义Web服务安全研究

随着语义Web技术的出现和发展，在大规模、开放、异构的分布式环境中实现Web服务的自动发现、选择，组合、调用和监控成为可能。语义Web服务解决了Web服务的语义描述问题，但也面临着与Web服务一样的安全、隐私和信任等问题。本文分析了Web服务当前面临的主要安全威胁及现有业界安全标准存在的局限性，介绍了安全本体概念并给出了一个基于OWL表示的安全本体例子，最后阐述了语义Web服务应用安全框架中安全服务的语义描述问题，对OWL-S服务本体语言进行扩展，以实现语义安全本体和策略注释。     

组合Web服务业务流程访问控制技术研究综述

业务流程访问控制是保证组合Web服务增值安全应用的关键技术,着重论述了组合Web服务业务流程访问控制技术的研究现状及问题。首先对组合Web服务业务流程安全需求进行了分析,然后从组合Web服务业务流程访问控制模型、业务流程运行时访问授权约束、业务流程协同访问授权的一致性检验3个方面分析了业务流程访问控制核心技术的研究进展。最后,结合已有的研究成果,指出了目前研究的挑战以及未来的发展趋势。     

组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术。主要论述了组合Web服务访问控制技术的研究现状及其问题。首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合W cb服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势。     

基于改进网络爬虫技术的SQL注入漏洞检测*

网络爬虫在搜索引擎领域广泛使用,SQL注入漏洞检测属于Web服务和数据库安全的范畴。为了提高网站的安全性,及时、有效地发现网站存在的SQL注入漏洞,改进了现有的网络爬虫技术,应用到对网站SQL注入漏洞的检测中,丰富了检测的手段,降低了检测的漏报率。最后通过实验证明了该技术的可行性。     

基于Stacking融合模型的Web攻击检测方法

随着计算机技术与互联网技术的飞速发展,Web应用在人们的生产与生活中扮演着越来越重要的角色。但是在人们的日常生活与工作中带来了更多便捷的同时,却也带来了严重的安全隐患。在开发Web应用的过程中,大量不规范的新技术应用引入了很多的网站漏洞。攻击者可以利用Web应用开发过程中的漏洞发起攻击,当Web应用受到攻击时会造成严重的数据泄露和财产损失等安全问题,因此Web安全问题一直受到学术界和工业界的关注。超文本传输协议(HTTP)是一种在Web应用中广泛使用的应用层协议。随着HTTP协议的大量使用,在HTTP请求数据中包含了大量的实际入侵,针对HTTP请求数据进行Web攻击检测的研究也开始逐渐被研究人员所重视。本文提出了一种基于Stacking融合模型的Web攻击检测方法,针对每一条文本格式的HTTP请求数据,首先进行格式化处理得到既定的格式,结合使用Word2Vec方法和TextCNN模型将其转换成向量化表示形式;然后利用Stacking模型融合方法,将不同的子模型(使用配置不同尺寸过滤器的Text-CNN模型搭配不同的检测算法)进行融合搭建出Web攻击检测模型,与融合之前单独的子模型相比在准确率、召回率、F1值上都有所提升。本文所提出的Web攻击检测模型在公开数据集和真实环境数据上都取得了更加稳定的检测性能。     

中小型网站智能安全检测研究

随着互联网的发展及经济利益的驱动,黑客已将攻击重点转到web应用服务器上,由此危害了服务器安全及客户端安全。针对这一现状,文章首先采用广度优先算法实现网络爬虫来获取目标网站的架构信息;然后用网页动态参数判定、网站架构分析、信息智能识别等技术对网站安全进行辅助检测,用正则表达式过滤非法跨站请求,实现跨站脚本攻击检测;最后,用正则表达式和Python强大的库资源编程实现了应用安全的实时检测和评估功能。实验表明：该系统在一定程度上减少了Web恶意攻击行为所带来的损失,提高了应对网页信息安全突发事件的响应速度。     

雾计算中基于DQL算法的伪装攻击检测方案

雾计算是一种在云数据中心和物联网（Internet of Things,IoT）设备之间提供分布式计算、存储等服务的技术,它能利用网络边缘进行认证并提供与云交互的方法。雾计算中以传统的安全技术实现用户与雾节点间安全性的方法不够完善,它仍然面对着窃听攻击、伪装攻击等安全威胁,这对检测技术提出了新的挑战。针对这一问题,提出了一种基于DQL（Double Q-learning）算法的雾计算伪装攻击检测方案。该方案借助物理层安全技术中的信道参数,首先在Q-learning算法的基础上处理Q值过度估计问题,获取最佳的伪装攻击测试阈值,然后通过阈值实现了用户与雾节点间的伪装攻击检测。实验结果表明,该算法检测伪装攻击的性能优于传统的Q-learning算法,具有在雾计算安全防护方面的优越性。