系统级入侵检测技术研究

计算机系统安全的“免疫系统”方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的。系统调用短序列与生理免疫系统中用于区别病菌和其他有害物质的缩氨酸(一种蛋白质片断)类似,可作为用户程序行为模式。该文提出了一个基于“免疫系统”方法的Linux系统级入侵检测模型,并讨论了此入侵检测模型的实现技术。     

扩充Linux系统功能的LKM技术

在分析了扩充Linux操作系统内核功能的重要机制－LKM（Loadable Kernel Module，可加载内核模块）技术的主要用途之后，介绍了LKM程序的编写方法，注意事项和存在的问题。     

基于系统调用的Linux系统入侵检测技术研究*

提出了一种基于系统调用、面向进程的Linux系统入侵检测方法:利用LKM(Loadable Kernel Modules)技术在Linux内核空间获取检测源数据--所考察进程的系统调用,使用基于极大似然系统调用短序列的Markov模型提取进程的正常行为特征,据此识别进程的异常行为.通过实验表明了此方法的可行性和有效性;并分析了方法在实现中的关键问题.     

基于NTRU的多密钥同态代理重加密方案及其应用

为了提高同态加密算法在多用户云计算场景下的实用性,构造了一个基于NTRU的多密钥同态代理重加密方案。首先利用密文扩张思想提出了一种新的NTRU型多密钥同态密文形式,并基于此设计了相应的同态运算和重线性化过程,从而形成一个支持分布式解密的NTRU型多密钥同态加密方案;然后借助于密钥交换思想设计了重加密密钥和重加密过程,将代理重加密功能集成到该NTRU型多密钥同态加密方案中。所提方案保留了多密钥同态加密和代理重加密的特性,而且在用户端的计算开销较低。将所提方案应用于联邦学习中的隐私保护问题并进行了实验,结果表明,所提方案基本不影响联邦训练的准确率,加解密、同态运算和重加密等过程的计算开销也可接受。     

随机森林在程序分支混淆中的应用

程序中的路径信息在程序执行过程中会被动态地泄露,基于路径敏感技术的逆向工程可自动地收集程序中的条件跳转指令,从而理解程序的内部逻辑.为了缓解路径信息泄露,提出了一种基于随机森林的路径分支混淆方法,将逆向分析路径分支信息的难度等价于抽取随机森林规则的难度.鉴于随机森林分类器可被视为一种黑盒,其内部规则难以被提取且分类过程与路径分支行为相似,因此经过特殊训练的随机森林可以在功能上替代路径分支.将该方法部署于SPECint-2006标准测试集中的6个程序进行实验,实验结果表明该混淆方法有效地保护了路径分支信息,引发的额外开销较低,具有实用性.     

基于密钥协商和身份匿名技术的社交发现隐私保护方案

针对移动社交网络中用户进行属性匹配时,服务器与用户可能会搜集查询用户的属性信息,恶意的攻击者可能发起中间人攻击、重放攻击和伪造身份攻击等问题,提出一种基于密钥协商和身份匿名技术的社交发现隐私保护方案。在该方案中,身份通过系统认证的查询用户与响应用户,基于查询用户随机选定的不可逆哈希函数与随机数,生成各自的属性哈希值集;服务器负责计算所有响应用户与查询用户的属性匹配值,根据值的大小向查询用户推荐好友。系统合法用户查询匹配过程中以及建立好友关系之后的保密通信使用的私钥,基于迪菲-赫尔曼密钥协商技术,经由服务器保密传输公开参数而生成,但对服务器保密。安全分析表明,该方案能够防止系统用户隐私信息泄露,进而保障了其身份的匿名性。同时,基于jPBC密码算法库在MyEclipse平台上对方案进行仿真实现,实验结果表明,该方案在减轻用户计算与通信负担方面比同类方案更加有效。     

分布式自选举动态阵列蜜罐系统的设计与实现

Traditional honeypot is in fact a “passive proactive” defense mechanism because it may lose the value entirely once the adversary has detected the existence of the static trap and bypassed it. Our work focuses on a Self Election dynamic honeypot framework which aims to bewilder attackers by coordinating and switching roles periodically to form a huge dynamic puzzle. In this paper, we discuss the UDP Spokesman synchronization scheme and the Self Election coordination method, perform the framework simulation of the dynamic array honeypot with NS2, carry out the prototype implementation by Java, and then validate the effectiveness and feasibility on the simulation and prototype system. The promising results of applying this framework to mitigate the effects of attacks are shown and analyzed. Our work demonstrates that the Self Election dynamic array honeypot system is feasible and effective for proactive network confrontation.     

一种抵抗符号执行的路径分支混淆技术

程序在动态执行过程中泄露了大量的路径分支信息,这些路径分支信息是其内部逻辑关系的二进制表示.符号执行技术可以自动地收集并推理程序执行过程所泄露的路径信息,可用于逆向工程并可削弱代码混淆的保护强度.哈希函数可以有效保护基于等于关系的路径分支信息,但是难以保护基于上下边界判断的不等关系的路径分支信息.将保留前缀算法与哈希函数相结合提出了一种新的路径分支混淆技术,将符号执行推理路径分支信息的难度等价到逆向推理哈希函数的难度.该路径分支混淆方法在SPECint-2006程序测试集上进行了实验,试验结果表明该混淆方法能有效保护程序路径分支信息,具有实用性.     

企业评价诊断系统的设计与实现

企业评价与诊断方法的研究,对企业了解自身经营状况,发现经营过程中的问题,实现企业现代化的管理具有十分重要的意义,提出了一套评价企业经营效果和诊断企业运营过程中存在的问题的方法,并研究了实现这一方法的计算机应用系统的设计与实现问题。