Linux系统下改进的日志采集模块

对传统的用户态模块ulog-acctd进行改进,提出了一种新的基于Linux的日志采集模块Aulog.Aulog模块对ulog-acctd的启动方式、参数配置,buffer设置、flush时间设置,字段裁剪五个方面进行改进,使其性能得到了很大的提高.从横向和纵向两个不同的角度进行的对比实验表明,Aulog的性能较ulogd和ulog-acctd分别提高1倍和10%;在相同网络环境下,Aulog的CPU消耗仅为ulogd的40%.     

基于Xen的自下而上调用的设计与实现

针对虚拟机监视器(virtual machine monitor,VMM)与上层客户虚拟机(Guest-VM)之间的语义鸿沟(semantic gap)问题,该文提出了一种自下而上的调用方式,该方法使得VMM能够同步调用客户机的已有功能来获取客户机语义信息,为在客户虚拟机地址空间之外的监控机制带来便利。在Xen半虚拟化环境下,实现了自下而上的同步调用方式,有效地解决了语义重构所需的重复定义和实现问题。实验表明,该方法能使VMM有效地调用客户机的已有功能为自己服务,使VMM能准确地获取上层虚拟机操作系统的信息。     

基于监视代理的IaaS平台漏洞扫描框架

针对IaaS平台主机的安全漏洞问题,本文提出了一种基于监视代理的IaaS平台漏洞扫描框架。该框架通过增加监视代理,改进并优化传统漏洞扫描工具,增加软件版本更新检测功能,实现主机漏洞检测。该框架具有良好的扩展性、稳定性和实用性,并且易于在大规模集群中部署。实验证明该框架可以有效检测主机中存在的漏洞和低版本软件并提供安全报告与建议,有助于降低物理节点和虚拟机安全风险,维护IaaS平台的安全性。     

基于长短期记忆神经网络的容器内进程异常行为检测

容器技术以其轻便、灵活和快速部署等特点提高了应用分发部署效率.然而,资源隔离性低和共享内核的特性却给容器和云平台引入了新的安全风险.本文提出了一种基于系统调用序列和长短期记忆（Long Short-Term Memory,LSTM）神经网络的容器内进程异常行为检测方案,通过无代理监控模式采集进程全生命周期的系统调用序列数据,并利用LSTM捕获序列的语义特征,同时采用局部窗口内累积偏差的方式,提出了两种异常判决方法.此外,为优化模型训练效率,设计了一种短序列样本同比去重算法.在公开数据集和复现的实际攻击场景下的实验结果表明,该方案能有效检出容器内进程的异常行为,且检测效果优于同类的其它方法.     

IaaS环境下虚拟机无代理通信加密机制*

云计算被广泛的用于管理IT基础设施,然而,用户在使用过程中依然面临着不同的安全威胁。针对IaaS(Infrastructure as a Service)环境下虚拟机通信数据在共享网络基础设施中的安全性问题,提出了一种虚拟机无代理通信加密机制。该机制通过加载于虚拟化节点内的加密模块与平台统一加密控制器间的协作,实现了IaaS环境下虚拟机通信无代理按需加密;同时,引入通信加密策略有效性保障机制,保障了虚拟机全生命周期内的通信加密策略有效性。实验结果表明,该机制在引入较小性能开销的前提下,可以有效实现虚拟机通信加密,并保障虚拟机全生命周期内加密策略的有效性。     

Hyperledger Fabric平台的国密算法嵌入研究

Hyperledger Fabric 是为企业级商用区块链项目提供支撑的且可扩展的联盟链平台,密码算法为该平台的核心,保证上链数据的安全和不可篡改,但原始Fabric平台缺乏对国密算法的支持。因此,设计并实现了Fabric平台的国密算法的嵌入和支持。首先,通过分析Fabric平台中组件间交互逻辑和密码算法的调用场景,提出了在该平台嵌入国密支持的设计思路;其次,基于同济开源国密实现源码,为 Fabric 平台BCCSP添加SM2、SM3和SM4算法模块与接口;再次,将Fabric平台的各组件上层应用的密码算法调用接口与对应国密算法接口相关联,实现上层应用对国密算法调用的支持;最后,通过创建 fabric-gm 联盟链测试实例验证Fabric平台中嵌入的国密算法模块和接口的正确性及有效性,并与原生Fabric平台镜像构建的测试实例进行了性能比较。实验结果表明,嵌入的国密算法模块和接口可用、正确且生成的国密证书有效,与原生Fabric平台镜像相比,网络启动时间增加3%,毫秒级单位下的交易时间开销增加1倍,动态证书生成时间增加9%,各项性能指标均在可接受范围内。     

基于特征关联度的K-means初始聚类中心优化算法

针对K-means算法在进行文本聚类时对初始聚类中心敏感的问题,提出基于特征关联度的初始聚类中心选择算法.由于在原始文本集中不易找到类别代表性都较强的多个独立文本作为初始聚类中心,因此先从降维后的文本特征集合中,选取关联度大的特征构造新的文本集,再利用“或运算”合并其中的相似文本得到初始聚类中心候选集,最后通过计算文本密度并结合“最小最大”原则从候选集中选取最优的初始中心.在5个数据集上进行对比实验,该算法在多数聚类结果中的F-score值都高于90％,熵值低于0.5,明显优于Mahout提供的K-means算法,表明该算法可选出高质量的初始聚类中心,得到更好的聚类结果.     

基于信息量衰减幅度的网页正文提取

网页中的正文信息往往被相关链接、导航条、广告、版权说明等信息包围,为了更加精确地提取出网页正文信息,提出了一种基于信息量变化幅度的网页正文提取方法.该方法将网页中的HTML标签表示成一棵树,通过计算子树间正文信息量的衰减幅度确定主题区域子树,对该子树进行裁剪之后提取出正文信息.在获取主题区域子树后,对整个网页范围内的正文提取将被限制在网页正文所在的区域,这样就大幅度降低了网页噪音的干扰,从而能更加精确地提取出网页正文信息.实验结果表明,该方法的抽取准确率可以达到95％以上,具有较好的应用价值.     

SVM在网络信息内容审计中的研究与应用

对网络信息内容审计关键技术进行了研究,给出了网络信息内容审计系统的模型,并从特征选择、权重调整等方面详细阐述了将SVM算法应用于网络信息内容识别的过程,在此基础上实现了基于SVM的网络信息内容审计系统。测试结果表明,该系统能对敏感内容进行正确识别,查全率和查准率分别达到95.06%和85.47%,解决了人工选择关键词的困难,并且满足监控需求。     

一种基于VMM的内核级Rootkit检测技术

针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。