基于虚拟机监控器的类蜜罐实时内存取证

为了解决传统的基于"镜像-分析"的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法(RTMF).利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内.     

基于VxWorks的dosFs文件系统分析与实现

基于VxWorks的新版本dosFs文件系统提供了极大的灵活性,从而很好地满足了嵌入式实时操作系统VxWorks对实时性的要求.本文对新版dosFs所引进的新特点进行了深入的分析,给出了块设备上实现此dosFs文件系统的方法,并对此文件系统的兼容性进行了分析.     

检察信息系统安全保障体系的研究

检察信息系统体系结构由网络层、数据层、应用支撑、应用层、门户和用户层五个层次和运行管理体系、信息安全保障体系、标准体系三大体系共同构成。论文在介绍检察信息系统的基础上，采用了面向SOA的风险分析方法，对信息系统进行了风险分析，以安全需求和风险分析为依据，提出了检察信息系统安全保障体系。     

基于运行特征监控的代码复用攻击防御

针对代码复用的攻击与防御已成为网络安全领域研究的热点,但当前的防御方法普遍存在防御类型单一、易被绕过等问题.为此,提出一种基于运行特征监控的代码复用攻击防御方法RCMon.该方法在分析代码复用攻击实现原理的基础上定义了描述程序正常运行过程的运行特征模型RCMod,并提出了验证程序当前运行状态是否满足RCMod约束规则的安全验证自动机模型.实现中,通过直接向目标程序中植入监控代码,使程序运行到监控节点时自动陷入,并由Hypervisor实现运行特征库的构建和安全验证.实验结果表明,RCMon能够有效地防御已知的绝大部分代码复用攻击,平均性能开销约为22%.