一种基于浏览器的CSRF攻击检测方法

互联网的安全形势日益严重,CSRF漏洞是最严重的Web漏洞之一,如何检测CSRF攻击成为业内热点。目前的CSRF检测技术主要通过验证字段例如Fom表单字段、验证SameOrigin等传统方式,但字段容易被攻击者更改,从而成功绕过CSRF检测。在验证字段的基础上,通过进一步分析网页内容,提出一种基于浏览器的CSRF检测方法,首先通过HTTP请求分析初步判断,再进一步分析网页内容检测CSRF攻击,告警提示用户。通过基于 Chrome浏览器的扩展插件技术实现所提出的检测方法,并通过实验进行验证与分析。     

矢量数据包处理加速的动态防护系统设计与实现

针对IP地址动态化防护技术引入额外开销而导致正常网络传输性能下降的问题,首次设计并实现了一种基于矢量数据包处理（Vector Packet Processing,VPP）加速的IP地址动态防护系统,在隐藏真实IP地址的同时增强了系统数据处理能力.首先,针对控制平面和数据平面处理逻辑不同,分别设计了快转发逻辑和慢转发逻辑,降低数据报文处理过程中的拷贝次数;其次,面向真实IP-虚假IP频繁映射,提出一种共享内存的高效的IP地址动态变换机制;再次,采用最优化和哈希链算法制定了IP跳变策略与虚假IP地址预分配机制,最小化系统性能损耗;最后,实验结果表明,系统能够有效抵御DoS攻击并将潜在的侦查攻击命中率控制在16%以下,在数据处理性能上也有明显的速度提升.     

面向主动防御的多样性研究进展

不同软件或执行过程通常存在不同的脆弱性,多样性技术基于该前提应用于系统的可靠性、安全性设计中,显著增强了系统的防御能力和入侵容忍能力,然而也存在系统代价高、复杂性高等不足。已有研究中出现了大量的多样性技术实现、系统设计以及相关的评估工作,覆盖范围广泛。针对主动防御领域内的多样性应用,围绕多样性应用性价比的问题,本文梳理了多样性研究中的典型工作和最新进展。首先对多样性综述研究工作进行了对比分析,讨论了多样性研究的主要内容和研究侧重点。其次对多样性概念进行了梳理,给出了时、空多样性的定义。再次,按照时空多样性的分类方法,对基于多样性的主动防御系统的架构和实现技术进行介绍,分析了时、空多样性系统的特点和实现方式。然后,对多样性度量和有效性评估方法进行了分类总结,分析了不同度量、评估方法的优势和不足。最后,提出了多样性技术的下一步研究方向。     

基于符号执行的软件缓存侧信道脆弱性检测技术

缓存侧信道攻击的基础是程序针对不同敏感信息将访问不同的缓存地址.本文提出基于符号执行的缓存侧信道脆弱性检测技术,通过符号化敏感信息的数据传播过程定位潜在的脆弱点,并通过比较其可能的不同缓存访问地址,判断上述代码在缓存攻击中的可利用性.本文开发了原型系统CSCVulDiscover,并针对RSA等3种密码算法的12类实现代码进行测试,总共发现了125个脆弱点.     

基于移动目标防御信号博弈的容器迁移策略

容器作为虚拟机的轻量级替代产品,以其灵活、高效的特点促进了云计算的发展,但同时也面临着同驻攻击、逃逸攻击等安全威胁。针对云环境中的容器安全威胁,构建了基于移动目标防御的信号博弈模型,并提出了多阶段最优防御策略求解算法,通过博弈模型和求解算法选取最优策略,同时通过容器调度方法对容器进行调度,可以增强容器安全性。仿真实验结果表明,提出的迁移策略获取的防御收益相较于Kubernetes自带迁移策略提升了3.6倍,同时容器同驻率降低了79.62%,对现实容器云环境下的防御策略选取和安全性增强具有一定的借鉴意义。     

面向网络层的动态跳变技术研究进展

首先,介绍了网络层跳变技术的基本概念并给出了其所能抵御的安全威胁;接着,从传统网络和软件定义网络给出了网络层跳变技术的两种模型和通信方式;然后,从跳变属性、跳变的实现方式和跳变的触发方式3个方面对网络层跳变技术进行分类,并给出网络层跳变的两种评估模型;最后,总结了网络层跳变技术目前仍然存在的问题,以及相应的发展方向。     

一种面向N变体系统的时延隐蔽信道攻击及其对策研究

N变体系统具有高可靠性和高安全性的特点,能够有效防御多种安全风险,现已广泛应用于金融、医疗、军事和网络空间等多个具有高安全性需求的领域。但是N变体系统特有的裁决机制为实施时延隐蔽信道攻击提供了潜在的实现途径。针对这种潜在的安全威胁,本文首先分析了一种面向N变体系统的时延隐蔽信道攻击方法,该攻击方法以信息论为基础,利用N变体系统响应时延的差异特征来泄露系统信息。进而,推导出了攻击者使用响应时延样本均值和样本方差作为特征统计量时的检出率公式。然后针对该时延隐蔽信道攻击方法,从减少攻击者利用响应时延差异特征的角度上提出随机加扰策略、自适应加扰策略和先到先裁决策略三种防御策略,随机加扰策略通过引入延迟使响应时延具有相同的统计特征,自适应加扰策略通过动态调整裁决策略以平衡系统运行效率,先到先裁决策略通过优化裁决算法以减少攻击者利用时延差异特征来泄露系统信息,同时提升一定的系统性能。最后,开发了基于Nginx的原型系统并进行了广泛的实验,实验部分证明了该时延隐蔽信道攻击对N变体系统的安全威胁,同时验证了三种防御策略的可行性与有效性,性能对比测试结果表明先到先裁决策略相较于原裁决策略降低了10%的系统响应时延,吞吐量提升了18%,CPU利用率提升了3%。     

容器云中基于Stackelberg博弈的动态异构调度方法

容器技术以其灵活、高效的特性促进了云计算的快速发展，但同时引入了如同驻攻击、逃逸攻击和共模攻击等安全威胁。针对这些安全威胁，提出一种容器云中基于 Stackelberg 博弈的动态异构式调度方法。首先，构建异构镜像资源池以抑制云上基于共模漏洞的攻击扩散；进而，将攻防交互过程建模为Stackelberg博弈模型；最后，对攻防模型进行分析，将系统调度问题建模为混合整数非线性规划问题以求解系统最优调度策略。实验证明，所提方法能够提升云平台的防御效果，降低系统防御开销。     

面向云存储安全的可自愈拜占庭Quorum系统

针对云存储系统中的数据安全问题,提出了一种面向云存储安全的可自愈拜占庭Quorum系统.该系统以虚拟机作为后端存储设备构建虚拟存储节点,利用虚拟机多样化操作系统,以及动态迁移、快速部署等机制构建动态异构的存储系统架构.在拜占庭容错门限的基础上,提出自愈门限的概念,并设计相应系统安全协议,实现存储节点的自动化异常检测和状态复原.实验结果表明,提出的云存储系统具有较高的鲁棒性,能有效提高存储数据的安全性.     

基于操作系统多样性的虚拟机安全部署策略

云计算的资源共享模式,在极大提高资源利用率的同时,也带来了诸多安全问题,如虚拟机间的共存攻击。特别是当用户使用单一的操作系统时,攻击者可以在较小的开销下,攻破用户的全部虚拟机,从而窃取隐私和数据。针对这一安全威胁,利用不同操作系统漏洞存在差异的特点,提出一种基于操作系统多样性的虚拟机安全部署策略。该方法首先为申请虚拟机的用户推荐一种多样性程度最高的操作系统配置选择;然后通过一种安全的部署策略,最大化地发挥多样性的特点,使攻击者需要付出更大的开销。实验结果表明,与单一操作系统配置的方法相比,该方法至少可以降低33.46%的攻击效益。