基于风险的访问控制操作需求计算方法研究

针对基于风险的访问控制中缺乏对操作需求详细分析与量化,在分析操作需求的基础上,提出了一种静态与动态相结合的操作需求计算方法.引入访问目的层次结构,提出目的森林的概念,并给出客体目的森林遍历算法,从而计算静态操作需求;统计客体的被访问历史,并基于EWMA给出动态操作需求的计算方法.在分析静态和动态操作需求关系的基础上,给出操作需求的计算方法.讨论和分析结果表明,该方法能够更为准确、动态地体现访问操作需求.     

基于IBAS的SAML路径验证协议

在Web服务认证调用过程中,现有基于公钥基础设施(PKI)的签名机制在保证安全声明标记语言(SAML)断言的安全传递时会显著降低SOAP消息的传输效率。为此,提出基于身份聚合签名的SAML路径验证协议IBSPV,通过缩短签名值和验证公钥的长度,加快 SOAP消息的传输速度。在随机预言模型下分析证明IBSPV具有保证SAML断言的完整性、源不可伪造性以及传递路径不可篡改和抗 重放攻击等安全特性。通过比较IBSPV签名与PKI签名的断言长度,证明IBSPV协议具有更高的传输效率。     

基于改进高斯核函数的BGP异常检测方法

通过将边界网关协议(BGP)更新报文激增异常问题抽象为二分类问题,提出一种基于改进高斯核函数的BGP异常检测(IGKAD)方法。采用FMS特征选择算法,选择能同时最大化类间距离和最小化类内距离的特征,得到度量分类能力的特征权值。利用基于Manhattan距离与特征权值的改进高斯核函数构造支持向量机(SVM)分类模型,并结合基于网格搜索与交叉验证的参数寻优方法,提高SVM模型分类准确率。通过设计特征效率函数,给出最优特征子集构造方法,从而选取最优特征子集作为训练数据集。实验结果表明,当训练集包含TOP10和TOP8特征时,IGKAD方法的分类准确率分别为91.65%和90.37%,相比基于机器学习的BGP异常检测方法分类性能更优。     

溢出攻击的攻击元与攻击模板构建研究

面向抗攻击测试对溢出攻击的需求,以构建溢出攻击可重用功能结构和统一描述框架为目标,分析溢出攻击样本不同阶段的攻击过程特点,提取组织溢出攻击的攻击元;总结溢出攻击过程一般描述,搭建溢出攻击构造过程通用攻击模板,从而建立起溢出攻击实现的规范组织架构.在AASL脚本语言支持下,实现利用攻击元,解析重构模板建立溢出攻击脚本.实验证明,该方法在确保溢出攻击的有效、可控和代码质量基础上,大幅降低了代码编写数量,有效提高了开发效率.研究成果为抗攻击测试攻击用例的使用提供了有力保障.     

基于吸收Markov链的网络入侵路径预测方法

入侵意图和路径预测对于安全管理员深入理解攻击者可能的威胁行为具有重要意义.现有研究主要集中于理想攻击场景中的路径预测,然而理想攻击路径并不都是入侵者采取的真实路径.为了准确全面地预测网络入侵的路径信息,提出基于吸收Markov链的多步攻击路径预测方法.首先利用吸收Markov链中状态转移的无后效性和吸收性设计节点状态转移概率归一化算法,并证明完整攻击图可以映射为吸收Markov链,进而给出了基于通用漏洞评分标准的状态转移概率度量方法,最后提出攻击状态节点访问次数和路径长度的期望值预测步骤流程.实例分析结果表明:该方法可以量化不同长度攻击路径的概率分布、计算路径长度的期望值、预测实现既定攻击目标所需的原子攻击次数,并对节点威胁进行排序,为及时应对网络攻击威胁提供更多安全防护指导.     

互联网自治系统的前缀信誉模型

BGP面临的前缀劫持攻击会严重破坏互联网网络的可靠性。引入信任技术,构建自治系统的前缀信誉模型(Autonomous System Prefix Reputation Model,简写为"AS-PRM")来评估自治系统发起真实前缀可达路由通告行为的信任度。从而,自治系统可选择相对前缀信誉好的自治系统发起的前缀可达路由通告,来抑制前缀劫持攻击的发生。AS-PRM模型根据多个前缀劫持攻击检测系统的检测结果(考虑了误报、漏报率),基于beta信誉系统,计算自治系统的前缀信誉,并遵循"慢升快降"原则,更新前缀信誉。最后,仿真实验验证了模型的有效性。     

网络功能虚拟化环境下安全服务链故障的备份恢复机制

针对网络功能虚拟化(network function virtualization, NFV)环境下安全服务链(security service chain, SSC)故障问题,提出一种基于比例资源预留的备份恢复机制.该方法采用前摄性处理思想,预先在物理网络中按比例划分主备用资源并构造节点/链路候选集合;当发生节点故障时,从候选集合中选取重映射目标并为其分配预留的备用资源,利用改进的离散粒子群(discrete particle swarm optimization, DPSO)算法及时地解决节点故障重映射问题,在降低资源占用的同时提高故障修复率;当发生链路故障时,通过改变底层物理路径流量分割比例,将受影响流量迁移到候选集合的可用链路中,设计动态路径分割算法有效解决了链路故障重定向问题,实现底层物理网络资源剩余价值最大化.仿真实验验证了算法在不同物理网络环境下的适应性和不同故障模型下的有效性,此外,还初步探索了主用比例的取值对所提备份恢复机制的影响.     

基于卷积神经网络的视频流隐藏信息检测方法

为解决现有视频流隐藏信息检测中,人工检测特征设计难度不断加大的问题,提出一种基于卷积神经网络的视频流隐藏信息检测方法。在神经网络中构建残差学习单元,避免深层次卷积神经网络在训练时的梯度消失,利用深层神经网络自动从数据中挖掘检测特征,在此基础上引入量化截断操作,增加检测模型多样性,提升检测性能。使用FFmpeg与x264编码标准CIF序列生成的视频进行实验,实验结果表明,该方法相比现有方法具有更高的检测准确率。     

基于多阶段Markov信号博弈的移动目标防御最优决策方法

随着移动目标防御技术研究的不断深入,移动目标防御策略选取问题成为当前研究的热点问题之一,本文提出一种基于多阶段Markov信号博弈模型的移动目标防御最优策略选取方法.首先,结合攻防实际,提出实施攻击所需构建的攻击链模型.其次,在考虑状态随机跳变的基础上,将多阶段信号博弈模型与Markov决策过程相结合,构建基于多阶段M...     

组合Web服务访问控制策略合成研究

针对Web服务多域环境下组合服务的访问控制策略合成问题,首先提出基于属性的Web服务访问控制策略描述框架,并结合原子属性值限制的属性描述方法,对服务访问控制策略进行了形式化表达。然后,通过分析服务组合描述文档中的控制结构,并研究访问控制策略合成算子和访问控制策略规则的合成运算,提出组合Web服务访问控制策略合成方法,实现了组合服务访问控制策略的合成。最后,结合实例给出组合Web服务的访问控制策略合成流程,验证了合成方法的实用性。