一种改进的基于WinPcap的快速抓包方法*

根据WinPcap的抓包原理和高速网络环境对网络抓包性能的要求,提出了一种改进的快速抓包方法－FHW法,并且在VC++ 6.0编译器中实现了该方法。试验结果表明,在高流量网络环境中,与传统的抓包方法相比,FHW法能显著地提高抓包性能、降低丢包率。     

基于兴趣群组的P2P信任模型*

参考人类社会网络的结构,提出一种基于兴趣群组的P2P信任模型。该模型建立在混合式拓扑结构上,采用组内信任度与组间信任度合成的方法来计算总体信任度,并给出了模型的实现协议与仿真实验。实验结果表明,兴趣群组内、组间的信任度计算量小,信任度评价客观,保证了在开放环境下P2P节点信任度的可靠性和安全性,经验证本模型具备工程可行性。     

基于UEFI固件的BOOTKIT检测技术研究

基于UFEI的BOOTKIT攻击能对UFEI固件、操作系统的完整性进行破坏,严重影响计算机安全。基于此,该文提出一种新的基于UEFI固件的BOOTKIT检测方法UDS,来保护固件和操作系统的安全。UDS以UEFI虚拟设备驱动程序的形式实现,在OS之前加载启动;采用了将完整性检测与文件恢复相结合的策略,对固件和操作系统内核进行保护;并通过代码混淆和文件隐藏的方法,防止UDS自身被BOOTKIT攻击。实验表明,UDS能有效保护固件和OS的完整性,防范基于UEFI的BOOTKIT攻击,具有启动时间早、空间开销少及自我保护性好的优点。     

基于调用门的进程隐藏技术

Rootkit是黑客入侵系统后保留后门常用的一项技术,而Rootkit的过人之处就在于它的隐形技术。论文主要介绍了目前Windows下常见的进程隐藏方法,并分析了现有方法的局限性,提出一种新的方法,该方法通过调用门的方式来修改进程链表和进程的访问令牌,从而达到进程隐藏和提升进程权限的目的,该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术。最后用实验证明了此方法的有效性。     

C逆编译系统的中间语言的一种优化表示方法

数据类型的重新定义、控制流恢复和自定义函数或结构体的识别是结构化语言逆编译过程中的难点,以往研究多采用改进汇编语言的数据类型表示和增加自定义函数或结构体的特征量的方式来优化逆编译结果。使用中间语言抽象表示逆编译后得到的汇编语言的语言形式,并设计了一种新的逆编译模式,一定程度上提升了逆编译结果的识别率、可读性和完整性。     

自动探测和保护确保内核完整性

内核rookits攻击对内核完整性构成致命威胁,因此对内核rootkits探测和防护确保内核完整性是当前研究的热点,然而现有的研究总存在不足:要么侧重内核rootkits防护,要么侧重内核rootkits探测,并未将两者相结合确保内核完整性。鉴于此,本文将探测和保护相结合形成一个自动联动机制,从而构成了基于探测保护的一体化系统ADPos来确保内核完整性。实验表明ADPos系统既能自动全面有效地探测与防护,而且又不牺牲系统性能为代价,并且兼容多种OS系统、同时防零日攻击。     

分组密码对称置换算法设计*

证明了对称置换的圈结构与计数,提出并设计了一种以特定对称结构作为分组密码算法的置换部分,以减小加密算法硬件空间,提高加/解密速度。指出了分组密码的多次迭代使对称置换结构复杂化,可以选择对称置换作为分组密码算法的扩散部分来设计。     

基于MBR的Windows bootkit隐藏技术

对Windows系统环境下的bootkit隐藏技术进行了研究,提出了bootkit协同隐藏的形式化模型。结合协同隐藏思想,实现了一个bootkit原型。该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持。实验结果表明,该原型体现了协同隐藏的思想,能够有效地隐藏运行。     

可信链的随机进程代数模型*

计算终端引导过程的可信链表现为顺序性,在运行过程中可信链表现出随机性。相关研究工作以计算终端引导过程的可信链建模为主。以随机进程代数为形式化描述语言,建立了一种可信链模型来描述计算终端运行过程的信任传递。该模型在随机进程代数的语法中扩展了完整性属性和完整性度量概率,建立了信任传递的语义规则,并提出了基于随机进程代数的可信链语义模型。该模型对于进一步研究可信链和计算终端的完整性具有一定的参考价值。     

一种针对BMP格式图像的LSB数字隐藏方法

介绍了一种针对BMP格式图像的数字隐藏方法。该方法对图像LSB(Lest Significant Bit) 平面进行随机嵌入。具有良好的隐蔽性,非法用户从载密图片中很难恢复出隐藏信息,可用于保密通信中。