基于继承图的类耦合性度量研究

提出一种基于继承图的度量继承耦合性的方法,该方法根据类之间继承方式的不同,建立相应的信息流方程,并根据类之间的继承路径,按照信息流方程迭代计算由父类传递给子类的信息流,根据流入子类的信息流的多少度量类之间的继承耦合强度.     

信息流图的分割算法

一个多级安全系统的信息传递关系是搜索隐通道的重要依据.由于一个大型多安全级软件系统的信息传递关系非常复杂,对其直接进行信息流分析并搜索隐通道的工作量非常大,因此为进一步提高搜索和分析隐通道的效率,提出了一种将信息流图分割成信息流森林的算法.该算法首先选定一棵父树,然后通过边割集中的弧置换父树中的树枝得到新树,并能从理论上保证分割后得到的信息流森林正确继承原图的信息,即原图中信息流既未被割裂也未丢失.通过对每棵信息流树表示的信息流进行分析就可取代对整个信息流图的分析,从而有效降低了分析问题的规模.     

面向无传递性安全策略的语法信息流分析方法

传统的语法信息流分析方法均基于实施机密性安全策略的信息流格模型,而格关系的传递特性使得该方法不能用来分析实施无传递性安全策略的系统的安全性。提出一种新的标识隐蔽信息流的语法信息流分析方法,该方法对实施具有传递性和无传递性安全策略的系统均适用。将信息流语义附加在每条语句之后,定义一种称为信息流时序图的图结构来刻画信息流发生的时序关系,给出了基于源程序的信息流时序图的构造方法,提出了一种基于时序图的隐蔽信息流的标识算法。另外,针对并发程序的并发特性,提出了一种简化信息流时序图的方法,在该方法下只要考虑并发进程之间特定的交互次序即可,而不需要考虑所有可能的交互方式。     

采用图遍历算法的服务端请求伪造漏洞检测

针对基于PHP语言开发的Web应用系统,提出了一种基于图遍历算法的服务端请求伪造漏洞检测和利用方法。通过构建抽象语法树,获取每个文件的数据流信息,进而利用数据流中的传递依赖关系构造全局的代码属性图,使用图遍历算法对生成的代码属性图进行污点分析,得到污点变量的代码传递依赖路径图,最后使用约束求解的方法对路径图中的经过函数信息进行漏洞检测并生成可利用的攻击向量。实验结果表明,这种检测方式相较于传统的静态审计方法能够很好地发现服务端请求伪造漏洞,并能够自动化生成可绕过的攻击向量。     

一种基于信息流图的共谋访问风险控制模型

为解决信息系统中的非授权间接访问问题,提出一种基于信息流图的共谋访问风险控制模型。通过记录系统的历史访问行为构建信息流图,在此基础上定义共谋访问行为,同时基于状态机定义访问控制模型,利用安全性定理和规则防止共谋访问的发生,并对规则做安全性证明。根据信息熵理论对模型的有效性进行分析和验证,结果证明该模型可有效防止共谋访问的发生。     

基于间接信息流约束的访问控制模型

为解决跨域跨系统环境下的违规间接信息流问题,提出了一种联合访问控制模型.通过记录系统中的访问行为,构建跨系统的信息流图;在此基础上给出信息流图的安全性定理,定义系统的安全状态;通过制定安全规则,约束跨域跨系统环境中的访问行为.基于安全熵对模型的安全性进行分析和验证,验证结果表明了模型在间接信息流的安全防护能力方面优于传统模型.     

基于时序关系的系统失效可达图生成方法

针对状态事件故障树生成系统可达图过程中存在的状态空间爆炸问题,提出了一种基于时序关系的系统失效可达图生成方法。通过分析触发和被触发类型事件的时序关系,对存在时序关系的事件进行排序,根据时序关系获得系统构件间的所有不可同时到达状态对,对构件间的可同时到达状态建立笛卡尔积,获得系统的所有可同时到达状态对,根据连接表和最小割集获得系统失效的状态可达图,从而有效解决系统失效可达图生成过程中存在的状态空间爆炸问题。应用基于时序关系的系统失效可达图方法生成鱼攻系统失效可达图,实验结果 验证了该方法的可行性与稳定性; 同时也为表明其能有效地缓解状态空间爆炸问题,为状态事件故障树生成系统可达图提供了一种新的方法。     

基于不确定攻击图的攻击路径的网络安全分析

随着科学技术的发展,现有攻击图生成算法在描述突发网络拥塞、网络断开、网络延迟等意外情况时存在不足;并且对于在攻击图中同样可以达到目标状态的攻击路径,哪一条路径网络更可靠等问题还未开始研究。通过不确定图模型提出了一种攻击图的生成算法,从攻击者的目标出发,逆向模拟生成攻击图,可以较好地模拟现实攻击情况并找出最可靠攻击路径,而且可以避免 在大规模网络中 使用模型检测方法出现状态空间爆炸的问题,以帮助防御者更好地防御网络漏洞攻击。实验结果表明,该方法能够正确生成攻击图,并且对大型网络的模拟也很实用。     

基于信息流的多级安全策略模型研究

内部威胁是企业组织面临的非常严重的安全问题,作为企业最贵重的信息资产——文档,是内部滥用的主要目标。以往的粗粒度安全策略,如最小权限原则、职责分离等,都不足以胜任文档安全化的内部威胁问题。提出了一个崭新的多级安全策略模型,引入了文档信息流和信息流图概念,并提出了相关算法。它能依据系统上下文环境的变化,动态地产生信息流的约束条件,屏蔽可能产生的隐藏信息流通道。     

一种基于贪心策略的攻击图模型

通过分析网络攻击者在攻击过程中常采取的各种贪心策略,提出一种基于贪心策略的攻击图建模和生成方法,能够有效解决基于攻击图的网络安全分析中存在的规模和环路问题。实验表明使用该方法可明显减少所生成的攻击图的规模且解决了环路问题,同时保留了关键漏洞和攻击路径信息,提高了网络安全分析效率和可视化效果。     

恶意软件的时序对偶数据流图挖掘及其检测方法

基于数据流图的恶意软件检测方法通常仅关注API(application programming interface)调用过程中的数据流信息,而忽略API调用顺序信息。为解决此问题,所提方法在传统数据流图的基础上融入API调用的时序信息,提出恶意软件时序对偶数据流图的概念,并给出模型挖掘方法,最后提出一种基于优化的图卷积网络对时序对偶数据流图进行分类、进而用于恶意软件检测与分类的方法。实验结果表明,所提方法的恶意软件识别准确率较传统基于数据流图的恶意软件识别方法有更好的检测效果。     

一种使用控制块消除流图中回边的算法

引入控制块分解流图来构建控制流树,确定流图中的回边及循环路径中包含的节点,通过消去原流图中的回边,构建无环流图,简化流图的数据流分析。控制块将流图的控制关系转移到新构建的控制流树的内部控制节点上。使用控制块分解算法将流图转换到控制流树过程中,所创建节点数目不超过n,使用控制流树求解路径表达式和确定回边的时间复杂度不超过O(nlogn)。     

融合社交网络威胁的攻击图生成方法

针对现有攻击图生成和分析方法多数未考虑社交网络威胁的问题,提出一种基于知识图谱融合社交网络威胁的攻击图生成方法。根据攻击图的构建需求和收集的内网环境数据,设计融合社交网络威胁的网络安全本体模型和知识图谱,以实现对社交网络和物理网络数据的关联分析以及对攻击图输入信息的扩展,基于知识图谱采用广度优先搜索算法生成融合社交网络威胁的攻击图,并给出内部社交网络威胁的攻击成功率计算方法。基于真实网络拓扑和脆弱性信息的实验结果表明,与现有攻击图的相关方法相比,该方法可有效发现网络中潜在的借助社交网络入侵的攻击路径。     

内存泄漏故障静态分析研究

目前研究人员主要采用静态测试技术实施对内存泄漏故障的检测,其基本思想就是依据待测程序的控制流图来设计特定的算法以检测内存泄漏问题,但这些方法的不足之处主要是控制流图的表示方式上未含有进一步可用信息,因此所设计的算法不能很好地执行该故障的检测任务.为此,定义了一种用于内存泄漏故障检测的控制流图,提出控制流图可达路径生成算法,然后根据生成的路径进行内存泄漏故障的检测与分析.实验证实,该方法取得了理想的效果.     

基于面向对象程序代码的类测试技术

面向对象软件的基本测试单元是类，文中提出了用一种基于代码的测试技术－数据流测试来全面地测试类。对类测试分为３级：单个成员函数的测试；公有成员函数的测试；公有成员函数接口的测试。     

基于过程蓝图的程序环路复杂性度量方法

提出一种基于过程蓝图的程序环路复杂性度量实现方法。将传统基于程序控制流图的度量信息抽取变为对过程蓝图的实现层表示-抽象实现结构图的信息抽取，避免程序源代码的语法分析和控制流图的构造，简化度量过程和实现，并提高度量处理的效率。     

基于SVG流程图的设备管理系统的设计与实现

为解决现有企业设备管理系统图形交互能力差且图形格式不一的现状,在分析流程图技术的基础上,提出了一种基于SVG流程图进行设备管理的实现方法和途径,并给出了一种基于SVG(可扩展矢量图形)流程图的设备管理系统的实现.通过建立基于JS (JavaScript)与DOM(文本对象模型)的SVG图形编辑系统,构建了SVG设备图元库以及SVG流程图库.该系统采用三层B/S架构,基于流程图提供了可解析与交互的设备图形信息应用平台,具有较好的扩展性,为流程企业提供了更加直观、便捷、高效的设备管理功能.     

面向对象类簇级测试中控制依赖分析方法研究

类簇控制依赖信息是进行类间数据流测试的基础。本文通过克服已有类控制流分析的不足之处,提出了CCFG算法,依照类间测试序,通过分析继承、聚集和关联等类间关系特 征进而增量式地构造类间控制流图（ICCFG算法）,并初步探讨了动态控制依赖分析方法。实验表明,上述控制流分析方法可方便地用于类间数据流测试,并能有效地探测定义一使用错误。