一种关于PHP源代码安全漏洞的静态检测方法

PHP脚本语言是一种当前比较流行的服务端脚本语言,多用来开发Web应用程序。文中介绍了一种针对PHP的静态缺陷分析方法,能有效检测出PHP中常见安全缺陷,如SQL注入、XSS等,文中给出了对当前比较流行的几个开源PHP工程的检测结果,其中大部分缺陷是可以远程利用的。     

基于开源JVM的安全策略强制实施

 非信任代码的安全执行是移动代码安全的重要问题之一.携带模型代码(Model Carrying Code)方法同时考虑了移动代码生产者和使用者对安全性的支持和需求,建立了以模型为中心的安全执行非信任代码的理论框架,其中安全策略的定义和强制实施是MCC方法的重要组成部分之一.本文针对已被广泛使用的Java移动代码,以开源JVM Kaffe和Linux操作系统为研究载体,提出了基于开源JVM的安全策略实施模型,并实现从安全策略定义到实施的整个过程.本文在安全策略规范描述,可强制实施的扩展有限自动机(EFSA)模型和进程级监视以捕获系统调用等方面都做了有益的尝试,为完善MCC方法和实现安全策略的强制实施提供很好的方案.     

一种包含异常处理结构的面向对象切片方法

针对面向对象语言的特点,结合异常处理机制,对传统的系统依赖图（SDG图）进行了扩展,实现了面向对象的系统依赖图（OSDG图）.改进后的OSDG图可以很好地支持继承和多态等特征,并能处理多态对象抛出和处理异常所带来的数据和控制依赖关系.通过传统的程序切片算法,可以在OSDG上切出较为精确的切片.     

一种基于本地数据库的日志安全策略

随着信息社会的发展,计算机日志文件的安全是信息社会中安全使用的重要部分之一。通过分析国内外日志的研究概况,阐述了日志的重要性,并详细分析了存在的一些日志保护策略及其不足之处,然后提出了一种基于本地数据库的日志保护策略,该策略要求\"实时\"提取日志记录并通过加密技术保存于本地数据库中,使用进程隐藏技术实现系统对用户的透明性,能很大程度上防止日志被非法删除和篡改,最后总结了该方案的优势和局限。     

一种支持动态调节的最小特权安全策略架构

最小特权机制可为安全操作系统提供恰当的安全保证级.本文描述了一种支持动态调节的最小特权安全策略架构,它结合角色的职责隔离和域的功能隔离特性,通过一种基于进程上下文—角色、执行域和运行映像的权能控制机制,将每个进程始终约束在这些上下文允许的最小特权范围内.本文实例分析了该架构在安胜OS v4.0,一种自主开发的、符合GB17859-1999第四级——结构化保护级的安全操作系统中的实现.结果表明,它可支持安全操作系统实施动态调节的最小特权控制,并提供灵活有效的系统.     

针对数据不出园区的5G定制专网部署方案及安全策略研究

根据某运营商的5G定制专网建设指导意见,针对客户数据不出园区的场景、时延等要求,提出了UPF下沉的园区5G定制专网具体部署方案,网络安全策略,以及相应的分析研究.     

一种基于t图的多尺度边缘检测方法

在多尺度边缘检测方法中，滤波器的滤波尺度的选取是关键，本文通过检验一给定像素邻域的灰度分布来判断此像素是否位于平滑区，并产生一幅五维向量图－t图，然后根据t图自适应地选取小波变换的尺度。实验结果表明，应用这种方法进行多尺度小波边缘检测具有较强的抗噪能力。     

一种针对RSA-CRT的功耗分析攻击方法

RSA-CRT作为RSA的一种快速实现方式,被广泛应用于智能卡等计算能力有限的设备。文中提出一种针对该实现方式的旁路攻击方法,通过选择合适的输入数据,对模余运算之后的中间结果进行功耗分析。该方法先确定其中一个素数的位数,根据素数的位数选择合适的输入数据再进行一次差分功耗分析攻击,逐字节得到该素数。仿真实验结果表明,新的攻击方案是行之有效的,与在同一位置进行攻击的MRED方法相比,新方法减少了所需要的功耗波形条数,有效地提高了攻击效率。     

可控内存写漏洞自动利用生成方法

针对现有漏洞自动利用生成方法无法实现从“可控内存写”到“控制流劫持”的自动构造问题,提出一种可控内存写漏洞的自动利用生成方法。首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于漏洞利用模式进行利用要素搜索,通过约束求解自动构造可控内存写漏洞的利用。实验结果表明,所提方法可以有效检测可控内存写漏洞,搜索漏洞利用要素,自动生成从可控内存写到控制流劫持的利用。     

可控内存写漏洞自动利用生成方法

针对现有漏洞自动利用生成方法无法实现从“可控内存写”到“控制流劫持”的自动构造问题,提出一种可控内存写漏洞的自动利用生成方法。首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于漏洞利用模式进行利用要素搜索,通过约束求解自动构造可控内存写漏洞的利用。实验结果表明,所提方法可以有效检测可控内存写漏洞,搜索漏洞利用要素,自动生成从可控内存写到控制流劫持的利用。     

基于程序分析的Android应用恶意行为检测

随着Android智能手机的普及,手机应用的安全隐患也日益凸显。提出了一种基于程序分析的Android应用程序检测方法,用于检测Android应用程序中的恶意行为。通过预处理剔除不存在恶意行为的应用程序。对通过预处理阶段的应用程序,模拟执行应用程序中的字节码指令,构建出函数的摘要信息,最终在构建的函数摘要上使污点传播算法,检测应用程序中的恶意行为。实验结果表明,该方法可以有效检测出Android应用程序的恶意行为,具有较高的实用性。     

一种基于信息流策略的组密钥管理机制

文中将多级安全的信息流策略引入到安全组通信系统中,设计了一种基于信息流策略的组密钥管理机制。该机制应用密钥多树图的管理方法保证了密钥管理效率。并引入虚用户组概念,一定程度上提高了可扩展性。密钥安全更新过程有效解决了组成员关系变动引起的安全隐患。安全性分析表明该密钥管理机制满足安全设计要求,是一种安全高效的组密钥管理机制。     

基于双层信息流控制的云敏感数据安全增强

已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.     

访问控制综述

本文阐述了访问控制以及它与其他安全业务的关系,如鉴别、审计和行政管理;接着概述了访问矩阵模型及在实际系统中实施访问矩阵的几种不同方法,并对当前系统中一般使用的访问控制策略进行了讨论。最后,简要说明了访问控制的行政管理。     

基于攻击图的网络安全分析方法研究

病毒漏洞的大量出现,给网络安全带来了一定的威胁,尤其是DDoS攻击给网络安全敲响了警钟。在安全网络研究方面,攻击图是很好的一种研究方法,它能够给出清晰的结构图,使网络安全人员找到可能的攻击路径,从而重点防范,以减少网络安全事故的发生。论文介绍了这种基于攻击图的网络安全分析方法,最后给出一个系统原型。     

典型网站系统安全保护平台研究

针对网站系统面临的安全威胁,在分析系统一般工作流程的基础上,探讨如何构建网站系统安全保护平台,研究其中所涉及的一些关键技术,从而确保网站系统中计算环境、区域边界与通信网络的安全,实现＂防内为主、内外兼防＂的安全目标。     

基于AOP和动态污点分析的SQL注入行为检测方法

Web应用程序时刻面临着来自网络空间中诸如SQL注入等代码注入式攻击的安全威胁.大多数针对SQL注入攻击的检测方法执行效率较低,检测精度也不够高,特别是实现方法不易被重用.根据注入型脆弱性特征提出了一种基于AOP（Aspect-Oriented Programming）和动态污点分析的SQL注入行为检测方法,并通过方面（aspect）模块化单元对污点分析过程进行了封装,使得安全这类典型的程序横切关注点从基层子系统中分离,提高了检测代码的可重用性.在污点汇聚点结合通知（advice）机制动态加载各类检测组件实现在运行时执行检测代码,从而应对SQL注入这类典型的针对Web应用程序的代码注入攻击方式.实验表明,该方法能够在不修改应用程序执行引擎及源码的前提下实现自保护过程,有效防御重言式（tautologies）、逻辑错误查询（logically incorrect queries）、联合查询（union query）、堆叠查询（piggy-backed queries）、存储过程（stored procedures）、推理查询（inference query）、编码转换（alternate encodings）等7种典型的SQL注入攻击类型.