基于存储的动态入侵检测机制研究

当入侵者侵入服务器或者终端的操作系统,此时主机的操作系统将不再受信任.网络存储系统应当识别出这种入侵.基于存储的入侵检测系统SIDS(Storage-based intrusion detection systems)能在存储层观察到此类入侵行为.本文提出一种新的基于存储的人工免疫入侵检测方案.该方案克服了以往一些SIDS原型完全依赖规则的缺点,利用了人工免疫的自我免疫特性,来动态监控用户的访问行为.根据收敛速度和检测效率,拟合出本方案的最优参数.最后的仿真结果表明:与同类优秀原型相比,本方案能达到较高的检测率和较低的误警率.     

“保安”质变——降低IDS误报、漏报率的新技术

提到网络安全,人们也许会想到防火墙,它作为一种静态访问控制类的安全产品通常用来实现网络的隔离。然而,它仅做到将非预期的访问请求屏蔽在外,却不能检查经过它的合法流量中是否包含恶意入侵。因此,用户还需要一种动态且主动的保护机制,时刻检查和解析所有的访问请求和内容,一旦发现可疑的行为,及时做出适当的响应。IDS(Intrusion Detection Systems,入侵检测系统)能提供这种动态的保护机制。     

黑客防范新概念:入侵检测

入侵行为不仅来自外部,同时也指内部用户的未授权活动。按入侵类型,入侵检测的内容主要包括以下六部分: 试图闯入或成功闯入:闯入是指未经授权进入系统或网络的行为。闯入者一般通过猜测口令或运用工具(如字典攻击)企图进入系统,可通过用户典型行为特征或安全限制比较来检测冒充其它用户:这可能是冒用他人账户,也可能是修改所发送的消息或文件冒充发送者。一般冒用他人账户经常与闯入行为相伴,所以也能通过典型行为特征或安全限制来检测违反安全策略:指用户行为超出了系统安全策略所定义的合法行为范围。例如企图越权访问文件或执行无权进行的操作。可以通过具体行为模式检测合法用户的泄漏:指在多级安全模式下,系统中存在两个以上不同安全级别的     

基于密文策略属性加密体制的匿名云存储隐私保护方案

针对云存储中数据机密性问题,为解决密钥泄漏与属性撤销问题,从数据的机密性存储以及访问的不可区分性两个方面设计了基于密文策略属性加密体制(CP_ABE)的匿名云存储隐私保护方案。提出了关于密钥泄漏的前向安全的不可逆密钥更新算法;在层次化用户组以及改进的Subset-Difference算法基础上,利用云端数据重加密算法实现属性的细粒度撤销;基于同态加密算法实现k匿名l多样性数据请求,隐藏用户潜在兴趣,并在数据应答中插入数据的二次加密,满足关于密钥泄漏的后向安全。在标准安全模型下,基于l阶双线性Diffie-Hellman(判定性l-BDHE)假设给出所提出方案的选择性安全证明,并分别从计算开销、密钥长度以及安全性等方面验证了方案的性能优势。     

物联网感知层一种分层访问控制方案

在物联网感知层中,用于信息采集的感知层节点需要根据隐私、安全或定制消费等需要,按不同级别提供授权用户的数据访问,这导致传统的访问控制方案无法满足用户安全高效的按需访问需求.为此,提出了一种分层访问控制方案.将同安全级别感知节点划分为一个层次节点,由层次节点之间形成的偏序关系构成一个分层的访问控制模型.本方案的优势体现在:每个用户和分层节点仅存储单个密钥材料,通过密钥推导获得访问当前及下层所有资源的密钥值,减少存储开销的同时提高了系统的安全强度;支持层次节点的动态扩展及密钥材料的动态更新;满足标准模型下的可证明安全及其他扩展安全.分析表明,方案能很好地满足物联网感知层的访问控制需求.     

基于纠删码的动态副本冗余存储研究

为保证数据的完整性和可靠性,云存储中主要采用多副本和纠删码两种存储策略对数据进行冗余保存.针对单一冗余存储策略的不足,考虑存储开销和访问质量等方面因素,根据用户访问数据的规律,提出一种基于纠删码的动态副本冗余存储方案.采用RC纠删码来存储云中海量数据,使用曲线拟合预测访问热度,适时调整副本的数量.实验结果表明,该方案空间利用率高,能有效减小用户访问的平均延迟,提高用户访问的成功率.     

智慧校园建设下的网络安全问题探析与对策研究

面对智慧校园存在的非法用户访问、病毒或木马入侵攻击、数据泄露和隐私窃取、数据污染与存储管理等的安全风险问题,应依托于服务集标识符(Service Set Identifier,SSID)访问控制认证、媒体访问控制(Media Access Control,MAC)地址过滤、RSA数据加密算法、大数据关联分析、区块链等技术,构建包括基础硬件层、核心数据层、网络层、应用层的多层安全管理系统,进行网络用户访问认证、MAC地址接入控制、动态安全感知、数据加密传输与存储操作,提升校园网络安全管理的响应效率、管理服务质量。     

入侵检测系统的研究与发展

入侵检测系统中的基本概念 入侵行为 入侵行为主要是指对系统资源的非授权使用,它可以导致系统数据的丢失和破坏,以及系统拒绝合法用户的服务请求等。 入侵检测 通过判断系统中的活动是否违背系统安全性规则或者威胁到系统安全来增强系统的整体安全性 检测机制     

车联网大数据的安全访问控制模型设计

本文设计了车联网大数据安全访问控制模型.通过数据感知层采集车联网数据,并利用数据加密标准算法实施加密处理.将加密后的数据通过网络通信层传输到安全访问控制中心,再通过安全认证模块赋予或限制用户访问权限.在异常数据监测模块中,应用孤立森林算法检测拥有访问权限的用户,并识别数据异常状况,将识别到的异常数据存储到异常监测存储数...     

监控视频中多级密钥派生研究与实现

针对整路监控视频采用传统无差别加密方式带来的密钥存储开销大、安全性低以及用户间操作管理复杂问题,提出一种基于等级树的多级密钥管理方案.根据根密钥与等级树结构进行用户等级密钥派生,用户只需存储自身密钥,降低密钥存储开销;派生多级视频数据密钥时,通过将用户等级与视频数据的分级标识作为算法因子,提高密钥安全性的同时降低用户间访问操作复杂难度.实验结果表明,该方案的存储开销以平方级速度减少,安全性、管理效率都得到改善.     

云存储智能多数据副本放置机制

数据副本管理机制是云存储系统的重要组成部分。为了提高云存储系统的可伸缩性、可靠性,同时改善用户访问时间,通常采用多数据副本机制,并且需要解决数据副本放置问题。为此,提出了一种用于云存储系统的智能多数据副本放置机制。该机制基于p-中心模型,以最小化访问代价为优化目标,基于遗传算法（genetic algorithm,GA）确定优化的数据副本放置方案,基于生物地理学优化（biogeography-based optimization,BBO）算法确定用户访问请求对数据副本的优化分配。基于CloudSim进行了仿真实现和性能评价,结果表明,云存储智能多数据副本放置机制是可行和有效的。     

云计算存储数据安全访问控制机制研究

传统控制机制存在角色分配不合理、加密解密时间耗费长、用户不能安全访问等问题,提出研究一种云计算存储数据安全访问控制机制。根据角色加密原理,构建角色加密混合云存储框架,为了更好访问子系统中各个模块,对用户可信度与行为监控进行分析,以此实现动态监控访问控制机制。通过实验验证可知,该机制能够有效进行角色分配,并对加密、解密和用户访问进行准确控制。     

有限存储分布式社交网络中数据的动态划分和复制

社交网络的庞大数据需求分布式存储,多个用户的数据分散存储在各个存储和计算节点上可以保持并行性和冗余性。如何在有限的分布式存储空间内高性能存储和访问用户数据具有现实意义。在当前的社交网络系统中,用户数据之间的读写操作会导致大量跨存储节点的远程访问。减少节点间的远程访问可以降低网络负载和访问延迟,提高用户体验。提出一种基于用户交互行为的动态划分复制算法,利用用户之间的朋友关系和评论行为描述社交网络的结构,周期性划分复制用户数据,从而提高本地访问率,降低网络负载。通过真实数据集验证,该算法相比随机划分和复制算法能够大大提升本地访问率,降低访问延迟。     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

Windows Vista操作系统安全性技术研究

为提高操作系统的安全性,Windows Vista对早期版本的一些安全特性进行了增强,并增加了很多全新的安全特性,如:用户账户控制、最小权限策略、数据保护、安全启动、网络访问保护等.通过研究这些安全特性的机制原理和实现过程,对Vista操作系统的安全性做了一个整体的概括,并分析了一些安全机制可能存在的脆弱性.     

基于云存储的电力系统访问控制方案设计

电力系统是一个由多个子系统构成的综合性系统,作为一个能够实现海量数据处理同时具有高实时性、高可靠性的管理控制平台,需要电力系统能够实现对所辖多个子系统进行复杂、细密、大范围的访问控制,这些条件要求能够设计出合理有效的访问控制模型;为了实现安全、可靠、高效的电力系统访问控制提出了将传统电力系统同云存储平台相结合的访问控制方案,通过云存储平台对数据进行存取可以达到大数据量、均衡负载、安全可靠的目的;通过添加可信度因子构建访问控制模型,根据不同用户的可行度计算值分配给以不同的权限,匹配其可操作的资源,实现了对于用户操作对象的细化识别。     

面向外包数据的可追踪防泄漏访问控制方案

针对云存储环境下外包数据存在的信息泄漏及追踪难的问题,提出了一种改进的基于密文策略属性基加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）的安全访问控制方案。方案基于双线性对理论和秘密共享机制,由第三方可信机构根据数据所有者指定的访问策略为其产生代理加密密钥,根据用户提交的个人属性信息提供用户注册以及密钥对分发,采用访问树构造访问策略来实现用户属性的匹配度计算。当发生用户密钥泄漏导致信息失密时,根据追踪列表可追踪到用户的身份。分析表明,方案在基于DBDH假设下证明是安全的,且实现了抵抗合谋攻击和中间人攻击。通过与其他方案比较,方案在加解密时间、私钥长度和密文长度方面有所优化,从而降低了存储开销和计算代价。     

可防止无关属性干扰的属性基加密方案

为了提高属性基加密中访问结构的表达能力,同时避免访问结构中无关属性干扰,提出了一种基于简化有序二元决策图（ROBDD）访问结构的CP-ABE方案。该方案中ROBDD访问结构可有效表达具有复杂访问逻辑的访问策略,并可防止无关属性干扰,提高了加密速度。通过RSA属性认证机制进行ROBDD非叶子节点中属性认证,实现了抗串谋攻击和对用户属性集的保护。使用ROBDD中有效路径特征值和加密参数创建多项式,任何有效路径特征值经过多项式计算均可得到加密参数,降低了密文存储开销。该方案实现了用户撤销、用户属性撤销和系统属性撤销。性能分析和实验仿真表明,所提方案有更高的加解密效率,更低的密文存储开销。     

基于指纹识别的云存储身份认证系统设计

针对WEB 云存储系统现有"静态口令+实时数据”的身份认证模式存在安全性能较低的问题,设计了基于指纹 识别技术的身份认证系统。该设计方案采用指纹识别的认证模式对云存储用户进行身份认证,提高了身份认证的安全性、可 靠性,解决了云存储用户账号非法访问、篡改等问题。提出了基于对称加密算法、非对称加密算法的混合加密算法,并将其作 为身份认证协议,有效提高了认证的效率,实现了海量数据的高效传输。实验结果表明,该方案在云存储身份认证系统中得到 很好的应用。     

异构网络下基于混合保护子帧的干扰协调方案

增强型小区间干扰协调（enhanced inter cell interference coordination,eICIC)引入几乎空白子帧(almost black subframes,ABS)来降低异构网络中小区间的干扰,然而过多的ABS会损失宏蜂窝用户性能。为了提高异构网络的性能,联合考虑ABS和低功率几乎空白子帧(low power-ABS,LP-ABS),提出了一种基于混合保护子帧(Hybrid Protected Subframes,HPS)的干扰协调方案。该方案综合考虑用户资源分配、HPS密度、HPS混合比例以及用户接入策略,以最大化系统比例公平效用为目标。仿真结果显示,所提方案在系统负载均衡、用户吞吐量以及用户公平性等指标上都优于传统增强型小区间干扰协调方案。