基于安全状态域的网络评估模型

将基于攻击图的评估与依赖标准的评估相结合,提出了一种基于安全状态域(security state region,简称SSR)的网络安全评估模型(security-state-region-based evaluation model,简称SSREM).该模型将攻击的影响分为攻击能力改变和环境改变,通过两者之间的因果关系建立数学模型,提出了安全状态域趋向指数的概念,借助Matlab进行攻击趋势的曲面拟合,进而进行安全状态域的划分和网络的安全性评估.实验结果表明,依据SSREM进行的评估能够通过安全状态域和安全状态域趋向指数反映网络进入不同状态的难易程度,对网络安全性量化评估具有借鉴意义.     

基于移动Agent的网格跨域安全审计体系结构及实现

网格计算面临的重大挑战之一是开发一系列有效的机制和策略来保证网格任务处理的安全。审计和审核是大规模网格节点的基本需求。本文分析了网格节点的安全审计需求，提出了一种基于移动Agent的跨域安全审计体系结构。为了使安全机制的实施对网格性能产生的影响最小，使用了一种新的授权安全机制“审计一次，授权多次”，通过构造多值信任关系模型实现动态审计。给出了利用GT3用户定义服务和Aglet平台所实现的跨域安全审计模型。     

基于域模型的开放式信息交易系统

因特网的应用使电子商务蓬勃发展,作为其特例的信息贸易专注于信息产品的买卖。本文介绍了一种支持信息贸易的基于域模型的开放式信息产品交易系统,使企业能通过因特网生产、销售、发送和管理信息产品及服务。     

基于图割的压缩域运动对象提取

随着在视频监控等方面的应用,视频数据量不断增加,如何快速有效地处理和分析视频内容仍然是一个亟待解决的问题。目前的运动对象提取通常采用像素域的分析方法,虽然有较好的主客观效果,但由于计算复杂度高,在实际应用中有诸多限制。因此,提出了一种基于图割的压缩域运动对象提取算法。该算法基于4×4分块的高斯背景建模,得到视频帧中各子块的初始概率,结合运动矢量（Motion Vector）信息构造压缩域图割能量函数,利用图割算法对前景区域进行修正,从而实现对运动对象的快速提取。与其他运动区域提取算法的对比实验表明,该算法具有较高的准确率和较低的计算复杂度,具有较高的实际使用价值。     

基于安全标签的多域安全访问控制模型

SaaS服务模式将应用软件以服务的形式提供给客户。在单实例模式中,租户的数据统一存储在服务提供商的数据库系统中,他们共享数据库及模式。这种情况下,如何在保障租户数据安全的同时支持租户间的域间相互访问是一个值得思考的问题。结合安全标签,设计出一个支持多租户的多域安全访问控制模型,满足租户对于多域安全访问控制的需求。该模型结合了RBAC的易于管理以及安全标签强制访问的特性,使得系统角色在易于管理的基础上实现高级别的访问控制。     

基于兴趣域的非结构化P2P模型

泛洪式路由（Flooding）是在非结构化对等网络中进行有效资源查找的主要方式,但其路由过程将产生大量冗余消息,因而严重制约了其可扩展性。随节点数增多,泛洪式路由的网络带宽消耗也变得异常严重。针对非结构化P2P网络拓扑的特点,结合对已有的非结构化P2P搜索算法的研究,文章提出了一种基于兴趣域的非结构化P2P搜索算法,使得节点能在短时间内查找到有效的资源,减少了查询信息量,缩短了路由路径,提高了搜索效率。     

基于两阶段规划模型的跨域服务流程动态构造方法

为了应对来自网络计算环境下业务流程跨越协同过程中层出不穷的业务需求,提出一种基于两阶段规划模型的跨域服务流程动态构造方法.第一阶段,利用跨域服务协同语义模型,基于层次任务网络规划方法,构建满足用户业务需求的跨域抽象业务流程;第二阶段,在各城内部对抽象业务流程确定的候选服务集应用图规划数据流验证模型,构建最终的跨域可执行服务流程.方法在保证了业务需求与跨域服务流程逻辑结构的语义一致性的同时,满足了跨域服务流程中数据流的一致性,为网络计算环境下管理域间的业务协同和互操作提供了更为实际可用的可执行服务流程.原型系统实验及实例验证说明该方法的正确性和有效性.     

远程跨管理域的网络拓扑发现算法

针对目前常用的网络拓扑发现技术只能满足本地管理域的网络拓扑发现工作,而无法实现远程跨管理域网络拓扑发现的现状,提出了一套网络拓扑结构分析规则集,并且以它为理论依据提出了一种远程跨管理域的网络拓扑发现算法,解决了远程网络拓扑发现中不同管理域之间网络拓扑结构不连通的问题,实现了远程网络拓扑发现的完整性和一致性要求。最后给出了算法在科研教育网华东某省主干网络的实际测试效果,并进行了分析。     

一种自适应的多域安全互操作模型

针对多域环境下资源共享时所面临的信任危机,提出一种基于信任级的自适应安全互操作模型.通过对未知事件的自适应检测,提高了系统对各种异常和突发情况的容忍能力;通过对用户信任级的调节和监控,实现了各域间资源的安全共享,较好地预防了可能发生的恶意攻击和潜在安全威胁.     

网络安全审计设备性能测试方法

对网络安全审计设备工作流程进行分析,对设备性能指标进行了分类并给出明确定义,在此基础上提出基于测量的性能测试方法。该方法通过使用硬件测试仪对网络业务流量进行实时模拟,结合设备进行测量。实际测试结果表明,提出的性能测试方法在业务流量与设备性能之间能够建立显式关联,所使用的性能指标可以有效地对设备的性能进行客观描述。     

网络安全审计在邮政企业中的应用

随着邮政企业信息化的快速发展,企业对计算机网络技术的需求和依赖也逐渐加深.提高网络安全性对邮政企业来说已迫在眉睫.本文引入了网络安全保障工作中的新概念,网络安全审计.着重阐述了网络安全审计在邮政企业中的作用,方式与内容.为邮政企业的网络安全防范工作提供一些参考借鉴.     

内网安全监管审计系统的架构设计

为了规范企业内网用户的操作行为,防止内部敏感信息泄露,适应企业内网大规模多级化的特点,提出了内网安全监管审计系统,对系统的总体架构设计进行了阐述.介绍了基于P2DR模型的系统安全模型;基于"服务器-控制台-受控代理"的系统物理结构;基于角色访问控制机制的分布式授权管理模型;基于TCP/lP协议的跨越因特网的不同局域网之间的系统通信机制.     

基于SVDD的网络安全审计模型研究

审计是入侵检测的基础，为入侵检测提供必要的分析数据．在传统的网络安全审计与入侵检测系统中，需要由人工来定义攻击特征以发现异常活动．但攻击特征数据难以获取，能够预知的往往只是正常用户正常使用的审计信息．提出并进一步分析了一种基于支持向量描述（SVDD）的安全审计模型，使用正常数据训练分类器，使偏离正常模式的活动都被认为是潜在的入侵．通过国际标准数据集MITLPR的优化处理，只利用少量的训练样本，试验获得了对异常样本100％的检测率，而平均虚警率接近为0．     

具有安全审计功能的RBAC委托模型

针对访问控制中委托在安全性和功能性上的不足,通过对比分析RBAC委托模型的特点,结合安全审计概念提出了具有安全审计功能的RBAC委托模型,并给出了形式化的定义和描述。该模型定义了委托的限制条件和传递约束来体现委托的特性,利用审计记录集合实现了委托、撤销和会话授权的过程,通过审计监控和规则事件响应完善了安全审计功能,使委托授权具有自主性和可变性的特点。在管理信息系统的应用和实践表明,该模型是一种安全易管理的委托授权机制,能适应多种委托策略。     

安全域划分研究与应用

为未来2-3年的安全规划提供原则、策略和技术上的指导,实现可持续发展战略提供坚实的信息安全保障,中国移动通信集团广西省有限公司依据安全域划分原则,根据《中国移动支撑系统安全域划分与边界整合技术要求》和《中国移动数据业务系统集中化安全防护技术要求》等移动行业标准,结合生产网实际需要,从安全域划分、边界整合和安全技术防护等多个角度,创造性地提出了适合省公司发展需要的安全域划分规范.     

安全操作系统核心审计模块设计

提高操作系统自身的安全性是增强系统安全的关键因素,审计子系统又是安全操作系统的重要组成部分。基于NSA的SELinux的审计子系统,提出了一种集中审计的框架结构,然后阐述了内核部分设计的主要构思,最后对于在实现上的关键点进行了说明。     

分布式安全审计系统设计与实现

安全审计愈来愈受关注,但是大多数分布式安全审计系统仍不成熟.首先阐述了分布式安全审计的概念.然后介绍了一个基于数据挖掘技术的分布式分层的安全审计系统的功能及体系结构设计,并详细阐述了XML日志格式、多模式串匹配、模糊聚类和关联安全规则等系统设计实现中采用的一些重要技术.提高了检测效率和发现未知攻击的能力,增强了系统的安全性,可以有效的对整个系统进行安全级别的评估.     

Database/domain approach to distributed systems management

Distributed systems are now used in a variety of environments and at different levels within business organizations, both in offices and factories. As the number of devices attached to these systems grows, and as the systems become internetworked together, management tools become increasingly essential to retain control of the complete distributed system. A distributed systems management model is presented which is suitable for implementation in the real world. A key feature of this model is its construction from independently managed domains. The DSM functionality is distributed in operation, and overall control is achieved through the cooperation of individual domain management systems, in which human managers make use of management tools provided to control their own domain of responsibility. Another feature of the design is the use of management databases, one per domain. A commercially available database has been used to demonstrate the feasibility of the design. DSM processes are used to query and update the MDBs, and human managers having the appropriate authority may also directly access the MDBs. Monitored management information on all managed objects within a domain is processed and stored in that domain's MDB. The idea for the MDB is derived from the concept of a management information base described in the International Organization for Standardization Open Systems Interconnection management standards. However, whereas the OSI MIB is a virtual concept, the MDB is a physical realization, and it is not intended to be a direct implementation of the MIB as such.     

网络审计中的身份识别和智能关联

网络审计系统的核心是对网络事件进行定位和追根溯源,而对用户身份信息的识别则是实现事件定位和溯源的关键,通过比较目前网络审计系统常用的几种身份信息识别手段,提出了一种创新性的用户身份信息智能关联技术,提高管理员工作效率,更高效、准确的定位真实的事件责任人。