一种基于动态插桩的JavaScript反事实执行方法

目前,静态分析技术已被广泛用于JavaScript程序的安全性分析。但是由于JavaScript支持通过eval等方法在运行时动态生成代码,仅靠静态分析难以取得动态生成代码。一种可行的解决方法是通过动态运行目标程序取得动态生成代码,再对其进行静态分析。然而,动态运行目标程序只能覆盖有限的执行路径,会遗漏其他执行路径中的动态生成代码。针对这一问题,基于动态插桩实现了一个反事实执行方法。该方法通过修改JavaScript引擎,在其语法解析阶段动态插入反事实执行体,使条件不成立的分支路径和当前执行路径均能够得到执行。通过该插桩方式,即使嵌套调用eval等方法,也能在其动态生成代码中完成插桩。同时,还实现了一种按需undo方法,以消除反事实执行体中赋值操作带来的影响,且能够避免冗余操作。实验结果表明,实现的方法能够有效地扩大动态分析中执行路径的覆盖面。     

嵌入式浏览器JavaScript引擎的研究与设计

针对JavaScript引擎在即时编译模式下的开销过高和网页加载时间过长的问题,改进JavaScript引擎中即时编译模式的编译方式,设计一种对JavaScript代码的动态编译方式,只对JavaScript代码中频繁执行的热点区域进行即时编译,其余代码则运行在解释模式下,合理地利用了即时编译模式。实验测试结果表明,动态编译方式能够减少JavaScript引擎的开销耗费,加快网页的加载速度。     

基于UML模型的多态性与Java接口代码信息一致性检测的方法

UML模型是面向对象系统开发常用的建模语言,在由模型生成代码的过程中常常出现不一致问题,从而造成系统后期测试成本以及维护成本的增加。而UML模型中的多态性因执行路径的不确定性会对模型与代码的一致性产生重要影响,因此针对此问题提出以UML模型为基准,针对多态特性,对UML模型类图、时序图以及Java接口代码信息进行解析预处理从而获取时序调用图以及代码调用图,并对其进行多态性扩展。根据模型的信息来对代码的信息进行检测,如果出现不一致问题时根据模型信息对代码信息进行修改。通过以上提出的方法能够更加完善模型与代码的一致性检测,使检测更为有效、精准。     

一种表单Ajax信息项提取方法

提出一种表单Ajax信息项提取方法。该方法在独立于浏览器运行的程序中嵌入JavaScript引擎,本地化构建DOM对象和Ajax应用对象,利用JavaScript引擎跟踪执行脚本代码,模拟执行用户在浏览器下的操作,从而自动获取表单Ajax信息项数据。实验结果表明,该方法可以完整获取Deep Web查询接口的表单信息,提高搜索准确率。     

AJAX在基于NC机网络中的应用

在基于无盘的NC机网络中,如果采用传统的同步交互式Web服务,会造成服务器的负担过重,并使用户等待时间过长。该文提出一种新的方法,将AJAX技术引入NC网络,在用户与服务器之间通过AJAX引擎异步调用XML以实现动态加载数据,使用户与程序异步交互而无须等待服务器的通信。在实例中,Web页面通过JavaScript调用AJAX引擎并异步加载数据,减轻了服务器和带宽的负担,使用户在浏览Web网页时所能感受到的程序反应灵敏度有所提高。     

基于Rhino的JavaScript动态页面解析研究与实现

面对互联网上占据全国页面总数50%以上的动态页面,当前网络舆情管控工作中的信息采集环节对以动态页面为主要发布形态的互联网媒体无法实现信息获取.鉴于此,文中提出了基于Rhino实现JavaScript动态页面解析的整体方案.实验结果表明该方案充分丰富了互联网舆情管控工作的数据源对象,是实现动态页面内超链接网络地址递归获取和网页主体内容提取行之有效的解决方案.     

分析多类特征和欺诈技术检测JavaScript恶意代码

JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有较好的识别能力。     

基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性.     

具有时间多样性的JavaScript代码保护方法

Web应用同本地应用一样面临恶意主机威胁.如何确保暴露于用户主机中的Web应用核心算法或关键业务流程等重要信息的安全成为亟待解决的问题.针对现有JavaScript代码保护方法难以抵御动态分析且抗累积攻击效果差的问题,提出了一种具有时间多样性的JavaScript代码保护(TDJSP)方法.首先,通过程序多样化处理和路径空间模糊化,使JavaScript程序在执行时具有多样性效果,以有效抵御累积攻击;其次,检测调试器、模拟器等非正常执行环境的特征,并根据检测结果进行响应,增加攻击者进行动态分析的难度.理论分析和实验结果表明,JavaScript程序的抗逆向分析能力得到了提高,同时,其空间增长率约为3.1(优于JScrambler3),时间延迟为毫秒级.因此,该方法能够在不影响程序性能的前提下提升Web应用的安全性.     

一种基于双角色的代码授权Web安全组件的设计

安全性问题一直是计算机软件应用中的一个重大问题。本文介绍了一种适用于ASP.NET应用程序的基于双角色的代码授权安全技术，通过对代码进行静态的或动态的授权配置，在受安全保护的代码被调用或被执行前验证用户身份，只有通过验证的用户才被授予执行特定操作的权限，从而才能调用或执行代码。应用这种技术可以保护只允许特定用户执行的特定操作，保护业务规则，应对数据信息篡改泄漏的威胁，并防止恶意行为。考虑到组件的重用性，作者设计了安全组件。     

Weakly sensitive analysis for JavaScript object-manipulating programs

While JavaScript programs have become pervasive in web applications, they remain hard to reason about. In this context, most static analyses for JavaScript programs require precise call graph information, since the presence of large numbers of spurious callees significantly deteriorates precision. One of the most challenging JavaScript features that complicate the inference of precise static call graph information is read/write accesses to object fields, the names of which are computed at runtime. JavaScript framework libraries often exploit this facility to build objects from other objects, as a way to simulate sophisticated high-level programming constructions. Such code patterns are difficult to analyze precisely, due to weak updates and limitations of unrolling techniques. In this paper, we observe that precise field origination relations can be inferred by locally reasoning about object copies, both regarding to the object and to the program structure, and we propose an abstraction that allows to separately reason about field read/write access patterns working on different fields and to carefully handle the sets of JavaScript object fields. We formalize and implement an analysis based on this technique. We evaluate the performance and precision of the analysis on the computation of call graph information for examples from jQuery tutorials.     

基于多维信息特征映射模型的在线学习路径优化方法

针对目前在线学习路径优化方法存在学习路径与学习者匹配度不高的问题,首先构建在线学习路径的多维信息特征映射模型(MIFMM),该模型根据学习者与学习资源的多维信息特征建立,融合了kolb学习风格和学习资源类型信息;然后设计双映射二进制粒子群优化算法(DMBPSO),DMBPSO算法根据进化因子ef将学习路径推荐过程分为收敛和跳出局部最优两种进化状态,采用与进化状态特征相匹配的映射函数选择策略,并对惯性权重进行动态非线性调整,提高学习路径推荐性能;接着将MIFMM模型与DMBPSO算法相融合提出基于多维信息特征映射模型的在线学习路径优化方法(MIFMM-POA);最后将MIFMM-POA方法与其他4种粒子群算法为核心的学习路径优化方法相比较,从寻优精度、寻优过程与寻优时间3个角度进行分析,实验表明MIFMM-POA方法是优化学习路径的有效方法.     

在线考试系统的设计与实现

随着企业信息化不断推进,办公信息化在企业日常工作中发挥越来越大的作用。结合实际,提出建设在线考试系统,更加方便快捷地组织考试和阅卷工作。在线考试系统采用ASP.NET、JavaScript等技术开发实现,使用该系统无需印制大量纸质试卷,并在试卷提交后可对考题进行自动评阅。     

Web-based closed-domain data extraction on online advertisements

Taking advantage of the popularity of the web, online marketplaces such as Ebay (.com), advertisements (ads for short) websites such as Craigslist(.org), and commercial websites such as Carmax(.com) (allow users to) post ads on a variety of products and services. Instead of browsing through numerous websites to locate ads of interest, web users would benefit from the existence of a single, fully integrated database (DB) with ads in multiple domains, such as Cars-for-Sale and Job-Postings, populated from various online sources so that ads of interest could be retrieved at a centralized site. Since existing ads websites impose their own structures and formats for storing and accessing ads, generating a uniform, integrated ads repository is not a trivial task. The challenges include (i) identifying ads domains, (ii) dealing with the diversity in structures of ads in various ads domains, and (iii) analyzing data with different meanings in each ads domain. To handle these problems, we introduce ADEx, a tool that relies on various machine learning approaches to automate the process of extracting (un-/semi-/fully- structured) data from online ads to create ads records archived in an underlying DB through domain classification, keyword tagging, and identification of valid attribute values. Experimental results generated using a dataset of 18,000 online ads originated from Craigslist, Ebay, and KSL(.com) show that ADEx is superior in performance compared with existing text classification, keyword labeling, and data extraction approaches. Further evaluations verify that ADEx either outperforms or performs at least as good as current state-of-the-art information extractors in mapping data from unstructured or (semi-)structured sources into DB records.     

Distraction effects of contextual advertising on online news processing: an eye-tracking study

Although recent scholarship has shown that congruency between editorial content and display advertising on web pages can lead to favourable outcomes for the advertiser, it is unclear whether these gains for advertisers come at the expense of users’ ability to process the content. To examine whether contextual in-page advertising distracts users during information processing, a 2 (target message argument type: weak/strong)?×?2 (ad relevance: high/low) between-subjects factorial experiment (N?=?99) examined how readers of a news article about risks associated with texting while driving (a) paid attention to the article, (b) paid attention to the advertisements, and (c) were persuaded by the article contents. Participants’ visual attention was captured unobtrusively using a device-mounted eye-tracking device. The findings show that readers were more likely to be persuaded by weaker arguments when the article was presented alongside highly relevant display ads than when the article was presented alongside less relevant ads. Readers also paid greater attention to relevant ads than irrelevant ads, and, surprisingly, readers in the strong argument condition paid more attention to the story content when it was presented alongside relevant ads. The implications for theories of visual attention and for online content publishers are discussed.     

融合多头自注意力的问答社区专家推荐算法

专家推荐是在线问答社区的研究热点之一,但现有的算法大多关注用户的静态兴趣和问题信息的匹配,忽视了对用户的动态兴趣表征信息的有效捕捉,从而导致推荐的准确度不足。针对上述问题,提出了融合多头自注意力的问答社区专家推荐算法。首先,构造由卷积神经网络和注意力机制组成的问题编码器,来处理目标问题和用户历史回答问题,提取对应的问题表征;其次,将用户历史回答问题序列当作时间序列,利用多头自注意力机制学习序列中所蕴涵的动态兴趣表征,结合用户的静态兴趣表征,获取用户的综合兴趣表征;最后,将目标问题表征和用户综合表征进行相似性计算产生推荐结果。利用来自知乎问答社区的真实数据进行了不同参数配置及不同算法的对比实验,实验结果表明该算法性能要明显优于目前较流行的深度学习专家推荐算法。     

用户群体满意度最大化的Top-k在线服务评价

考虑用户评价准则不一致的在线服务评价通常以服务的完整排序作为评价结果,而不是选择出使用户群体满意度最大的Top-k在线服务集合,使评价结果难以满足Top-k在线服务评价场景的合理性和公平性需求.为此,提出了一种用户群体满意度最大化的Top-k在线服务评价方法.该方法首先定义用户群体满意度指标,以衡量选择的k个在线服务的合理性;其次,考虑用户评价准则不一致及用户偏好信息不完整的情况,采用Borda规则将用户对在线服务的偏好关系构造为用户-服务满意度矩阵;然后借鉴Monroe比例代表思想,将Top-k在线服务评价问题建模为寻找最大化用户群体满意度的在线服务集合的优化问题;最后采用贪心算法对该优化问题进行求解,将得到的在线服务集合作为Top-k评价结果.通过理论分析和实验验证了该方法的合理性和有效性.理论分析表明,该方法满足Top-k在线服务评价所需的比例代表性和公平性.同时,实验结果也表明,该方法能够在合理的时间内获得接近用户群体满意度理想上界的评价结果,可以有效地辅助用户群体做出正确的服务选择决策.另外,该方法还可以在用户偏好不完整的情况下实现Top-k在线服务评价.     

中国传统文化的元素在广告设计中的体现

通过中国传统文化的元素在平面广告、视频广告、网络广告中的体现,论述传统元素在广告设计中不仅是一种文化传承的体现,更是传统文化与现代设计的融合。当今广告专业的学生应向传统学习、继承、发扬并在创作中实践,力争将传统文化精髓进行创意性的表现在广告作品中,让中国广告设计具有民族个性和时代性,走向世界。     

Characterization and automatic identification of type infeasible call chains

Many software engineering applications utilize static program analyses to gain information about programs. Some applications perform static analysis over the whole program's call graph, while others are more interested in specific call chains within a program's call graph. A particular static call chain for an object-oriented program may in fact be impossible to execute, or infeasible, such that there is no input for which the chain will be taken. Identifying infeasible static call chains can save time and resources with respect to the targeted software development tool. This paper examines type infeasibility of call chains, which may be caused by inherently polymorphic call sites and are sometimes due to imprecision in call graphs. The problem of determining whether a call chain is type infeasible is defined and exemplified, and a key property characterizing type infeasible call chains is described. An empirical study was performed on a set of Java programs, and results from examining the call graphs of these programs are presented. Finally, an algorithm that automatically determines the type infeasibility of a call chain due to object parameters is presented.     

基于超声图像的PICC智能穿刺医疗机器人控制系统设计

为提高静脉穿刺置管手术的穿刺成功率,缓解病人所承担的生理性伤痛,设计基于超声图像的PICC（Peripheraly Inserted Central Cathcte,外周静脉置入的中心静脉导管）智能穿刺医疗机器人控制系统。以晶振复位电路作为穿刺置管的输出动力支持,通过驱动控制电机的传输调度作用,实现对智能传感器的精准化控制,降低置管过程中针头的平均进入深度,完成PICC智能穿刺医疗机器人及其控制应用结构搭建。在此基础上,按照静脉置管图像的实际特征分析结果,转换原有的超声图像格式,经过多次边缘性检测,实现对穿刺超声图像的初级预处理。获取静脉靶向血管的位置信息,在规划穿刺路径的同时,完成对机器人操作手的重定位控制,实现医疗机器人的运动控制模型分析。仿真对比实验结果显示,与常规静脉穿刺手段相比,穿刺控制系统可将进针角数值控制在10°-40°之间、进针深度保持在整个针头的2/3以内,可大幅提升穿刺置管的成功几率,实现减轻病人所承担生理性疼痛的目的。