基于匹配策略的安全协议重构分析

可重构安全协议对提高安全系统的灵活性和适应能力具有重要意义,它可根据具体上下文环境进行配置、移植,极大增强了系统的安全性,目前基于软件构件的协议重构方法无法满足安全协议对安全性和计算性的特殊要求.针对安全协议的安全性和高密度计算特性,提出了一种针对现有资源选择重构元的解决方法,给出协议可重构元匹配和基于QoS的重构元质量满意度的协议重构选择算法,使系统可以尽快按照重构协议需求选择满意的可重构元.通过实例说明该方法的执行过程,应用结果表明该方法能够有效提高重构效率和重构准确度.     

基于混合流策略的按需分布式云信息流控制模型

为确保云平台上虚拟机系统用户信息的安全,提出了一种基于混合流策略的按需分布式云信息流控制模型(Mixed Flow Policy Based On-demand Distributed Cloud Information Flow Control Model,MDIFC)。该模型以分布式信息流控制模型为基础,结合中国墙策略形成混合流策略,通过引入污点传播思想跟踪来敏感数据以实现策略,为用户数据提供更好的安全保障。为提高模型的灵活性,考虑到虚拟域行为更具主动性的特征,提出了“按需受控”的概念及与之相适应的“输出型机密性”。同时,通过按需受控显著地降低了污点传播造成的开销。利用π演算对模型规格进行形式化描述,并借助 PicNic工具证明模型的无干扰性。最后,通过一个应用示例说明了模型的实用性。     

一种基于数据流分析的网络行为检测

为了更好地对网络行为进行分析, 提出了一种基于数据流分析的网络行为检测方法。通过分析网络系统体系架构, 对网络行为进行形式化建模, 并针对网络行为特点提出了一种基于与或图的行为描述方法, 最终设计实现了基于数据流分析的网络行为检测算法。实验证明该方法能在多项式时间内完成数据流事件中的关系分析, 而且与其他算法相比, 能有效提高网络行为检测的查准率。     

基于自动机的Java信息流分析

面向Java的信息流分析工作需要修改编译器或实时执行环境,对已有系统兼容性差,且缺乏形式化分析与安全性证明。首先,提出了基于有限状态自动机的Java信息流分析方法,将整个程序变量污点取值空间抽象为自动机状态空间,并将Java字节码指令看做自动机状态转换动作;然后,给出了自动机转换的信息流安全规则,并证明了在该规则下程序执行的无干扰安全性;最后,采用静态污点跟踪指令插入和动态污点跟踪与控制的方法实现了原型系统IF-JVM,既不需要获得Java应用程序源码,也不需要修改Java编译器和实时执行环境,更独立于客户操作系统。实验结果表明,原型系统能正确实现对Java的细粒度地信息流跟踪与控制,性能开销为53.1%。     

Linux网络设备驱动程序分析与设计

系统分析了Linux系统中网络设备驱动程序的结构组成和工作原理,重点探讨了在Linux系统中设计网络设备驱动程序的核心技术。     

一个适用于DTN网络的拥塞避免与解除方案

DTN(delay-tolerant network,延迟容忍网络)的网络特点及其采用的托管传输机制易造成网络受限资源(如缓存、带宽等)的耗尽,形成网络拥塞,导致网络性能的下降。传统TCP拥塞控制机制不适用于DTN网络。提出了一个全新的适用于DTN网络的拥塞避免与拥塞解除方案。拥塞避免根据在足够小的时间段内DTN链路的传输延迟和传输能力的确定性,建立DTN网络有向多径图,对数据发送速率、接收速率、带宽使用等链路负载分割与约束控制,尽可能地提高网络资源的利用率。拥塞解除在节点存储资源划分的基础上,通过节点内存储资源转换与节点间报文转移相结合的方法,解除DTN网络的拥塞状况。仿真结果显示,与其他DTN拥塞控制机制相比,所提方案具有良好的报文交付率、网络开销等网络性能。     

基于可信度的多级网络访问控制机制

详细分析了BLP模型在网络应用方面存在的不足,提出基于可信度的多级网络访问控制机制。该机制通过收集同一安全域内安全审计系统提供的历史证据,计算主体访问行为在机密性安全属性方面的可信度,根据可信度限定主体对客体的访问违规行为,并合理调整主体安全标记以及客体的存在形式,从而提高了BLP模型在网络应用中的灵活性、可用性,同时也降低了BLP模型中由于可信主体滥用权限而带来的安全风险。     

多维进程行为评估模型建立及最优化方法

针对目前进程行为评估模型所存在的模型优化问题和模型选取问题,定义进程行为,采用隐马尔可夫模型(HMM)来描述进程行为。讨论了准确率与误报率的关系,提出多维进程行为评估模型,以弥补单一进程行为评估模型的不足,基于布尔运算对多维进程行为评估模型进行融合,提高了评估性能。并基于代价决策树理论,给出了选取最优进程行为评估模型的目标函数,用于在融合后的多维进程行为评估模型上选择最优进程行为评估模型。最后,对所提出的多维进程行为评估模型的性能进行了测试,并与传统的STIDE和HMM方法进行了比较,结果证明了其有效性和优越性。     

VPN隧道交换体系结构研究

隧道交换技术是VPN技术中的一个新的研究领域,它能够有效提高VPN组网的灵活性、可扩展性,实现不同的网络服务提供商、不同安全域的互联互通,得到了越来越广泛的重视.到目前为止,安全厂商已经推出了一些隧道交换产品,IETF也正在研究基于L2TP的隧道交换草案,可仍然缺乏对隧道交换的体系结构研究,缺乏从整个虚拟专用网络角度考虑隧道交换的应用问题,灵活性和可扩展性有待进一步提高.     

区块链技术及其在信息安全领域的研究进展

区块链是一种源于数字加密货币比特币的分布式总账技术,其发展引起了产业界与学术界的广泛关注.区块链具有去中心化、去信任、匿名、数据不可篡改等优势,突破了传统基于中心式技术的局限,具有广阔的发展前景.介绍了区块链技术在信息安全领域的研究现状和进展.首先,从区块链的基础框架、关键技术、技术特点、应用模式、应用领域这5个方面介绍了区块链的基本理论与模型;然后,从区块链在当前信息安全领域研究现状的角度出发,综述了区块链应用于认证技术、访问控制技术、数据保护技术的研究进展,并对比了各类研究的特点;最后,分析了区块链技术的应用挑战,对区块链在信息安全领域的发展进行了总结与展望,希望对未来进一步的研究工作有一定的参考价值.