国家高技术研究发展计划(2012AA013101) 作品数:7 被引量:117 H指数:4 相关作者: 贾晓启 王蕊 陈小军 谭庆丰 时金桥 更多>> 相关机构: 中国科学院 中国科学院大学 中南大学 更多>> 发文基金: 国家高技术研究发展计划 国家自然科学基金 中国科学院战略性先导科技专项 更多>> 相关领域: 自动化与计算机技术 更多>>
匿名网络I2P路径选择的安全性分析 被引量:5 2014年 随着人们隐私保护意识的提高,匿名通信系统获得了越来越多的关注.I2P(invisible Internet project)是当前应用最广泛的匿名通信系统之一,与Tor(另一种非常流行的匿名通信系统)网络类似,I2P采用大蒜路由的方式隐藏通信双方的通信关系,即通过使用包含多个节点的隧道,使得隧道中的任意单一节点都不能同时获知通信双方的身份信息.然而,如果能够共谋同一隧道的两端节点或是能同时观察到I2P通信链路进、出I2P网络的流量,攻击者依然可以通过流量分析的方法对通信的双方进行关联,进而破坏I2P网络的匿名性.通过分别从I2P网络内部攻击者和传输路径上外部网络攻击者的角度,对当前I2P路径选择过程中可能面临的共谋攻击威胁进行分析,结果显示,I2P网络当前的路径选择算法并不能有效地防范内部攻击者和外部网络攻击者,I2P网络的匿名性仍然面临着巨大的共谋攻击威胁. 刘培朋 王丽宏 时金桥 谭庆丰关键词:匿名通信 自治系统 IXP 面向内部威胁的最优安全策略算法研究 被引量:22 2014年 内部攻击行为具有很强的伪装性,这使得检测结果具有不确定性.攻击图模型经常用于描述攻击行为的多个攻击步骤之间的因果关系,但在计算最优安全策略时,很少考虑到当前观测事件所具有的不确定性,也没有从概率的角度刻画安全防护策略实施后对攻击成功概率带来的影响.在前人的概率攻击图模型研究基础上,首次提出了一种面向内部威胁的安全防护策略概率攻击图(measures probablitity attack graph,MPAG)模型,在该模型中较为完备地讨论了内部攻击的3类不确定性,并引入安全防护措施节点及其对攻击成功的概率影响.在该模型基础上,最优安全防护策略计算被证明是一个NP难问题,一种贪心算法被提出解决该问题,该算法能在多项式时间内动态计算近似最优安全防护策略集合.最后给出一个真实的内部威胁网络环境的概率攻击图实例,说明该模型及相应的贪心算法能根据当前观测事件及其置信概率,计算满足一定代价限制条件的近似最优安全防护策略集合. 陈小军 时金桥 徐菲 蒲以国 郭莉关键词:风险评估 贪心算法 面向SAP系统的透明加解密方法 被引量:2 2015年 针对广泛应用于国内的企业资源计划(ERP)商用管理软件——数据处理系统应用与产品(SAP)系统存在的本地文件导出安全性问题,建立高度匹配于SAP系统特点及特定进程的文件透明加解密系统,在驱动层针对SAP系统关联的特定进程涉及的新建、读、写文件等操作进行捕获,通过卷上下文与流上下文提取缓存信息,依据所捕获的文件操作类型,完成不同的缓存置换;在应用层实现密钥的获取与分发。同时实现了文件透明加解密系统的客户化定制,通过配置可以实现对SAP系统特定进程,导出文件类型甚至特定文件的指定。实验结果表明,该系统在对用户无干扰无需人工介入的前提下,能自动与SAP系统无缝对接,对导出文件透明加解密,并限定导出文件仅能在本地计算机中使用;最终有效地与SAP系统本身自带的用户名登录、权限管控等安全控制机制整合联动,完善了SAP系统在外部商业数据输出安全性管控上的缺失,提升企业对商业数据安全使用、输出的管控及保障能力。 杜海超 赵明 王蕊 贾晓启基于概率攻击图的内部攻击意图推断算法研究 被引量:79 2014年 内部攻击行为具有明显的多步骤性和伪装性.这些特性增加内部攻击检测的难度,影响检测结果的准确性.攻击图模型能够描述攻击行为的多个攻击步骤之间的因果关系,但由于单步攻击检测结果存在的不确定性,使得攻击图模型无法准确地推断攻击者的意图.该文在攻击图模型中引入转移概率表,刻画单步攻击检测结果的不确定性,即从观测事件推导出某步攻击发生的概率,提出了一个面向内部攻击意图推断的概率攻击图模型.基于该模型,提出了一种推断内部攻击意图的算法以及针对攻击目标的最大概率攻击路径的计算方法.实验结果表明该文的工作能够有效地推断攻击意图和计算攻击路径,减少不可信报警数量,为网络安全管理员提供良好的可配置性. 陈小军 方滨兴 谭庆丰 张浩亮关键词:网络行为 OSN中基于分类器和改进n-gram模型的跨站脚本检测方法 被引量:3 2014年 针对在线社交网络中跨站脚本(XSS)攻击的安全问题,提出了一种在线社交网络恶意网页的检测方法。该方法依据在线社交网络中跨站脚本恶意代码的传播特性,提取一组基于相似性和差异性的特征,构造分类器和改进n-gram模型,再利用两种模型的组合,检测在线社交网络网页是否恶意。实验结果表明,与传统的分类器检测方法相比,结合了改进n-gram模型的检测方法保证了检测结果的可靠性,误报率约为5%。 李沁蕾 王蕊 贾晓启关键词:跨站脚本攻击 分类器 N-GRAM模型 一种恶意代码特征选取和建模方法 被引量:13 2015年 针对恶意代码分析检测中静态分析技术难以检测变形、多态代码的问题,提出一种提取恶意代码语义动态特征的方法。该方法在虚拟环境下提取恶意代码动态特征,从而达到保护物理机的目的,提取出的原始特征经过进一步的筛选处理,得到各个代码样本的API调用序列信息。为了使得特征更加有效,改进传统n-gram模型,添加n-gram频次信息以及各API间的依赖关系,构建改进的n-gram模型。实验结果分析部分采用机器学习方法,分别使用了决策树、K近邻、支持向量机、贝叶斯网络等分类器对选定的样本特征进行10折交叉验证。实验结果显示该特征选取在决策树J48下的检测效果最好,可以有效检测采用混淆、多态技术的恶意代码。 李盟 贾晓启 王蕊 林东岱关键词:恶意代码 基于虚拟化技术的有效提高系统可用性的方法 被引量:3 2017年 针对安全攸关的客户机在安全工具发生警报时往往会进行暂停、检测、恢复等操作,而安全工具误报(虚报、漏报)的发生和发现存在延迟,从而对客户机造成可用性影响的问题,提出一种基于虚拟化技术的有效解决方案。在误报发生时,首先正确控制可疑进程行为,避免该进程对系统造成实质性影响。其次记录可疑进程行为,并根据其与系统其他进程的交互行为形成进程间依赖关系。当误报被发现时,以记录的进程行为及进程间依赖关系为依据,对可疑进程及与其存在依赖关系的相关进程采取恢复进程行为、杀死相关进程等措施,使系统快速达到正确运行状态。实验结果表明,所提方案能够在安全工具发生误报时,避免回滚、恢复等操作带来的时间开销,相对于未采取措施的情况,所提方案将误报存在时的处理时间减少20%~50%。所提方案能够有效降低安全工具误报对客户机可用性造成的影响,可应用在安全攸关的客户机所在的云平台之上。 李津津 贾晓启 杜海超 王利朋关键词:虚拟化 可用性 安全技术