防御DDoS攻击的新过滤PHF模型

在分布式拒绝服务攻击对网络安全的危害日益严重的情况下，在众多的攻击防御技术中，采取路径标识是一种能有效对抗DDoS攻击的技术．而为更有效地防御DDoS攻击，利用Pi方案中，受害主机使用Pi标记对收到的数据包进行过滤的方式，提出了结合Pi标记与跳数的新过滤模型，即受害主机采用〈Pi，HC〉元组识别和过滤攻击包方式．并通过基于真实因特网拓扑的实验，证明PHF模型的防御效果明显优于Pi方案．     

基于RF位的多阶段动态路径标识模型

为防御因特网的分布式拒绝服务攻击,提出了一种新颖的基于RF位的动态路径标识方案（RFPi）,并采用多阶段的学习过滤模型．理论分析和仿真实验均表明：所采用的新方案最大程度地实现对标记域的有效利用,提高了攻击包和合法包的区分效果,且具有良好的可扩展性,防御效果较为理想．     

一种随机化的网站指纹防御方法

Tor(the onion router)目前存在用户访问网站指纹信息泄露,真正问题不是它的惟一性,而是它的可链接性,即每次访问网站都能链接到同一个指纹.基于此发现,利用随机化策略,设计并实现了一种新颖的网站指纹防御方案:随机化隐私改变器。随机化隐私改变器以随机频率发送随机时间、随机长度数据包,同时随机请求一个虚假网站作为噪音流量,全方位对网站指纹信息进行了模糊.实验结果表明,网站指纹攻击的准确度在随机化隐私改变器防御下大大地降低了,极大地提高了Tor的安全性,而且它的防御效果比同类的Tamaraw好.     

公司权益价值波动率下股本权证的定价方法

传统的股本权证定价模型一般基于公司股票波动率或公司权益价值波动率进行研究。讨论了根据公司权益价值波动率所求得的权证定价模型的一些性质,比较了分别根据公司权益价值波动率和股票价值波动率计算权证价值所得的误差。针对长电权证的实际情况进行实证分析,通过比较传统定价模型与本文的考虑保底摊薄模型定价的结果说明采用公司权益价值波动率所得定价模型的准确性。     

面向用户交互场景的信息欺骗分类及其威胁抑制机制

在信息安全中,用户被视为信息安全的"薄弱环节"。攻击者在用户端系统不断升级软件、安全加固的情况下,仍能充分利用用户的脆弱性,使用户在攻击策略的误导下泄露密码,打开恶意邮件附件或是访问恶意网站,即使是最健壮的系统安全防护机制对此也束手无策。为深入研究这种攻击,本文提出"信息欺骗攻击"的概念,即攻击者操纵用户与桌面及移动端的交互接口,欺骗用户以建立虚假信任,误导用户操作以绕过防御技术,最终危害个人和组织的安全。从信息欺骗攻击的基本模型出发,介绍了社交网络欺骗、网站欺骗、应用欺骗、邮件欺骗4类攻击场景的攻击特征,并揭示了特定场景的攻击与用户交互模式的密切关系;分析了面向不同欺骗场景的威胁抑制机制,总结了其针对不同攻击特征的防御作用。现有威胁抑制方法无法突破用户感知的信息局部性、不对称性以及场景的封闭性。为此,希望从攻击案例数据出发,评估用户交互操作的风险,构建面向特定场景的信息欺骗威胁抑制机制,抑制攻击。     

针对RED脆弱性的分布式LDoS攻击构造

针对随机早期检测(random early detection,RED)算法在慢速拒绝服务攻击(low-rate deny of serv-ice,LDoS)面前的脆弱性问题,本文通过对比路由器分别在RED和尾丢弃Drop-Tail算法管理下遭受LDoS攻击时的队列平均占用率及吞吐量,指出虽然路由器在RED算法下具有较大的空闲缓冲区,却不能对网络流量攻击起到缓冲作用.仿真对比实验表明,LDoS攻击使得路由器在RED下比Drop-Tail具有更大的链路损失带宽.指出现有LDoS的防范和检测方法的不足,构造了一种分布式LDoS攻击模型并给出一组模型实例,该模型说明现有突发流量检测方法不足以弥补RED脆弱性,也说明网络流量行为的关联复杂性.     

基于J2EE的数据持久模型的设计与实现

针对面向对象技术和关系数据库企业应用开发的通用环境,对数据的持久解决方案并实现数据持久模型进行了研究．基于对象一关系映射技术,使用代理模式进行持久化管理,将底层的数据访问进行独立封装,并根据业务请求和映射信息文件动态地生成SQL代码,从而使得对象模型与关系数据库之间具有无关性;同时,通过动态分配机制和缓冲机制大大提高了数据访问的效率．     

可信授权技术的研究和实现

针对认证和授权脱离，给系统留下了缓冲区溢出攻击导致认证机制被旁路的安全隐患问题．提出了可信授权的思想，将用户的认证可信度作为授权的基础，使用户获得的授权是真正可信的，从而避免认证机制被旁路造成的危害，并且能真正实现管理员分权．同时本文基于Kylin操作系统安全版的角色定权框架，给出了可信授权的实现技术和途径．     

一种基于用户意愿的数据保护模型

基于最小特权原理，从分析进程的访问权限出发，提出了一种防御恶意程序攻击的数据保护模型．该模型对DAC访问控制机制进行了增强，当进程实际访问用户数据时，进程必须先获得操作用户的意愿，用户根据进程的任务赋予进程访问系统最小必需数据集的权限，使进程无法访问任务之外的数据集，防止进程因权限过大破坏用户数据．测试结果表明，该模型可以有效地阻止进程的非法访问而确保数据不被窃取或破坏．     

一种应用程序保护模型

分析了主流保护技术的实现原理及其不足,对应用程序的主要威胁源及其主要攻击方式进行了分析,提出了一种应用程序保护模型APM,给出了APM的形式化描述.通过对该模型若干安全性质的论证表明,该模型能有效地对恶意攻击做出实时防御,降低恶意攻击对应用程序的威胁和破坏.     

男性国防生脊柱形态特征研究

观察男性国防生与普通男性大学生脊柱形态特征的差异, 为大学生脊柱健康提供数据支持. 通过DIERS formetric III脊柱云纹系统对61名男性国防生和61名普通男性大学生进行脊柱形态测试, 比较直立位脊柱形态的差异. 结果显示: 男性国防生颈椎前凸顶点与胸椎后凸顶点的水平距离、胸椎后凸顶点与腰椎前凸顶点的水平距离的均值低于普通男性大学生的均值, 且有显著性差异(P<0.05); 男性国防生的胸曲角度、脊柱冠状面偏移距离、冠状面偏移距离(均方根)、躯干冠状面倾斜距离、骨盆倾斜距离的均值低于普通男性大学生, 无显著性差异(P>0.05); 男性国防生的腰曲角度、脊柱矢状面倾斜角度、脊柱矢状面倾斜距离、骨盆扭转、脊柱旋转角度、椎体旋转角度的均值高于普通男性大学生, 无显著性差异(P>0.05). 男性国防生的矢状面胸曲后凸角和腰曲前凸角优于普通男性大学生, 脊柱形态产生变化的原因可能与长期的军事体能训练有关.     

BP神经网络技术在移动通信客户信用分析中的应用

提出了一种移动通信客户信用预测评估的方法．该方法基于移动通信客户行为属性的统计分析，以其作为客户信用预测评估的依据，建立BP神经网络的训练和识别的模型．通过随机选择2003年8月全网数据(403206个客户)中3％作为样本进行训练，确定了网络模型参数，与已有的信用评估方法相比，该方法的泛化性能高，适用于大规模的客户信用评估，所得到的客户特征属性对移动通信客户信用研究提供了理论和实践的依据。     

面向空气信道传播的音频信息隐写算法

基于傅立叶变换,提出了一种面向空气信道传播音频信息隐写算法.该算法选取原始音频信号傅立叶变换域中的低频系数,提取其相位角系数,并对其进行修改,将经BCH纠错编码的隐写信息嵌入,并且嵌入量较大,隐藏效果好.实验结果显示,该算法能够有效抵抗空气传播过程中的AD/DA变换攻击、空气噪声干扰攻击,以及录制后的常见信号处理攻击、约30%的重采样攻击等其他攻击,平均误码率可控制在3.5%以下,算法具有很好的鲁棒性.     

基于快速神经网络架构搜索的鲁棒图像水印网络算法

为解决深度学习在图像水印算法中计算量大且模型冗余的问题，提高图像水印算法在抵抗噪声、旋转和剪裁等攻击时的鲁棒性，提出基于快速神经网络架构搜索（neural architecture search，NAS）的鲁棒图像水印网络算法。通过多项式分布学习快速神经网络架构搜索算法，在预设的搜索空间中搜索最优网络结构，进行图像水印的高效嵌入与鲁棒提取。首先，将子网络中线性连接的全卷积层设置为独立的神经单元结构，并参数化表示结构单元内节点的连接，预先设定结构单元内每个神经元操作的搜索空间；其次，在完成一个批次的数据集训练后，依据神经元操作中的被采样次数和平均损失函数值动态更新概率；最后，重新训练搜索完成的网络。水印网络模型的参数量较原始网络模型缩减了92%以上，大大缩短了模型训练时间。由于搜索得到的网络结构更为紧凑，本文算法具有较高的时间性能和较好的实验效果，在隐藏图像时，对空域信息的依赖比原始网络更少。对改进前后的2个网络进行了大量鲁棒性实验，对比发现，本文算法在CIFAR-10数据集上对抵抗椒盐噪声和旋转、移除像素行（列）等攻击优势显著；在ImageNet数据集上对抵抗椒盐高斯噪声、旋转、中值滤波、高斯滤波、JPEG压缩、裁剪等攻击优势显著，特别是对随机移除行（列）和椒盐噪声有较强的鲁棒性。     

源端网络中SYN洪流攻击的自适应检测

根据TCP连接建立过程中SYN请求分组与SYN／ACK应答分组一一对应的特性，提出了一种针对SYN洪流攻击的源端网络自适应检测方法．该方法采用简单滑动平均算法对实时统计数据进行平滑，根据对检测统计量的均值和方差的在线估计自动调整检测门限，并利用连续累计检测法来降低突发网络异常对检测结果的影响．性能分析和仿真验证结果表明，在检测时延不超过6个采样周期的要求下，该方法可检测的最低攻击流量约为正常流量的30％，并且检测结果的虚警概率低于10^-6，漏警概率低于10^-2．     

一种新的增强ElGamal加密机制

针对传统的ElGamal加密机制不能抵抗自主选择密文攻击的问题,通过引入安全Hash函数和伪随机数发生函数给出了一种新的增强ElGamal加密机制.结果表明,该机制不仅能够抵抗自主选择密文攻击,且由于伪随机数发生函数的引入,解决了加密过程中随机数的暴露问题.该机制加密过程需要两次模幂运算,解密过程仅需一次模幂运算.完全适合于对安全性要求较高但是对系统资源要求消耗低的应用环境.     

关系数据库的数字水印新技术

提出一种能嵌入有意义水印信息并可由用户定义各种约束的水印算法CAMW（Constraints Allowahie Meaningful Watermark Algorithm），该算法将水印信息映射成二进制串，并把每个水印信息位重复嵌入多次，最后经选举过程确定出完整的水印，较大地提高了正确提取水印的概率，CAMW不仪使嵌入水印的数据能有效保持关系数据的语义特征，而且有很强的鲁棒性，仿真试验表明能有效抵御子集删除，子集添加，数据修改等多种攻击。     

因特网防御DoS攻击技术评述Ⅰ--攻击分类与特征·包过滤·攻击检测与防御

概述了因特网上DoS攻击的相应分类及基本特征，评述了包过滤、攻击检测及防御技术的最新成果．前一部分介绍了入口过滤、基于路由的过滤网和有效源地址强制协议．后一方面主要讨论了适合于检测攻击包的技术，介绍了新近提出的频谱分析方法和泛滥检测系统．简要评述了已有的防御SYN泛滥攻击的技术措施，介绍了Cisco的TCP拦截技术，提出了改进策略．