借助Web应用服务器构建Intranet网络管理系统

提出了一种基于Zope应用服务器的Intranet网络管理系统设计方案，对系统的功能、构成框架及主要技术给予了详细说明。该系统采用基于Web的网络管理体系结构，能为企业内部网络的远程管理提供统一、通用的界面，屏蔽现有各种异构网络管理系统之间的差异。Zope内建有灵活、强大的安全机制，并能充分利用现有的各项Web安全技术，这些都在一定程度上弥补了SNMP协议在安全方面的不足之处。     

无人机网络入侵检测与信任体系研究综述

无人机应用场景广泛,然而无人机网络节点移动性强,通信链路不稳定,资源受限,易受网络攻击。常见的攻击有拒绝服务攻击、信息窃取、GPS(global positioning system)欺骗、传播虚假消息等,并且这些攻击在实际应用中会造成许多风险事件。基于上述攻击,本文回顾了近年来无人机网络安全防御方案,首先介绍了入侵检测防御技术,包括基于特征分析的入侵检测、基于数字签名的入侵检测、基于异常行为和行为准则的入侵检测;然后阐述了信任管理模型,包括基础信任模型、分角色和分层信任模型和其他信任模型;最后概述了基于人工智能技术和区块链技术的新型技术安全防御方案。结尾提出完善入侵检测方案与信任体系面临的挑战,为无人机网络安全研究提供参考。     

防御DDoS攻击的新过滤PHF模型

在分布式拒绝服务攻击对网络安全的危害日益严重的情况下，在众多的攻击防御技术中，采取路径标识是一种能有效对抗DDoS攻击的技术．而为更有效地防御DDoS攻击，利用Pi方案中，受害主机使用Pi标记对收到的数据包进行过滤的方式，提出了结合Pi标记与跳数的新过滤模型，即受害主机采用〈Pi，HC〉元组识别和过滤攻击包方式．并通过基于真实因特网拓扑的实验，证明PHF模型的防御效果明显优于Pi方案．     

网络控制论在网络攻防中的应用

基于网络控制论的基本概念和原理，为解决网络安全问题，提出了一种网络攻防控制模型．该模型围绕网络的脆弱性信息，运用网络控制论中通过反馈与决策实现对网络系统的开环和闭环控制方法来构建．模型中，攻防双方在攻击和防御过程中，利用各自获知的网络脆弱性信息不断调整和实施控制与反控制行为，克服了一般攻防策略模型不能规避网络背景等因素变化而增加风险的不足，并应用于设计网络入侵检测与防护控制系统．结果表明，应用网络控制论构建网络攻防控制模型能够为解决网络安全问题提供一种新途径．     

基于园区网络的主动安全模型设计与研究

从现行典型园区网络安全设计方案入手，结合其在安全防范解决方案上存在的问题，提出了一种网络主动安全模型；在全局网络安全认识的基础上．阐述了模型组成部件的功能定义和网络主动安全实现流程；采用统一网络入口认证、网络知识发现及资源有效控制、沟通等手段，解决了现行网络安全设计中存在的恶意攻击行为源头定位困难，以及信息安全司法取证不准、网络资源安全被动防护、网络灾难快速反映能力差等问题．实验结果表明，该设计方案具有较好的可行性和实用性．     

面向SDN的安全威胁及其对抗技术研究

软件定义网络(software-defined networks,SDN)通过逻辑集中的网络控制,提高了网络编程的灵活性,但由此引入的安全威胁若被攻击者利用将会直接危及整个网络架构。针对SDN的特性,将安全威胁分类汇总为入侵攻击、异常攻击、DDoS和DoS攻击、欺骗攻击4类。鉴于DDoS和DoS攻击在SDN环境下比在传统网络环境下更具针对性且危害性更大,因此着重从攻击原理、手段和效果方面进行系统论述。最后根据攻击类型对现有对抗方案进行了介绍,并根据现有技术的不足提出未来的研究方向与发展趋势。     

基于TVD的逻辑混淆电路设计及其性能分析

逆向工程和差分功耗分析(DifferentialPowerAnalysis,DPA)是盗取知识产权(Intellectual Property,IP)核信息的重要手段.通过对逻辑混淆电路和数据功耗间关系的研究,采用三相双轨预充逻辑(Three-phase Dual-rail Pre-charge Logic, TDPL),利用定义的阈值电压(Threshold Voltage Defined,TVD)特性,提出一种能防御逆向工程和DPA攻击的逻辑混淆电路方案.该方案利用对称的差分下拉网络和灵敏放大器,采用相同的电路结构,通过阈值电压的配置实现不同的逻辑功能.Spectre仿真验证表明,基于TVD的逻辑混淆电路逻辑功能正确,在多种PVT(Process,Voltage, Temperature)下获得的归一化能量偏差和归一化标准差最高分别为0.107 2%和0.045 3%,与普通静态CMOS电路相比,能耗独立性能提升21.79%,能够有效防御逆向工程和DPA攻击.     

面向用户交互场景的信息欺骗分类及其威胁抑制机制

在信息安全中,用户被视为信息安全的"薄弱环节"。攻击者在用户端系统不断升级软件、安全加固的情况下,仍能充分利用用户的脆弱性,使用户在攻击策略的误导下泄露密码,打开恶意邮件附件或是访问恶意网站,即使是最健壮的系统安全防护机制对此也束手无策。为深入研究这种攻击,本文提出"信息欺骗攻击"的概念,即攻击者操纵用户与桌面及移动端的交互接口,欺骗用户以建立虚假信任,误导用户操作以绕过防御技术,最终危害个人和组织的安全。从信息欺骗攻击的基本模型出发,介绍了社交网络欺骗、网站欺骗、应用欺骗、邮件欺骗4类攻击场景的攻击特征,并揭示了特定场景的攻击与用户交互模式的密切关系;分析了面向不同欺骗场景的威胁抑制机制,总结了其针对不同攻击特征的防御作用。现有威胁抑制方法无法突破用户感知的信息局部性、不对称性以及场景的封闭性。为此,希望从攻击案例数据出发,评估用户交互操作的风险,构建面向特定场景的信息欺骗威胁抑制机制,抑制攻击。     

SDN环境下的DDoS攻击检测方案

DDoS攻击(分布式拒绝服务攻击)对于软件定义网络的危害是致命的,如何快速准确地检测出DDoS攻击对于SDN安全至关重要。提出一种SDN(software-define networking)环境下基于广义信息熵和GA-RBFNN(genetic algorithm-radical basis function neural network)的DDoS攻击检测方法。利用熵检测流量,根据划分的阈值把检测结果分为正常,异常和攻击。对于异常的警告,控制器通过提取OpenFlow交换机的8元流量特征,利用GA-RBFNN来检测是否发生DDoS攻击。实验表明,与其他方法相比本方案提高了检测准确率,降低了控制器开销,有较好的综合检测能力。     

MAILCM：一种基于移动代理的网络安全智能联动控制机制

为建立综合、动态、智能型的网络安全体系，实现多种安全技术的有机集成和多种安全产品之间的动态联动，提出了一种多类网络安全产品联动控制机制(Moblie agent basecl Intelligent Linkage Control Mechanism，MAILCM)．提出了动态策略更新机制。实现了策略更新的实时和各子系统的策略同步。并能对网络攻击和各种病毒等威胁网络安全的行为做出快速响应。保证各网络终端的安全。避免信息被盗取和终端机器的破坏。有效保障了网络的安全运行．     

电力调度数据网仿真建模及路由协议攻击影响

电力调度数据网的安全是智能电网安全运行的保障.通过仿真分析,可以评价电力调度数据网的安全性能,为部署安全措施和优化网络提供依据.本文在分析网络通信架构与业务特性的基础上,在OPNET仿真平台上对某省电力调度骨干网与变电站内部网络及承载业务进行了建模.模型中拓扑结构、设备链路、VPN(virtual private network)部署等网络配置均基于实际情况.在该模型上,对OSPF(open shortest path first)路由协议攻击进行仿真,研究路由协议攻击对省调中心与地调中心、变电站站控层之间通信时延、业务吞吐量、带宽利用率的变化,总结了不同场景下骨干网路由协议受到攻击后对电力调度数据网的业务传输的影响,揭示了电力调度数据网骨干网路由协议存在的脆弱性,所设计的仿真分析方法和仿真结果可为电力调度数据网运维部门改进网络安全性能参考.     

一种基于带权CAT的DDoS分布式检测方法

针对DCD(distributed change-point detection)方案存在受害端开销大、检测率低等问题,提出了一种基于带权CAT(change aggregation trees)的检测方案.采用分布式分级体系结构,将检测任务分布到互联网源端、中间网络和受害端,实现攻击的早期检测;利用CUSUM算法对微小变化的敏感性,在源端主机和中间网络的路由器处进行基于到达目标数据包数量的检测以及基于超级流聚合变化的检测;受害端进行基于域树权重的榆测.实验和分析表明,CAT方案对UDP攻击的检测率从DCD的最高0.72提高到0.94,TCP攻击检测率也略有提高;网络的通信开销和受害端的存储丌销从o(mnk)降为o(mk),受害端的计算开销从o(mn)降为o(m).系统在实现检测的同时,获得了攻击路径和攻击的准确位置,实现了DDoS攻击的分布式追踪.     

一种应用程序保护模型

分析了主流保护技术的实现原理及其不足,对应用程序的主要威胁源及其主要攻击方式进行了分析,提出了一种应用程序保护模型APM,给出了APM的形式化描述.通过对该模型若干安全性质的论证表明,该模型能有效地对恶意攻击做出实时防御,降低恶意攻击对应用程序的威胁和破坏.     

因特网防御DoS攻击技术评述Ⅰ--攻击分类与特征·包过滤·攻击检测与防御

概述了因特网上DoS攻击的相应分类及基本特征，评述了包过滤、攻击检测及防御技术的最新成果．前一部分介绍了入口过滤、基于路由的过滤网和有效源地址强制协议．后一方面主要讨论了适合于检测攻击包的技术，介绍了新近提出的频谱分析方法和泛滥检测系统．简要评述了已有的防御SYN泛滥攻击的技术措施，介绍了Cisco的TCP拦截技术，提出了改进策略．     

针对随机延迟防护的安全性评价方法

提出了一个针对随机延迟防护的攻击方法的分析评价框架.在这个框架的基础上分析了直接攻击和整合(integration)攻击的攻击效率.同时,提出了一种新的攻击方法 WIA(带权重的整合攻击),分析了其在各种条件下的攻击效率,得出了比现有文献更一般性的结论.试验结果表明,相比于已有的攻击方法,WIA的攻击效率更高,因此WIA的攻击结果更能科学地反映随机延迟防护的安全性强度.     

适用于远程医疗信息系统的身份认证协议

远程医疗信息系统中,身份认证是确保患者和医疗服务器之间安全通信的有效机制。对Sutrala等基于口令的适用于远程医疗信息系统的用户匿名认证协议进行了安全性分析,指出其协议不能抵抗离线口令猜测攻击、中间人攻击,不具备前向安全性。基于扩展混沌映射提出了一个新的三因素匿名用户身份认证协议,新协议克服了Sutrala等协议的安全漏洞。利用BAN(Burrows-Abadi-Needham)逻辑对提出方案进行了形式化证明。此外,安全分析表明,新的协议能够抵御各种恶意攻击,适用于远程医疗环境。     

基于RF位的多阶段动态路径标识模型

为防御因特网的分布式拒绝服务攻击,提出了一种新颖的基于RF位的动态路径标识方案（RFPi）,并采用多阶段的学习过滤模型．理论分析和仿真实验均表明：所采用的新方案最大程度地实现对标记域的有效利用,提高了攻击包和合法包的区分效果,且具有良好的可扩展性,防御效果较为理想．     

智能电网安全实验平台:设计、实现与仿真

智能电网安全需要同时考虑电力系统的物理安全和网络的信息安全,目前尚无成熟的实验平台,难以验证理论成果的有效性.本文设计了两个智能电网安全实验平台:智能电网量测设备安全测试平台和智能微电网安全实验平台,实时采集电力系统量测数据,监控信息系统网络流量,支持智能电网各种安全技术的测试验证.设计了电力系统通信网络入侵检测、物理系统量测数据一致性检测、物理-信息系统交叉验证等攻击检测实验,结果显示本平台可对智能电网安全研究的理论成果进行实际测试验证.     

针对NIDS的分布式攻击评估技术研究

对网络入侵检测系统本身的一些安全问题，如可靠性和生存健壮性等进行了研究，针对网络入侵检测系统——Snort，利用分布式协同攻击技术对NIDS的可靠性和生存健壮性进行了测试．实验结果显示，当前的NIDS是脆弱的．     

基于蚁群算法的椭圆曲线密码安全曲线选择

针对椭圆曲线密码(ECC)体制的主要攻击威胁和安全曲线选择困难等问题,提出了一种半自动化的安全曲线选择优化算法,用统计学思想初始化蚁群预测矩阵,然后用蚁群预测矩阵来缩小搜索范围和明确预测方向.引入模拟退火算法对参数的选择进行优化,加入扰动因子(Vola)和传染因子(Infect)避免了算法搜索的早熟.实验结果表示该算法定位ECC安全曲线更加准确.