软件合法性保护技术及应用研究综述 被引量：2

1

作者 孙伟 薛临风 +1 位作者 张凯寓 徐田华 《信息安全研究》 2017年第5期451-461,共11页

在计算机安全领域,软件保护一直是热门的研究内容,而在计算机安全领域,就是要保护软件合法主体的信息完整性.因此,针对攻击者对软件合法主体的破坏行为,提出了代码混淆、数字水印、软件防篡改等技术.从软件合法主体的攻击和防御入手,重... 在计算机安全领域,软件保护一直是热门的研究内容,而在计算机安全领域,就是要保护软件合法主体的信息完整性.因此,针对攻击者对软件合法主体的破坏行为,提出了代码混淆、数字水印、软件防篡改等技术.从软件合法主体的攻击和防御入手,重点研究了代码混淆技术,并对国内外的代码混淆技术研究进行详细的分类,并指出各种技术的优点和不足,以及代码混淆技术有效性的度量标准.最后展望了未来软件合法性保护技术的发展方向. 展开更多

关键词 软件保护 逆向工程 代码混淆 软件篡改 软件合法性

在线阅读 下载PDF 职称材料

基于数据安全标识的个人数据空间安全技术 被引量：3

2

作者 黄继明 孙伟 +1 位作者 张武军 陆佳星 《信息安全研究》 2021年第12期1150-1154,共5页

随着大数据、云计算和人工智能等新一代信息技术的快速发展,数据已成为数字时代的基础性战略资源和关键生产要素.国家十四五规划中除了强调数据的高效使用、最大程度发挥数据的价值之外,还明确必须加强数据安全的保护.基于“标识数据、... 随着大数据、云计算和人工智能等新一代信息技术的快速发展,数据已成为数字时代的基础性战略资源和关键生产要素.国家十四五规划中除了强调数据的高效使用、最大程度发挥数据的价值之外,还明确必须加强数据安全的保护.基于“标识数据、动态防护、梳理角色、明确流程、精确管控”的数据安全理念,依托于以数据安全等级评估模型和密码学技术为核心的数据安全标识技术,为个人数据生命周期中各个环节的安全防护提供了基础的信息支撑,结合个人数据空间以对象为中心融合、管理以及分享个人数据的特点,为个人数据的高效利用以及安全防护提供了解决方案. 展开更多

关键词 数据安全 数据安全标识 数据治理 数据空间 数据融合

在线阅读 下载PDF 职称材料

面向企业信息化规划的安全架构开发模型设计 被引量：1

3

作者 丁禹哲 敬铅 孙伟 《信息安全研究》 2018年第9期825-835,共11页

随着数据时代的到来,信息系统面临的安全攻击越来越多,损失也越来越大,信息安全问题伴随信息孤岛、数据共享等问题治理的开展也越来越突出.对于信息安全保护也就变得愈加困难,走传统"脚痛医脚、头痛医头"的方式很难系统性解... 随着数据时代的到来,信息系统面临的安全攻击越来越多,损失也越来越大,信息安全问题伴随信息孤岛、数据共享等问题治理的开展也越来越突出.对于信息安全保护也就变得愈加困难,走传统"脚痛医脚、头痛医头"的方式很难系统性解决现存的安全问题.因此,必须从信息化规划和整体架构设计就开始分析和设计安全防范体系,真正实现"自顶而下"的企业信息化安全架构规划和设计,以指导信息化建设的信息安全工作.以现有主流企业信息化规划方法为基础,结合信息化规划中有关安全架构的模型、方法或框架,提出基于EISA和TOGAF ADM框架的SADM安全架构开发模型,为开展企业信息化规划和架构设计提供参考,进而为后续建立安全架构开发方法体系开展前期探索. 展开更多

关键词 企业架构 企业信息安全架构 信息化规划 架构开发方法 安全架构开发模型

在线阅读 下载PDF 职称材料

XSS漏洞研究综述 被引量：7

4

作者 孙伟 张凯寓 +1 位作者 薛临风 徐田华 《信息安全研究》 2016年第12期1068-1079,共12页

跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕... 跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结. 展开更多

关键词 WEB安全 跨站脚本 攻击向量 漏洞利用 漏洞检测方法

在线阅读 下载PDF 职称材料

一种静态Android重打包恶意应用检测方法 被引量：5

5

作者 孙伟 孙雅杰 夏孟友 《信息安全研究》 2017年第8期692-700,共9页

Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测... Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测方面,研究人员作了大量的实验研究并设计了检测引擎.但是以往的检测引擎存在复杂度高、准确率低等缺点,并对重打包应用的恶意性无法判断.所以结合当前多种恶意应用检测方法的优点,设计了一种基于质心处理和层次分析的抗混淆恶意应用检测方法,该方法对反编译之后的中间代码进行静态分析,使用质心算法对应用之间的相似性进行检测,通过相似应用之间的比较定位可疑代码段,结合层次分析法和加权FP-growth算法对可疑代码段进行恶意性判定.通过实验验证,该方法在Android重打包恶意应用的检测方面具有较好的效果. 展开更多

关键词 Android恶意应用 静态检测 质心算法 层次分析算法 加权FP-growth算法

在线阅读 下载PDF 职称材料

基于抽象语法树的C#源代码SQL注入漏洞检测算法 被引量：4

6

作者 孙伟 陈林 《信息安全研究》 2015年第2期112-125,共14页

SQL注入攻击是数据库安全的主要威胁.SQL注入攻击被列为OWASP(open Web application security project)2010年和2013年十大Web应用系统安全威胁之首.SQL注入攻击检测及防御是目前常见的研究热点,结合抽象语法树的数据传播分析及C#语言特... SQL注入攻击是数据库安全的主要威胁.SQL注入攻击被列为OWASP(open Web application security project)2010年和2013年十大Web应用系统安全威胁之首.SQL注入攻击检测及防御是目前常见的研究热点,结合抽象语法树的数据传播分析及C#语言特性,提出基于规则及特征匹配的漏洞检测架构,实现了C#源代码的静态检测算法.测试结果表明该算法效果良好,简单实用,通过生成源代码的抽象语法树及追踪数据的传播途径,根据规则匹配进行检测,实现C#源代码的SQL注入漏洞检测,在开发阶段提高了代码的安全性;同时提出的漏洞检测框架可以进行拓展,实现对其他编程语言的SQL注入漏洞检测. 展开更多

关键词 SQL注入 抽象语法树 数据流分析 规则匹配 静态分析

在线阅读 下载PDF 职称材料

安全数据空间构建方法研究及其应用 被引量：1

7

作者 孙伟 陈振浩 +1 位作者 陈建译 徐田华 《信息安全研究》 2016年第12期1098-1104,共7页

近年来,我国电子政务的快速发展带来一系列数据安全问题:数据与用户关联不够紧密、数据与业务流程映射关系不清晰、缺乏应对新的数据安全风险等问题.针对上述问题,提出安全数据空间构建方法(包括二维和三维2个层次的空间).其中二维数据... 近年来,我国电子政务的快速发展带来一系列数据安全问题:数据与用户关联不够紧密、数据与业务流程映射关系不清晰、缺乏应对新的数据安全风险等问题.针对上述问题,提出安全数据空间构建方法(包括二维和三维2个层次的空间).其中二维数据空间通过梳理业务流与数据流的关系并确定数据关联用户,构建数据主权和边界明确、数据流向清晰的二维区域;三维安全数据空间在二维基础上,结合数据防护手段,保护数据主权和边界、分析和管控数据流向.安全数据空间方法在现行电子政务系统中进行了实践应用,取得了较好的效果.安全数据空间方法还可以扩展到其他行业信息系统,帮助指导改进其数据安全性. 展开更多

关键词 数据安全模型 数据空间 数据流分析 数据防护

在线阅读 下载PDF 职称材料

文件上传漏洞研究与实践 被引量：5

8

作者 黄志华 王子凯 +2 位作者 徐玉华 李云龙 孙伟 《信息安全研究》 2020年第2期151-158,共8页

文件上传漏洞是Web应用系统中一种常见的漏洞类型,攻击者利用Web应用系统对上传文件检测的不充分缺陷,实施可执行脚本的上传.攻击者利用该漏洞将网站后门(WebShell)上传到Web应用服务器,进而通过访问获取Web站点的权限,可以对Web应用服... 文件上传漏洞是Web应用系统中一种常见的漏洞类型,攻击者利用Web应用系统对上传文件检测的不充分缺陷,实施可执行脚本的上传.攻击者利用该漏洞将网站后门(WebShell)上传到Web应用服务器,进而通过访问获取Web站点的权限,可以对Web应用服务器中的数据进行窃取以及进一步对Web应用服务器的渗透.研究分析了文件上传以及常见的检测防御手段,对上传漏洞攻击手段进行归纳分析,并针对DVWA漏洞环境中的文件上传漏洞,运用归纳的攻击方法进行了实践检验,最后对文件上传攻击防御方法进行归纳并作未来展望. 展开更多

关键词 文件上传漏洞 网站后门 上传攻击检测 DVWA漏洞环境 防御方法

在线阅读 下载PDF 职称材料

一种基于污染源追踪的PHP源代码SQL注入漏洞检测算法 被引量：5

9

作者 张冰琦 孙伟 《信息安全研究》 2015年第2期140-148,共9页

SQL注入攻击被列为oWASP(open Web application security project)2010年和2013年十大Web应用系统安全威胁之首.SQL注入攻击检测及如何提高Web代码对SQL注入攻击的防御能力是目前常见的研究问题之一,结合词法分析及PHP语言特性,提出基... SQL注入攻击被列为oWASP(open Web application security project)2010年和2013年十大Web应用系统安全威胁之首.SQL注入攻击检测及如何提高Web代码对SQL注入攻击的防御能力是目前常见的研究问题之一,结合词法分析及PHP语言特性,提出基于规则及特征匹配的漏洞检测架构,实现了PHP源代码的静态检测算法.测试结果表明该算法效果较好,具有较低的误报率,能够在词法分析阶段进行一定的别名分析及污染分析,从而在程序实现初期提高代码的安全性;同时漏洞检测框架可以进行拓展,实现对其他"taint-style"类型的漏洞检测. 展开更多

关键词 SQL注入 词法分析 静态分析 污染分析 规则匹配

在线阅读 下载PDF 职称材料

基于CNN和朴素贝叶斯方法的安卓恶意应用检测算法 被引量：4

10

作者 李创丰 李云龙 孙伟 《信息安全研究》 2019年第6期470-476,共7页

安卓系统已经成为移动端市场占有率领先的操作系统,但是安卓市场上恶意应用泛滥的情况十分严重,这些恶意应用会给用户带来极大的威胁.如何提前检测安卓应用程序是否为恶意应用程序已成为亟待解决的问题.提出了一种检测算法,该算法使用... 安卓系统已经成为移动端市场占有率领先的操作系统,但是安卓市场上恶意应用泛滥的情况十分严重,这些恶意应用会给用户带来极大的威胁.如何提前检测安卓应用程序是否为恶意应用程序已成为亟待解决的问题.提出了一种检测算法,该算法使用操作码序列和权限信息作为应用的特征,并分别用基于卷积神经网络(convolution neural network, CNN)和朴素贝叶斯方法的分类器进行分类,从而达到检测安卓恶意应用的目的.结果表明提出的算法效果稍好. 展开更多

关键词 安卓恶意应用 检测算法 卷积神经网络 朴素贝叶斯方法 深度学习

在线阅读 下载PDF 职称材料

基于GB/T 20984-2007风险评估计算模型的研究 被引量：9

11

作者 潘雪霖 孙伟 《信息安全研究》 2015年第1期54-59,共6页

互联网时代的信息安全问题已全球化,使信息安全风险评估的系统工程显得尤为重要.为贯彻信息安全风险评估标准,解决GB/T 20984—2007信息安全风险评估技术规范中信息安全风险评估计算比较模糊的问题,研究信息安全风险评估相关理论,在原... 互联网时代的信息安全问题已全球化,使信息安全风险评估的系统工程显得尤为重要.为贯彻信息安全风险评估标准,解决GB/T 20984—2007信息安全风险评估技术规范中信息安全风险评估计算比较模糊的问题,研究信息安全风险评估相关理论,在原有风险计算的基础上,设计和实现一种改进的信息安全风险评估计算模型.引入安全措施有效性系数,通过对风险资产的价值、威胁和脆弱性细化量化分析,根据相乘法原理计算风险值,使风险计算值更加科学和可靠,进一步明确风险控制措施对风险控制的有效性影响,为风险分析计算提出一种新的解决思路。实践证明,将评估标准与实践相结合,更好地论证了该模型的有效性. 展开更多

关键词 信息安全 风险评估 风险计算 计算模型 风险分析

在线阅读 下载PDF 职称材料

基于GB/T31509-2015的风险评估模型设计 被引量：1

12

作者 潘雪霖 陆佳星 +1 位作者 张武军 孙伟 《信息安全研究》 2022年第1期93-100,共8页

信息技术在给人们带来便利的同时也带来了不少安全隐患,安全隐患的堆积倒逼着人们安全意识的提高,从而意识到网络安全是社会安全不可或缺的部分,是国家安全重要的组成部分.安全风险评估为网络安全程度提供重要的预判依据,其中安全风险... 信息技术在给人们带来便利的同时也带来了不少安全隐患,安全隐患的堆积倒逼着人们安全意识的提高,从而意识到网络安全是社会安全不可或缺的部分,是国家安全重要的组成部分.安全风险评估为网络安全程度提供重要的预判依据,其中安全风险评估标准是强大的理论支撑.但是安全风险评估标准落地还需要细化,为更加客观地落实GB/T 31509—2015信息安全风险评估实施指南,研读信息安全风险评估理论知识,遵照风险评估流程指引,在等级保护2.0的基础上,设计了信息安全风险评估模型.通过对信息化资产、存在的脆弱性和潜在威胁进行分层解析和赋值,使风险值计算更加贴近实际.实践证明,层次分析后的风险评估模型更加有效地评估风险,使评估的风险值更加科学,为后续安全防护措施提供依据. 展开更多

关键词 信息安全 风险评估 评估标准 层次分析 评估模型

在线阅读 下载PDF 职称材料

Android应用程序恶意代码静态注入方法及实现 被引量：1

13

作者 李文唐 江帆 孙伟 《信息安全研究》 2016年第7期660-665,共6页

随着Android的发展,其面临着越来越多的安全威胁,恶意软件数量也呈爆发式增长.恶意代码注入一直以来都是产生恶意软件的重要方式。通过介绍Android应用程序恶意代码的注入原理,为开发者更好地保护自身代码提供思路.从基于程序入口点、... 随着Android的发展,其面临着越来越多的安全威胁,恶意软件数量也呈爆发式增长.恶意代码注入一直以来都是产生恶意软件的重要方式。通过介绍Android应用程序恶意代码的注入原理,为开发者更好地保护自身代码提供思路.从基于程序入口点、基于广播机制以及篡改Dalvik字节码3个方面介绍恶意代码注入过程.在程序入口点注入实现中提出了用不可见界面对原程序入口界面进行替换的方法,并针对"WIFI万能助手"应用进行了恶意代码的注入实验,证明具有较好的隐蔽效果.在基于广播机制的恶意代码注入方式中,通过对不同种类的应用进行注入实验,达到了开机自启动以及拦截短信的效果.在篡改字节码注入实现中针对"中华万年历"应用进行了注入实验,证明了以篡改Dalvik字节码的方式实现恶意代码静态注入的可行性.最后针对恶意代码静态注入的各种方式,提出了必要的防范手段,综合利用这些方法可以更好地保护应用程序. 展开更多

关键词 ANDROID 恶意代码 静态注入 Dalvik字节码

在线阅读 下载PDF 职称材料

一种图像置乱算法的FPGA实现方案——以Arnold算法为例

14

作者 徐玉华 王子凯 +2 位作者 黄志华 李云龙 孙伟 《信息安全研究》 2019年第9期820-827,共8页

在5G与物联网时代,研发国产原创性加密芯片是信息安全研究领域的重点问题.相当多的设备会生成图像数据,以便用户查看使用,常见的RSA算法、DCT域图像水印算法、Rossler混沌变换算法、Arnold变换算法可以实现软件层面的图像加密,但硬件化... 在5G与物联网时代,研发国产原创性加密芯片是信息安全研究领域的重点问题.相当多的设备会生成图像数据,以便用户查看使用,常见的RSA算法、DCT域图像水印算法、Rossler混沌变换算法、Arnold变换算法可以实现软件层面的图像加密,但硬件化的图像加密芯片方案却寥寥无几.为保证用户数据安全,以图像加密中常用的置乱算法为例,在FPGA上实现任意方形尺寸图像的Arnold加密算法,为图像置乱算法的硬件化提供了借鉴思路.之前的经验证明:即使一些在软件上非常简单的算法,在硬件上实现时均需要大量的数字电路元件才能完成.重点是使用已经证实能够在软件方面有效加密的算法,尝试应用在硬件上,希望达到低成本的硬件加密效果.实验结果表明:当在FPGA实现Arnold变换时,执行速度比用电脑实现Arnold变换快很多倍. 展开更多

关键词 加密芯片 图像置乱 ARNOLD变换 FPGA 硬件加密

在线阅读 下载PDF 职称材料

面向DCT系数分析的Seam Carving对象移除定位方法

15

作者 蔺聪 马鸿基 +3 位作者 司徒晓晴 甄荣桂 肖洪涛 邓宇乔 《计算机工程与科学》 2025年第10期1787-1798,共12页

随着数字图像处理技术的飞速发展,图像篡改手段日益多样化和隐蔽化,其中一种重要篡改方式就是对象移除。Seam Carving可应用于调整图像大小和对象移除。针对通过Seam Carving进行对象移除这一篡改方式,首次将双量化效应引入Seam Carvin... 随着数字图像处理技术的飞速发展,图像篡改手段日益多样化和隐蔽化,其中一种重要篡改方式就是对象移除。Seam Carving可应用于调整图像大小和对象移除。针对通过Seam Carving进行对象移除这一篡改方式,首次将双量化效应引入Seam Carving对象移除,根据Seam Carving对象移除过程中产生的DCT异常块,提出了一种基于DCT系数分析的Seam Carving对象移除定位方法。首先,提取JPEG图像中的量化矩阵和DCT系数直方图。其次,根据直方图估算出主要量化矩阵和原始DCT系数,并使用贝叶斯方法估算出图像篡改区域的后验概率图。最后,对该后验概率图进行去噪和定位,得到移除区域的准确位置。实验结果表明,该方法能够有效地检测和定位Seam Carving对象移除,为该问题的解决提供了一种新的研究思路。 展开更多

关键词 图像取证 篡改检测 对象移除 Seam Carving 双量化效应

在线阅读 下载PDF 职称材料