基于均值聚类分析和多层核心集凝聚算法相融合的网络入侵检测 被引量：18

1

作者 石云 陈钟 孙兵 《计算机应用研究》 CSCD 北大核心 2016年第2期518-520,530,共4页

为了提高网络入侵的检测率,以降低误检率,提出一种基于均值聚分析和多层核心集凝聚算法相融合的网络入侵检的网络入侵检测模型。利用K-means算法对多层核心集凝聚算法的核心集,用其替代原粗化过程得到的顶层核心集,实现了顶层核心集的... 为了提高网络入侵的检测率,以降低误检率,提出一种基于均值聚分析和多层核心集凝聚算法相融合的网络入侵检的网络入侵检测模型。利用K-means算法对多层核心集凝聚算法的核心集,用其替代原粗化过程得到的顶层核心集,实现了顶层核心集的快速准确定位,简化了算法的计算复杂性。然后,将KM-Mul CA算法应用到入侵检测模型,最后采用KDD Cup 99数据集进行仿真实验。结果表明,本模型可以获得理想的网络入侵检测率和误检率。 展开更多

关键词 网络入侵检测 多层凝聚算法 K-均值聚类算法 支持向量机

在线阅读 下载PDF 职称材料

基于OWASP和WASC的多维度Web应用安全体系 被引量：4

2

作者 吴震 崔建 +1 位作者 周昌令 张蓓 《广西大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第A01期148-154,共7页

本文分析比较了国内外安全机构与安全厂商公布的安全报告及统计数据,认为Web应用安全已成为校园网中首要的安全问题。从OWASP和WASC的安全标准,归纳设计出多维度的校园网Web应用安全体系,并对核心的统一安全策略中心进行阐述。然后根据... 本文分析比较了国内外安全机构与安全厂商公布的安全报告及统计数据,认为Web应用安全已成为校园网中首要的安全问题。从OWASP和WASC的安全标准,归纳设计出多维度的校园网Web应用安全体系,并对核心的统一安全策略中心进行阐述。然后根据该安全体系结构,采用目前较为成熟并广泛应用的防火墙、应用防火墙、入侵检测、入侵防御、漏洞扫描、堡垒机等技术进行部署、实现,在北京大学校园网上选取50个有代表性的网站进行监控、分析,从而验证本文所设计的Web应用安全体系的有效性。 展开更多

关键词 WEB应用安全 OWASP WASC 多维度安全体系

在线阅读 下载PDF 职称材料

一种基于真实身份的BBS系统实名保障技术 被引量：3

3

作者 张扬 陈萍 +2 位作者 吕洁 陈茂科 杨道全 《中国海洋大学学报（自然科学版）》 CAS CSCD 北大核心 2008年第S1期49-52,110,共5页

用户身份的真实性一直是BBS系统管理的重要方面之一。采用SAML协议,将跨域单点登录中的认证技术引入到BBS系统中,从而实现了用户采用真实身份登录BBS系统,保证了BBS用户的实名。并以多个高校的BBS系统作为样例,建立起基于真实身份的示范... 用户身份的真实性一直是BBS系统管理的重要方面之一。采用SAML协议,将跨域单点登录中的认证技术引入到BBS系统中,从而实现了用户采用真实身份登录BBS系统,保证了BBS用户的实名。并以多个高校的BBS系统作为样例,建立起基于真实身份的示范BBS系统。 展开更多

关键词 SAML 真实身份 跨域认证 BBS

在线阅读 下载PDF 职称材料

Domain-flux僵尸网络域名检测 被引量：6

4

作者 李青山 陈钟 《计算机工程与设计》 CSCD 北大核心 2012年第8期2915-2919,共5页

针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃... 针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法。实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的域名。 展开更多

关键词 域名 域名系统 域名检测 域名变换 僵尸网络

在线阅读 下载PDF 职称材料

基于动态域划分的MapReduce安全冗余调度策略 被引量：2

5

作者 沈晴霓 卿斯汉 +2 位作者 吴中海 张力哲 杨雅辉 《通信学报》 EI CSCD 北大核心 2014年第1期34-46,共13页

MapReduce现有调度策略无法实现云环境中多租户作业的安全隔离。提出一种基于动态域划分的安全冗余调度策略:通过引入冲突关系、信任度、安全标签等概念,建立一种动态域划分模型,以将待调度节点划分为与不同租户作业关联的冲突域、可信... MapReduce现有调度策略无法实现云环境中多租户作业的安全隔离。提出一种基于动态域划分的安全冗余调度策略:通过引入冲突关系、信任度、安全标签等概念,建立一种动态域划分模型,以将待调度节点划分为与不同租户作业关联的冲突域、可信域或调度域;结合冗余方式,将租户作业同时调度到其可信域节点和调度域节点(但不允许为其冲突域节点),通过二者执行环境和部分计算结果的一致性验证决定是否重新调度。实验分析了其有效性和安全性。 展开更多

关键词 云计算 MAPREDUCE框架 动态域划分 安全冗余调度

在线阅读 下载PDF 职称材料

小波分析和时间序列法相融合的信息安全态势估计 被引量：1

6

作者 石云 陈钟 《计算机应用与软件》 CSCD 2015年第10期311-314,共4页

为了提高信息安全态势的估计精度,提出一种小波分析和时间序列分析相融合的信息安全态势估计方法。首先收集信息安全变化的历史数据,然后采用小波分析对数据进行分解,再分别采用时间序列方法对分解后数据进行建模和估计,最后采用小波分... 为了提高信息安全态势的估计精度,提出一种小波分析和时间序列分析相融合的信息安全态势估计方法。首先收集信息安全变化的历史数据,然后采用小波分析对数据进行分解,再分别采用时间序列方法对分解后数据进行建模和估计,最后采用小波分析对估计结果进行重构。结果表明,该方法可以准确跟踪信息安全变化趋势,提高信息安全态势估计的精度。 展开更多

关键词 信息态势安全 小波分析 时间序列 估计模型

在线阅读 下载PDF 职称材料

面向蜜场环境的网络攻击流重定向机制的研究与实现 被引量：9

7

作者 陆腾飞 陈志杰 +2 位作者 诸葛建伟 韩心慧 邹维 《南京邮电大学学报（自然科学版）》 2009年第3期14-20,共7页

网络攻击流重定向是蜜场中的关键技术之一。文中对其机制进行了研究,提出了基于网络环境信息自动感知技术与入侵检测技术相结合的网络攻击检测机制,以及基于OpenVPN与策略路由的透明网络流重定向机制,并实现了一个基于上述机制的网络攻... 网络攻击流重定向是蜜场中的关键技术之一。文中对其机制进行了研究,提出了基于网络环境信息自动感知技术与入侵检测技术相结合的网络攻击检测机制,以及基于OpenVPN与策略路由的透明网络流重定向机制,并实现了一个基于上述机制的网络攻击流重定向系统,最后通过实验验证了系统的有效性。 展开更多

关键词 网络流重定向 非业务访问 网络环境信息自动感知 蜜场 蜜罐

在线阅读 下载PDF 职称材料

一种面向多租户云存储平台的访问控制策略 被引量：18

8

作者 沈晴霓 杨雅辉 +2 位作者 禹熹 张力哲 陈钟 《小型微型计算机系统》 CSCD 北大核心 2011年第11期2223-2229,共7页

云存储平台是多租户共享环境,能否实现其中不同租户数据之间的有效安全隔离成为了用户最为关心的问题.以RBAC(Role Based Access Control)策略为基础,结合组织标签和多种安全属性的逻辑组合,提出一种灵活的访问控制策略,它一方面保证云... 云存储平台是多租户共享环境,能否实现其中不同租户数据之间的有效安全隔离成为了用户最为关心的问题.以RBAC(Role Based Access Control)策略为基础,结合组织标签和多种安全属性的逻辑组合,提出一种灵活的访问控制策略,它一方面保证云端不同企业之间数据的强隔离性,使某企业用户无法越权访问其他企业的用户数据;另一方面保证云存储企业内部数据的适度隔离,即可以根据公司自身的安全需求灵活定制企业内部策略.同时,引入虚拟组织的概念实现企业之间可能的数据共享;引入利益冲突的概念限制竞争企业之间的共享.给出了该策略在基于HDFS(Hadoop Distributed File System)的云存储架构中的原型实现.实验结果表明,该策略能够有效保障云存储平台多租户数据之间的恰当安全隔离. 展开更多

关键词 云存储 访问控制 多租户 数据隔离 数据共享 安全策略 利益冲突

在线阅读 下载PDF 职称材料

锯齿空间填充曲线耦合压缩感知的彩图灰度化实时加密算法 被引量：11

9

作者 胡亦 王琳娜 +1 位作者 朱恭生 陈钟 《激光杂志》 CAS 北大核心 2015年第2期12-18,共7页

针对当前彩色图像加密算法都是对RGB分量中所有像素加密,无法避免对次要像素的加密,使其加密效率较低,且加密后仍为彩色密文,增大了传输负载等不足。对此,本文提出了锯齿空间填充曲线耦合压缩感知的单通道彩图RGB分量灰度化实时同步加... 针对当前彩色图像加密算法都是对RGB分量中所有像素加密,无法避免对次要像素的加密,使其加密效率较低,且加密后仍为彩色密文,增大了传输负载等不足。对此,本文提出了锯齿空间填充曲线耦合压缩感知的单通道彩图RGB分量灰度化实时同步加密算法。设计锯齿空间填充曲线,提高图像像素置乱率;嵌入压缩感知,对彩图RGB三分量进行同步压缩,得到三个测量矩阵,并构造灰度化函数,将图像演变为灰度图像;基于感兴趣区域原理,设计感兴趣像素提取方案,获取灰度图像的感兴趣像素矩阵,使其只扩散感兴趣像素,大幅度降低了像素扩散数量;设计加密函数,扩散感兴趣像素矩阵,再将加密像素映射到置乱图像相应位置,获取灰度密文。仿真结果显示:本文算法高度安全,能够得到灰度密文;与其他彩色加密算法相比,该算法具有更高的加密效率,可满足实时加密要求。 展开更多

关键词 彩色图像加密 锯齿填充曲线 感兴趣像素 压缩感知 测量矩阵 灰度化函数

在线阅读 下载PDF 职称材料

一种基于完整性度量架构的数据封装方法 被引量：6

10

作者 沈晴霓 杜虹 +1 位作者 文汉 卿斯汉 《计算机研究与发展》 EI CSCD 北大核心 2012年第1期210-216,共7页

封装存储是可信计算平台的一项重要功能,它能将数据的加密存储与平台状态结合起来,提供了更强的安全存储保证.但现代操作系统结构越来越复杂,各种启动项的加载顺序也相对随机;平台配置的频繁改变、软件更新及系统补丁等都限制了封装存... 封装存储是可信计算平台的一项重要功能,它能将数据的加密存储与平台状态结合起来,提供了更强的安全存储保证.但现代操作系统结构越来越复杂,各种启动项的加载顺序也相对随机;平台配置的频繁改变、软件更新及系统补丁等都限制了封装存储的应用.而操作系统级的完整性度量架构(IMA)能将信任链扩展到整个计算平台,为封装存储提供了支持.为此,基于IMA提出一种新的数据封装方法,采用相对固定的标准状态来封装,结合易变IMA度量列表和结果以及经过签名的名单策略来评估平台状态,解决了操作系统复杂性带来的配置寄存器(PCR)的值不确定性和软件更新及系统补丁带来的频繁封装问题. 展开更多

关键词 可信计算 可信平台模块 完整性度量架构 数据封装 安全存储

在线阅读 下载PDF 职称材料

一种多项式时间的路径敏感的污点分析方法 被引量：4

11

作者 李佳静 王铁磊 +2 位作者 韦韬 凤旺森 邹维 《计算机学报》 EI CSCD 北大核心 2009年第9期1845-1855,共11页

提出了一种解决静态污点分析方法在进行路径敏感的分析时面临的路径爆炸的问题的方法.该方法将污点分析问题转化为加权下推自动机的广义下推后继问题,进一步利用污点数据在程序中的可达性,减少后续分析中需要精确执行的路径数.从而该方... 提出了一种解决静态污点分析方法在进行路径敏感的分析时面临的路径爆炸的问题的方法.该方法将污点分析问题转化为加权下推自动机的广义下推后继问题,进一步利用污点数据在程序中的可达性,减少后续分析中需要精确执行的路径数.从而该方法能够以多项式的时间复杂度实现程序状态空间遍历,并能在发现程序违反安全策略时自动生成反例路径.设计实验使用该方法对击键记录行为进行了刻画,对恶意代码程序和合法软件进行了两组分析实验,并与现有的方法进行了对比分析.实验证明本文的方法可以有效地对具有较多分支的程序进行路径敏感的污点分析。 展开更多

关键词 加权下推自动机 数据流分析 污点分析 恶意行为 击键记录

在线阅读 下载PDF 职称材料

冷启动攻击研究综述 被引量：5

12

作者 杨阳 关志 陈钟 《计算机应用研究》 CSCD 北大核心 2015年第10期2886-2890,2900,共6页

冷启动攻击是近年来出现的一种以获取计算机运行时内存快照并从中提取出密钥等秘密信息为目的的攻击方式。它利用了内存芯片的物理特性,对几乎所有常见的计算机硬件平台及平台上的各种密码系统广泛适用,难以通过简单的软硬件方式进行抵... 冷启动攻击是近年来出现的一种以获取计算机运行时内存快照并从中提取出密钥等秘密信息为目的的攻击方式。它利用了内存芯片的物理特性,对几乎所有常见的计算机硬件平台及平台上的各种密码系统广泛适用,难以通过简单的软硬件方式进行抵御,对计算机系统的安全构成了极大的威胁。介绍了冷启动攻击的基本原理、实施办法以及从获得的内存快照中恢复和重建密钥的办法;概括了冷启动攻击的主要抵御策略,介绍了不同抵御策略下具体抵御方法并对不同方法的优缺点进行比较;分析展望了对冷启动攻击的未来研究趋势。 展开更多

关键词 冷启动攻击 密码学 动态内存 数据剩余

在线阅读 下载PDF 职称材料

多阈值和标记分水岭相融合的肺部CT图像分割方法 被引量：5

13

作者 肖雪 龚恒 陈钟 《激光杂志》 CAS CSCD 北大核心 2014年第9期74-78,共5页

针对肺部CT图像因各组织灰度不均匀、结构复杂等因素造成双肺边界难以准确分割的问题,提出了一种多阈值和标记分水岭相融合的肺部分割方法。首先采用多阈值法对肺部CT图像进行粗分割,并去除图像中气管与主支气管;然后采用标记控制分水... 针对肺部CT图像因各组织灰度不均匀、结构复杂等因素造成双肺边界难以准确分割的问题,提出了一种多阈值和标记分水岭相融合的肺部分割方法。首先采用多阈值法对肺部CT图像进行粗分割,并去除图像中气管与主支气管;然后采用标记控制分水岭方法进行精分割,并利用形态学运算对肺实质边缘修补,最后采用临床肺CT图像在Matlab 2012平台上对算法性能进行仿真测试。结果表明,本文方法可以较好保留肺部CT图像的边界信息,提高了肺部CT图像分割精度,误分和错分概率大幅度下降,取得了十分理想的分割结果,为肺部疾病临床医学诊断提供了有价值的参考信息。 展开更多

关键词 肺部图像 多阈值 图像分割 记分水岭算法

在线阅读 下载PDF 职称材料

基于联盟身份认证和CALIS联合认证的图书馆资源访问方案 被引量：1

14

作者 吕洁 陈萍 +2 位作者 王文清 张扬 张蓓 《通信学报》 EI CSCD 北大核心 2013年第S2期69-73,共5页

针对图书馆电子资源的访问控制问题,对国际上广泛采用的联盟身份认证技术和在国内图书馆大范围部署的CALIS联合认证进行了分析,提出了将联盟身份认证与CALIS联合认证相结合的方案,并在CARSI联盟的平台上进行了开发、部署和验证,实验结... 针对图书馆电子资源的访问控制问题,对国际上广泛采用的联盟身份认证技术和在国内图书馆大范围部署的CALIS联合认证进行了分析,提出了将联盟身份认证与CALIS联合认证相结合的方案,并在CARSI联盟的平台上进行了开发、部署和验证,实验结果表明,联盟身份认证与CALIS联合认证相结合的方案可以有效、灵活地对电子资源进行访问控制。 展开更多

关键词 联盟身份认证 访问控制 CALIS联合认证

在线阅读 下载PDF 职称材料

基于下推系统可达性分析的程序机密消去机制 被引量：1

15

作者 孙聪 唐礼勇 陈钟 《软件学报》 EI CSCD 北大核心 2012年第8期2149-2162,共14页

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程... 针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效. 展开更多

关键词 信息流安全 机密消去 下推系统 自动验证 程序分析

在线阅读 下载PDF 职称材料

基于元搜索引擎实现被篡改网站发现与攻击者调查剖析 被引量：4

16

作者 诸葛建伟 袁春阳 《信息网络安全》 2009年第10期38-40,共3页

网站篡改是目前一类主要的网络攻击形式,对网站安全运营和形象造成了严重的威胁。网站篡改攻击发现与监测是安全研究和应急响应的一个重要任务,本文引入元搜索引擎技术对网站篡改攻击进行发现,并对攻击者的互联网踪迹进行进一步搜索和... 网站篡改是目前一类主要的网络攻击形式,对网站安全运营和形象造成了严重的威胁。网站篡改攻击发现与监测是安全研究和应急响应的一个重要任务,本文引入元搜索引擎技术对网站篡改攻击进行发现,并对攻击者的互联网踪迹进行进一步搜索和调查分析。概念验证性实验结果表明元搜索引擎技术可用于构建简单有效的网站篡改监测方案,并在攻击者调查剖析方面具有其他方法不可替代的优势。 展开更多

关键词 元搜索引擎 网页篡改 网站攻击 调查剖析

在线阅读 下载PDF 职称材料

联盟身份管理中的跨联盟用户互访技术研究 被引量：1

17

作者 吕洁 张扬 +4 位作者 陈萍 范雪松 张蓓 王文清 张月祥 《广西大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第A01期88-92,126,共6页

本文针对联盟身份管理中的跨联盟用户互访技术展开研究。首先介绍了联盟身份管理的主要技术,分析了实现跨联盟用户互访的主要挑战,并从允许其他联盟的用户访问本联盟的资源和允许本联盟的用户访问其他联盟的资源这两个方面提出了实现跨... 本文针对联盟身份管理中的跨联盟用户互访技术展开研究。首先介绍了联盟身份管理的主要技术,分析了实现跨联盟用户互访的主要挑战,并从允许其他联盟的用户访问本联盟的资源和允许本联盟的用户访问其他联盟的资源这两个方面提出了实现跨联盟用户互访的技术方案。最后,在CNGI项目的实际环境中,对CARSI联盟和CALIS联盟之间的跨联盟用户互访技术进行了实现和部署。 展开更多

关键词 联盟身份管理 跨联盟用户互访

在线阅读 下载PDF 职称材料

Jacobi交上的配对计算 被引量：1

18

作者 唐春明 徐茂智 亓延峰 《计算机工程与科学》 CSCD 北大核心 2011年第10期25-29,共5页

目前已知的配对计算都是在椭圆曲线的平面模型下实现的,比如Weierstrass型曲线、Ed-wards曲线和Jacobi四次曲线。本文第一次讨论空间曲线上配对的具体计算。密码学中所关心的空间曲线主要是三维空间中的二次曲面的交,它与Edwards曲线、J... 目前已知的配对计算都是在椭圆曲线的平面模型下实现的,比如Weierstrass型曲线、Ed-wards曲线和Jacobi四次曲线。本文第一次讨论空间曲线上配对的具体计算。密码学中所关心的空间曲线主要是三维空间中的二次曲面的交,它与Edwards曲线、Jacobi四次型都有极其紧密的联系,因而研究二次曲面交上的算术与配对将促进我们对Edwards曲线、Jacobi四次曲线上的相关特性的理解。为了讨论的简洁,我们将主要分析Jacobi交,但我们的结果基本上可以类推到其他的二次曲面交上去。我们分析了Jacobi交上的几何特性,构造了Jacobi交上的有效可计算同态,并在此基础上给出了Jacobi交上配对的具体计算。 展开更多

关键词 椭圆曲线 配对 Jacobi交 Miller算法 有效可计算同态

在线阅读 下载PDF 职称材料

基于模糊多准则决策扩展方法的分模线选择和评估研究 被引量：1

19

作者 石云 陈钟 《科学技术与工程》 北大核心 2014年第24期28-34,39,共8页

针对在模具设计中选择和评估分模线的问题,提出一种模糊多准则决策(MCDM)的扩展方法。首先利用语言变量表示分模线备选方案的评级和准则重要性权值;然后,基于这些语言值求出最终模糊评估值的隶属函数;最后通过一种新型的最大最小集排序... 针对在模具设计中选择和评估分模线的问题,提出一种模糊多准则决策(MCDM)的扩展方法。首先利用语言变量表示分模线备选方案的评级和准则重要性权值;然后,基于这些语言值求出最终模糊评估值的隶属函数;最后通过一种新型的最大最小集排序方法将规范化加权评级解模糊成清晰值;并对备选方案进行优劣排序。验证和对比实验表明了方法的有效性,与传统模糊多准则决策方法的比较表明,更具有适用性。 展开更多

关键词 模糊数 多准则决策 分模线选择 模具设计 最大最小集排序

在线阅读 下载PDF 职称材料

动态双绑:一种ARP缓存污染解决方案

20

作者 宋维佳 周昌令 +2 位作者 崔健 尚群 张蓓 《中国海洋大学学报（自然科学版）》 CAS CSCD 北大核心 2008年第S1期134-138,共5页

ARP协议设计使之易受到ARP缓存污染的攻击。ARP缓存污染又衍生出中间人攻击等各种网络安全问题。现有的解决方案多种多样但各有优缺点。本文基于ARP缓存污染攻击规律,利用动态IP-MAC绑定算法配合交换机ARP检查功能,设计了1种适用于大型... ARP协议设计使之易受到ARP缓存污染的攻击。ARP缓存污染又衍生出中间人攻击等各种网络安全问题。现有的解决方案多种多样但各有优缺点。本文基于ARP缓存污染攻击规律,利用动态IP-MAC绑定算法配合交换机ARP检查功能,设计了1种适用于大型网络的、灵活易部署的ARP缓存污染解决方案。实验证明了解决方案的有效性。 展开更多

关键词 网络安全 安全方案 IP-MAC绑定 ARP缓存污染

在线阅读 下载PDF 职称材料