基于吸收Markov链的网络入侵路径预测方法 被引量：29

1

作者 胡浩 刘玉岭 +2 位作者 张红旗 杨英杰 叶润国 《计算机研究与发展》 EI CSCD 北大核心 2018年第4期831-845,共15页

入侵意图和路径预测对于安全管理员深入理解攻击者可能的威胁行为具有重要意义.现有研究主要集中于理想攻击场景中的路径预测,然而理想攻击路径并不都是入侵者采取的真实路径.为了准确全面地预测网络入侵的路径信息,提出基于吸收Markov... 入侵意图和路径预测对于安全管理员深入理解攻击者可能的威胁行为具有重要意义.现有研究主要集中于理想攻击场景中的路径预测,然而理想攻击路径并不都是入侵者采取的真实路径.为了准确全面地预测网络入侵的路径信息,提出基于吸收Markov链的多步攻击路径预测方法.首先利用吸收Markov链中状态转移的无后效性和吸收性设计节点状态转移概率归一化算法,并证明完整攻击图可以映射为吸收Markov链,进而给出了基于通用漏洞评分标准的状态转移概率度量方法,最后提出攻击状态节点访问次数和路径长度的期望值预测步骤流程.实例分析结果表明:该方法可以量化不同长度攻击路径的概率分布、计算路径长度的期望值、预测实现既定攻击目标所需的原子攻击次数,并对节点威胁进行排序,为及时应对网络攻击威胁提供更多安全防护指导. 展开更多

关键词 入侵路径预测 攻击图 吸收Markov链 期望路径长度 节点威胁排序

下载PDF 职称材料

P2P网络中对等节点间安全通信研究 被引量：14

2

作者 叶润国 宋成 +2 位作者 吴迪 李文印 陈震 《微电子学与计算机》 CSCD 北大核心 2004年第6期95-99,159,共6页

网络安全对于商业P2P应用生存至关重要。要求对等节点之间能够相互认证以及在对等节点之间建立安全隧道,保证数据在传输过程中的完整性和机密性。本文讨论了P2P应用的安全通信要求,提出了三种实现P2P安全通信的隧道机制;然后,介绍了目... 网络安全对于商业P2P应用生存至关重要。要求对等节点之间能够相互认证以及在对等节点之间建立安全隧道,保证数据在传输过程中的完整性和机密性。本文讨论了P2P应用的安全通信要求,提出了三种实现P2P安全通信的隧道机制;然后,介绍了目前常用的几种安全P2P实现工具,并讨论了如何利用安全隧道机制增强现有P2P应用的安全性;最后,本文对三种隧道实现技术进行了评估。 展开更多

关键词 P2P 安全通信 认证 安全隧道 SSL IPSEC

下载PDF 职称材料

办公自动化系统安全性设计及实现 被引量：9

3

作者 李文印 叶润国 +1 位作者 邓春燕 周斌 《吉林大学学报（信息科学版）》 CAS 2003年第4期421-426,共6页

在Notes系统安全的基础上,为进一步提高办公系统的安全等级,以吉林大学办公自动化系统开发为例,应用身份鉴别、SSL(SecuritySocketLayer)、授权控制、数据加密、分配内部IP(InternetProtocol)和服务器双网卡等技术,建立了OA(OfficeAutom... 在Notes系统安全的基础上,为进一步提高办公系统的安全等级,以吉林大学办公自动化系统开发为例,应用身份鉴别、SSL(SecuritySocketLayer)、授权控制、数据加密、分配内部IP(InternetProtocol)和服务器双网卡等技术,建立了OA(OfficeAutomation)系统的安全模式,描述了关键网络安全技术的实现过程,保证了信息的机密性、完整性、系统访问的抗抵赖性。 展开更多

关键词 办公系统 网络安全 数据加密 数字签名 安全套接层

下载PDF 职称材料

基于攻击预测的网络安全态势量化方法 被引量：27

4

作者 胡浩 叶润国 +2 位作者 张红旗 杨英杰 刘玉岭 《通信学报》 EI CSCD 北大核心 2017年第10期122-134,共13页

为准确、全面地预测攻击行为并量化攻击威胁,提出一种基于攻击预测的安全态势量化方法。通过融合攻击方、防御方和网络环境态势要素,依据实时检测的攻击事件评估攻击者能力和漏洞利用率,并计算攻防期望耗时;进而设计基于动态贝叶斯攻击... 为准确、全面地预测攻击行为并量化攻击威胁,提出一种基于攻击预测的安全态势量化方法。通过融合攻击方、防御方和网络环境态势要素,依据实时检测的攻击事件评估攻击者能力和漏洞利用率,并计算攻防期望耗时;进而设计基于动态贝叶斯攻击图的攻击预测算法,推断后续攻击行为;最后从主机和网络这2个层面将攻击威胁量化为安全风险态势。实例分析表明,该方法符合实际对抗网络环境,能够准确预测攻击发生时间并合理量化攻击威胁。 展开更多

关键词 攻击预测 安全态势 贝叶斯攻击图 攻防对抗 时间预测

下载PDF 职称材料

政府数据开放共享安全保障问题与建议 被引量：19

5

作者 叶润国 陈雪秀 《信息技术与标准化》 2016年第6期22-25,34,共5页

通过对国内外政府数据开放共享的需求、模式和安全现状进行调研分析,提出政府数据开放共享中政府数据权属关系需明确等安全问题,并从政策法规、标准配套、交换共享平台安全技术体系构建、数据服务能力评估等方面提出安全保障建议,同时... 通过对国内外政府数据开放共享的需求、模式和安全现状进行调研分析,提出政府数据开放共享中政府数据权属关系需明确等安全问题,并从政策法规、标准配套、交换共享平台安全技术体系构建、数据服务能力评估等方面提出安全保障建议,同时构建了包括数据确权、数据分类分级、数据脱敏、安全标记、多级访问控制、数据族谱、安全审计、授权管理等的安全技术和安全管理防护体系,为政府数据开放共享打造"可用不可见"的安全空间。 展开更多

关键词 政府数据 开放共享 安全保障 数据交换共享平台 数据确权 数据脱敏

下载PDF 职称材料

大数据安全标准化研究进展 被引量：17

6

作者 叶润国 胡影 +1 位作者 韩晓露 王惠莅 《信息安全研究》 2016年第5期404-411,共8页

大数据安全标准是构成国家大数据安全保障体系的重要组成部分.首先简要介绍了大数据应用面临的安全威胁,以及我国当前大数据发展相关政策;分析国内外大数据安全标准化组织及研究成果;从传统数据安全、大数据安全和隐私保护3个方面对现... 大数据安全标准是构成国家大数据安全保障体系的重要组成部分.首先简要介绍了大数据应用面临的安全威胁,以及我国当前大数据发展相关政策;分析国内外大数据安全标准化组织及研究成果;从传统数据安全、大数据安全和隐私保护3个方面对现有大数据安全相关标准进行了梳理;最后,针对我国的大数据安全标准化工作给出了4点建议,为构建符合我国国情的大数据安全标准体系提供重要支撑. 展开更多

关键词 大数据 安全威胁 信息安全 数据安全 安全标准

下载PDF 职称材料

3G接入技术中认证鉴权的安全性研究 被引量：12

7

作者 张方舟 叶润国 +1 位作者 冯彦君 宋成 《微电子学与计算机》 CSCD 北大核心 2004年第9期33-37,共5页

对3G用户接入时的认证鉴权进行分析和研究,介绍了3G的安全体系结构,详细分析了3G的认证和鉴权机制和过程、用户信息的加密和完整性保护的过程和方法、密钥协商机制,并指出了3G认证鉴权机制可能存在的缺陷,最后对2G和3G的互通方面的安全... 对3G用户接入时的认证鉴权进行分析和研究,介绍了3G的安全体系结构,详细分析了3G的认证和鉴权机制和过程、用户信息的加密和完整性保护的过程和方法、密钥协商机制,并指出了3G认证鉴权机制可能存在的缺陷,最后对2G和3G的互通方面的安全性和2G与3G安全上下文之间转换运算的算法进行了分类和剖析。 展开更多

关键词 3G 认证 鉴权 安全 AKA

下载PDF 职称材料

面向漏洞生命周期的安全风险度量方法 被引量：10

8

作者 胡浩 叶润国 +3 位作者 张红旗 常德显 刘玉岭 杨英杰 《软件学报》 EI CSCD 北大核心 2018年第5期1213-1229,共17页

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞... 为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型APT攻击场景中"Wanna Cry"勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性. 展开更多

关键词 风险度量 漏洞生命周期 随机模型 吸收Markov链 动态评估

下载PDF 职称材料

《大数据安全标准化白皮书(2017)》解读 被引量：10

9

作者 王建民 金涛 叶润国 《信息技术与标准化》 2017年第8期38-41,共4页

介绍了《大数据安全标准化白皮书(2017)》的编制背景、编制过程和主要内容,围绕大数据相关的新型平台和技术安全、新型服务安全以及最核心的数据安全,提出了大数据安全标准体系框架和大数据安全标准规划,并给出了加快制定数据共享相关... 介绍了《大数据安全标准化白皮书(2017)》的编制背景、编制过程和主要内容,围绕大数据相关的新型平台和技术安全、新型服务安全以及最核心的数据安全,提出了大数据安全标准体系框架和大数据安全标准规划,并给出了加快制定数据共享相关安全标准、加快研制大数据安全审查支撑性标准等工作建议。 展开更多

关键词 大数据 安全 标准化 白皮书

下载PDF 职称材料

地理信息大数据安全保障模型和标准体系 被引量：9

10

作者 叶润国 吴迪 韩晓露 《科学技术与工程》 北大核心 2017年第36期105-111,共7页

地理信息数据是一种基础性和战略性资源,多源海量的地理信息数据借助大数据分析技术可以挖掘出巨大价值。但地理信息大数据面临多种安全威胁,可能威胁我国的国家安全和社会稳定。现有针对地理信息大数据的安全保护研究多关注安全技术,... 地理信息数据是一种基础性和战略性资源,多源海量的地理信息数据借助大数据分析技术可以挖掘出巨大价值。但地理信息大数据面临多种安全威胁,可能威胁我国的国家安全和社会稳定。现有针对地理信息大数据的安全保护研究多关注安全技术,缺乏地理信息大数据安全管理和安全保障的研究,一个完整的地理信息大数据安全保障方案应该是安全技术和安全管理并重。在分析了地理信息大数据面临的各种安全威胁后,提出了一个地理信息大数据安全保障框架,从安全管理保障、技术保障、工程保障和组织保障4个方面来实施地理信息大数据安全保障工作,该安全保障框架可以指导地理信息大数据应用建设者和运营者提升地理信息大数据系统建设和运营过程中的安全保障能力。同时,为落实地理信息大数据安全保障框架,提出了一个配套的地理信息大数据安全标准框架,旨在以安全标准为抓手,切实推动中国地理信息大数据安全保障工作,为中国地理信息产业的健康发展打好坚实基础。 展开更多

关键词 地理信息数据 安全保障 安全保障框架 大数据 大数据安全

下载PDF 职称材料

基于Web的数据库开发新技术 被引量：6

11

作者 叶润国 李文印 +1 位作者 玄光哲 刘英梅 《长春科技大学学报》 CSCD 2000年第2期201-203,共3页

以开发地学仪器信息管理系统为例 ,介绍了用VC+ + 5 .0开发基于Web数据库管理系统的新技术。其中涉及的技术有 :ISAPI技术的应用 ,基于B/S模型的Web数据库的开发 ,基于SMTP协议的电子邮件自动发送技术和客户机到服务器的图像上传问题。

关键词 WEB 数据库开发技术 地学仪器 信息管理

下载PDF 职称材料

一种基于公钥技术的3G安全体系结构及其实现 被引量：6

12

作者 张方舟 王东安 +2 位作者 叶润国 徐浩 宋成 《计算机工程与应用》 CSCD 北大核心 2005年第11期124-126,188,共4页

通过分析3G安全体系结构和移动通信系统的安全威胁,得出了3G体系结构存在的安全隐患。针对这些安全隐患,结合WPKI的相应特点,该文提出了一种基于SSL握手协议的用户与服务网络的AKA机制,即在3G体系结构中部署WPKI体系,使得无线终端侧实... 通过分析3G安全体系结构和移动通信系统的安全威胁,得出了3G体系结构存在的安全隐患。针对这些安全隐患,结合WPKI的相应特点,该文提出了一种基于SSL握手协议的用户与服务网络的AKA机制,即在3G体系结构中部署WPKI体系,使得无线终端侧实现了私密性、数据完整性等保护功能。最后模拟实现了一套完整的鉴权认证过程,实验结果表明:该机制能够很好地完成无线终端侧和服务网络之间双方的身份认证、加密传输、完整性保护等在3G安全体系中非常必要的功能。 展开更多

关键词 认证和密钥协商 3G 无线公钥基础设施 安全套接字层 安全体系

下载PDF 职称材料

NAT-PT可扩展性和可靠性问题研究 被引量：7

13

作者 叶润国 冯彦君 +1 位作者 吴宇 宋成 《微电子学与计算机》 CSCD 北大核心 2004年第4期19-24,共6页

文章提出了一种虚拟NAT-PT路由器体系结构(VAPTR)。该系统包含两个前端负载均衡器和多个后台NAT-PT设备:通过向VAPTR系统中加入NAT-PT设备并在这些设备之间实现负载均衡,可获得比较好的系统可扩展能力;通过监控NAT-PT设备池中每个设备... 文章提出了一种虚拟NAT-PT路由器体系结构(VAPTR)。该系统包含两个前端负载均衡器和多个后台NAT-PT设备:通过向VAPTR系统中加入NAT-PT设备并在这些设备之间实现负载均衡,可获得比较好的系统可扩展能力;通过监控NAT-PT设备池中每个设备的状态并将有故障的设备从该系统中屏蔽的方法,可提供比较好的系统可靠性;而且,系统可靠性还可以通过为VAPTR系统中的重要组件引入冗余容错子系统得到进一步改善。 展开更多

关键词 网络过渡 NAT—PT 系统可扩展性 负载均衡 系统可靠性

下载PDF 职称材料

一种安全高效的强口令认证协议 被引量：5

14

作者 虞淑瑶 叶润国 +1 位作者 张友坤 宋成 《计算机工程》 EI CAS CSCD 北大核心 2006年第6期146-147,162,共3页

提出了一种基于轻量级客户端的、基于散列函数的、用户端和服务器端双向基于口令的认证协议SPAS。指出了以往类似协议中存在的攻击问题,并分析了SPAS的安全性,指出SPAS能够抵御拒绝服务攻击、重放攻击、冒充攻击、服务器端验证信息泄密... 提出了一种基于轻量级客户端的、基于散列函数的、用户端和服务器端双向基于口令的认证协议SPAS。指出了以往类似协议中存在的攻击问题,并分析了SPAS的安全性,指出SPAS能够抵御拒绝服务攻击、重放攻击、冒充攻击、服务器端验证信息泄密后的攻击。SPAS协议能够应用于各种使用轻量级用户端的、在公共信道上进行认证的用户认证应用场景。 展开更多

关键词 认证 口令 散列函数 OSPA SPAS

下载PDF 职称材料

《塔林手册2.0》视角下的网络空间国际规则理论的发展 被引量：7

15

作者 陈舒 刘贤刚 +1 位作者 叶润国 胡影 《信息安全与通信保密》 2018年第4期45-52,共8页

北约卓越网络合作防卫中心发布的《塔林手册2.0:适用于网络行动的国际法》是西方国家在网络空间国际规则理论研究的最新成果。它既是对《塔林手册:适用于网络战争的国际法》的延续和发展,也体现了各国网络空间博弈法治化和规则化的态势... 北约卓越网络合作防卫中心发布的《塔林手册2.0:适用于网络行动的国际法》是西方国家在网络空间国际规则理论研究的最新成果。它既是对《塔林手册:适用于网络战争的国际法》的延续和发展,也体现了各国网络空间博弈法治化和规则化的态势。本文对比了两者在网络空间领域的重要规则条款,分析了呈现的网络空间国际规则理论的新观点,提出了对我国在加强网络空间国际规则理论跟踪研究、培养网络空间专家和提升网络空间军事战斗能力方面的启示。 展开更多

关键词 数塔林手册 网络空间 国际规则

下载PDF 职称材料

Ad Hoc网络中一种基于端节点的启发式TCP改进方法 被引量：3

16

作者 冯彦君 张方舟 +2 位作者 叶润国 宋成 王东安 《微电子学与计算机》 CSCD 北大核心 2005年第1期1-5,9,共6页

针对无线移动自组织网络(MobileAdHocNetwork,MANET)中网络拥塞和较高误码所引起的TCP性能下降的问题,本文提出了一种端到端的、启发式TCP改进机制。通过该机制,接收端可以推断出网络丢包的真正原因,以及可能的网络拥塞。根据推断结果,... 针对无线移动自组织网络(MobileAdHocNetwork,MANET)中网络拥塞和较高误码所引起的TCP性能下降的问题,本文提出了一种端到端的、启发式TCP改进机制。通过该机制,接收端可以推断出网络丢包的真正原因,以及可能的网络拥塞。根据推断结果,发送端采用ECN和(或)ELN机制向发送端尽早反馈,使得发送端可以针对不同的情况采取合适的措施,从而可以改进TCP在MANET中的性能。NS-2试验结果表明在MANET中该方法的性能优于传统TCP。 展开更多

关键词 无线自组织网络 TCP 包丢失 拥塞控制 启发式算法

下载PDF 职称材料

基于Shell命令和多阶Markov链模型的用户伪装攻击检测 被引量：6

17

作者 肖喜 翟起滨 +2 位作者 田新广 陈小娟 叶润国 《电子学报》 EI CAS CSCD 北大核心 2011年第5期1199-1204,共6页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测. 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 多阶Markov链

下载PDF 职称材料

基于shell命令和Markov链模型的用户伪装攻击检测 被引量：6

18

作者 肖喜 田新广 +1 位作者 翟起滨 叶润国 《通信学报》 EI CSCD 北大核心 2011年第3期98-105,共8页

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有... 提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 MARKOV链

下载PDF 职称材料

IPSec在移动无线应用场景下的互操作问题 被引量：2

19

作者 叶润国 冯彦君 +1 位作者 张方舟 宋成 《北京航空航天大学学报》 EI CAS CSCD 北大核心 2004年第11期1057-1060,共4页

IPSec能够为固定有线网络环境下的IP应用提供端到端通信安全 ;未来移动无线网络环境下 ,仍然可以使用IPSec来保障大量移动无线终端之间的通信安全 .在移动无线应用场景中 ,存在IPSec与其它网络应用协议之间的互操作问题 .分析了移动无... IPSec能够为固定有线网络环境下的IP应用提供端到端通信安全 ;未来移动无线网络环境下 ,仍然可以使用IPSec来保障大量移动无线终端之间的通信安全 .在移动无线应用场景中 ,存在IPSec与其它网络应用协议之间的互操作问题 .分析了移动无线应用场景中IPSec和性能提升代理及移动管理等网络协议之间的互操作问题 ,并给出了可行解决方案 ;分析了现有IPSec体系结构在移动无线应用场景中体现出的不足 ,指出了下一代IPSec体系结构发展趋势 . 展开更多

关键词 无线网络 IP安全 互操作冲突 性能提升代理 移动IP协议

下载PDF 职称材料

基于Notes的OA系统安全性设计及实现 被引量：2

20

作者 李文印 吴迪 +1 位作者 叶润国 周斌 《计算机工程》 CAS CSCD 北大核心 2004年第8期142-143,165,共3页

一般的OA系统开发平台都提供一定的安全性机制来保障系统的安全，但是，对于一个对安全性要求更高的OA系统来说，还必须综合利用其它一些先进的网络安全技术，进一步提高系统的安全等级。文章以基于Notes的吉林大学OA系统开发为背景，... 一般的OA系统开发平台都提供一定的安全性机制来保障系统的安全，但是，对于一个对安全性要求更高的OA系统来说，还必须综合利用其它一些先进的网络安全技术，进一步提高系统的安全等级。文章以基于Notes的吉林大学OA系统开发为背景，讨论应用关键网络安全技术设计和实现的过程。 展开更多

关键词 办公自动化 网络安全 数据加密 数字签名

下载PDF 职称材料