一、域名系统的安全加固(论文文献综述)
张莹,董升来[1](2021)在《基于中国蓝云的广电CII安全防护能力对比分析》文中指出2021年9月1日正式实施的《关键信息基础设施安全保护条例》重点压实了CII运营者的主体安全责任和义务,要求在等保合规的基础上对CII实施重点防护。本文在对广电网络进行安全风险分析的基础上,将中国蓝云的实际安全防护能力和《信息安全技术关键信息基础设施网络安全保护基本要求(报批稿)》中安全防护技术能力要求进行对比分析,寻找前者与后者之间的差距,以探索更适合广电行业的网络安全建设思路。
罗武,沈晴霓,吴中海,吴鹏飞,董春涛,夏玉堂[2](2021)在《浏览器同源策略安全研究综述》文中指出随着云计算和移动计算的普及,浏览器应用呈现多样化和规模化的特点,浏览器的安全问题也日益突出.为了保证Web应用资源的安全性,浏览器同源策略被提出.目前,RFC6454、W3C和HTML5标准都对同源策略进行了描述与定义,诸如Chrome、Firefox、Safari、Edge等主流浏览器均将其作为基本的访问控制策略.然而,浏览器同源策略在实际应用中面临着无法处理第三方脚本引入的安全威胁、无法限制同源不同frame的权限、与其他浏览器机制协作时还会为不同源的frame赋予过多权限等问题,并且无法保证跨域/跨源通信机制的安全性以及内存攻击下的同源策略安全.对浏览器同源策略安全研究进行综述,介绍了同源策略的规则,并概括了同源策略的威胁模型与研究方向,主要包括同源策略规则不足及应对、跨域与跨源通信机制安全威胁及应对以及内存攻击下的同源策略安全,并且展望了同源策略安全研究的未来发展方向.
黄媛媛[3](2021)在《物联网智能终端入侵检测研究》文中研究指明物联网(IoT)作为一个新兴行业正在飞速兴起,传统设备正在被大规模的智能化,互联网与传感器通过软硬结合的方式巧妙的衍生出了智能硬件这类产品,方便了人们的生活提高了生活品质。但在这一科技变革中,智能硬件产品因为信息安全问题给人们造成的生命财产损失也在近几年暴露无疑。传统的家具、电器、汽车、工业车间均在其底层内嵌了智能芯片和系统,智能终端们通过各种网络协议进行数据外联和交互,而在人们对这些技术越来越高的依赖的同时,个人隐私、用户行为习惯、周边环境等大量的数据也随之产生,高危安全漏洞也由此存在被利用的风险。为了能够进一步探究IoT时代下智能设备的安全风险,并且在人们对物联网以及智能终端的高度依赖的情况下,有效的提升信息安全和个人隐私安全的安全等级。本文选取车载智能终端T-BOX为平台,进行了基于车载T-BOX的入侵检测研究。针对智能终端车载T-BOX的多角度进行模拟攻击,充分挖掘智能终端设备的安全风险点。研究分析智能终端在应用中可能存在的安全漏洞,并对智能终端的安全性加固方法提出了相应的框架方案。从而提高了物联网安全的防御能力。
徐小强[4](2021)在《从外网突破到内网纵深的自动化渗透测试方法设计与实现》文中提出互联网技术的快速发展,为人类生产和生活提供极大便利的同时,也带来了巨大的网络安全挑战。渗透测试技术通过模拟黑客攻击方法来检测系统漏洞,可以快速发现网络安全问题,避免造成不可逆损失。近年来,网络安全行业高速发展,涌现出了众多渗透测试工具,大大方便了渗透测试人员对企业网络进行安全性测试的工作。但是,大多数工具只能针对可以直接访问的网络进行渗透测试,而绝大部分安全问题往往存在于测试工具无法直接访问的内部网络。针对这一问题,本文结合PTES渗透测试执行标准和ATT&CK攻击矩阵模型,设计了一种从外网突破到内网纵深的自动化渗透测试系统。该系统包含信息收集、漏洞探测、漏洞利用、权限提升、后渗透测试和痕迹清理六个部分。在信息收集环节,系统会对给定目标进行子域名信息收集、端口扫描和服务识别,特别是针对网站服务进行CMS指纹识别,为漏洞探测和漏洞利用奠定基础。在后渗透测试环节,为了规避WAF、IDS、IPS等安全设备的检查,系统构建了基于HTTP协议的隐蔽信道,打通了从外网到内网的流量转发路径,实现了对内网的自动化安全测试。在痕迹清理阶段,系统会自动清理在渗透测试过程中产生的临时文件,避免这些文件被恶意利用。本文模拟中小型企业内网拓扑结构,构建了存在漏洞的靶场环境,并在这种环境下进行了系统功能测试。测试实验结果表明,该系统实现了自动发现外网安全漏洞、自动构建内外网流量转发信道、进一步对内网进行自动化渗透测试的功能。达到了对企业内外网进行自动全面、高效准确的漏洞检测的标准,从而协助企业尽早进行漏洞修复和网络加固,避免因为安全漏洞造成的严重损失。
李玲玲,牛军生,蔡政[5](2021)在《涉虚假App的电信网络诈骗犯罪侦查难点与对策研究》文中指出虚假App已经成为不法分子实施电信网络诈骗的主要载体之一,通过对河南省某地区2020年发生的电信网络诈骗案件为研究对象,分析当前的犯罪形势及特点,以涉诈骗App为核心,分析了公安机关在侦办这类案件中的难点。针对涉虚假App的电信网络诈骗犯罪案件的作案技术原理和技术,以App信息流和域名、IP地址信息流为侦查的方向和切入点,采取对应的侦查措施。最后从制定案件信息采集规范和标准、优化案件信息录入平台功能、建立涉诈骗App溯源分析比对平台和建设完善省级反诈数据统一资源库等多个方面提出了打击和防范这类案件的对策建议。
毛伟杰[6](2021)在《基于蜜罐的内网威胁捕获系统的研究与实现》文中进行了进一步梳理面对网络空间日益增长的恶意攻击行为,蜜罐技术是一种有效的解决方案。它能够通过模仿一系列有漏洞的软件服务,吸引攻击者将其作为攻击目标,从而保护真实的服务器。然而,蜜罐技术本身也具备一定的局限性。作为一个软件服务,不可避免的会存在一定的漏洞,如果被攻击者发现并利用,将很可能对企业的内网造成威胁,产生严重的事故。而且,跳板攻击已经成为了攻击者的常用手段,如何在被攻击之后进行溯源取证,挽回损失,也是值得研究的一个课题。针对实际应用环境中蜜罐本身存在的安全问题,本文从流量分析的角度着手,借鉴了虚拟化技术,对蜜罐的安全进行加固。针对目前攻击者溯源困难的问题,本文提出了一种基于偏好的攻击模式提取算法,对蜜罐产生的攻击数据进行分析,计算出攻击者间的相似度,并进行准确率对比分析。具体而言,本文的研究内容与创新成果主要涵盖以下几点:(1)提出了一个基于服务器名称指示(Server Name Indication,SNI)的蜜罐防渗透算法。当攻击者使用HTTPS加密传输数据时,使用SNI数据来代替原本DNS在流量分析中的地位,对攻击者的加密通信进行针对性的阻断,以影响攻击者的攻击进程,从而达到保护蜜罐的目的,通过实验证明了该算法的有效性。(2)提出了基于偏好的攻击模式提取算法。取攻击者最频繁的攻击项目来刻画该攻击者的攻击特征,在面对有不同攻击偏好、但攻击项目有重叠的攻击者时,能够比按位或算法更能反映出不同攻击者之间的差异性,从而避免了按位或法在该场景下计算相似度时过高的问题。通过实验证明了该算法的有效性和相比按位或法的优势。(3)实现了基于蜜罐的内网威胁捕获系统。本文针对企业内网的网络环境,通过分析系统需求,设计了一个基于蜜罐的内网威胁捕获系统。该系统将不同的蜜罐组织了起来,通过搭载SNI防渗透系统,来对蜜罐系统本身进行安全加固。不同的蜜罐收集到的数据将被集中到中心服务器进行展示,并使用基于偏好的攻击模式提取算法进行溯源分析。结合使用Docker,不仅能够提升蜜网系统的安全性,也方便进行部署和维护。实验结果表明,本系统具备对常用威胁的收集和捕获能力,以及良好的性能和安全性。
申宇昂[7](2020)在《基于可信计算的docker容器加固方法》文中进行了进一步梳理Docker是一种轻量级的虚拟化技术,和传统虚拟化方式相比,Docker容器内的应用进程直接运行于宿主的内核,它的内部没有自己的内核,同时也没有进行硬件的虚拟化。因此Docker容器要比传统虚拟机的虚拟化方式更加轻便。但是无论是Docker容器技术还是它依赖的底层Linux内核技术都尚未成熟,远不如同等的虚拟机技术那么久经考验。至少目前而言,容器尚未提供与虚拟机相同水平的安全保证。针对Docker的隔离性不彻底,镜像文件容易遭到篡改,容器运行不安全的问题,本文在对Docker容器现有的隔离机制和安全增强技术的分析基础之上,利用可信计算技术,提出一种Docker容器的加固方法,在容器运行的整个生命周期构建一条信任链,从而保证Docker从镜像下载到容器启动整个过程中处于一个可信安全的环境中。本文针对Docker在镜像下载期间和容器运行时进行分别度量和加固。针对镜像,本文进行三部分的度量构建信任链传递。在镜像下载阶段通过使用镜像签名机制确保下载的镜像没有在仓库受到篡改。在镜像下载到本地后,使用镜像扫描器对镜像本身进行漏洞排查。在容器启动前,通过密码算法对镜像文件进行度量,避免在本地镜像文件被篡改。容器启动后分为两部分,一部分通过搭建容器监控平台对Docker进行动态度量,使用cadvisor+influxdb+grafana实现对容器使用资源的监控。另一部分通过限制容器能力来加强容器的隔离性,包括对容器限制联网,通过设置进程黑名单限制容器内部进程使用,以及限制cpu使用,应用资源限制,限制内存使用,限制文件系统等方法实现对容器的加固。
王晖[8](2020)在《移动终端环境若干典型协议的安全分析技术研究》文中研究表明随着移动智能终端和移动互联网的迅速发展,大量厂商在移动平台提供社交网络、电子商务、即时通信等多种服务,将用户的身份信息与设备紧密绑定,很多安全敏感的数据都在移动平台上传输。但同时,把移动智能终端作为处理移动业务和存储用户个人信息的载体也带来了很大的安全隐患,每年由于移动智能设备安全问题引发的信息泄漏、诱骗欺诈造成的经济损失高达百亿。而导致这些安全问题的一个主要因素是移动智能设备通信协议安全的脆弱性。移动智能终端所使用的各类通信协议需要能够保障通信信道的安全性及用户个人信息的机密性、完整性,这些通信协议往往是建立在密码体制基础上,使用密码算法和协议逻辑来实现安全目标。但是现实生活中通信协议的设计、实现常常不能满足规定的安全需求,近年来曝出的重大安全漏洞中很大一部分与通信协议有关。移动智能终端中所使用的安全传输协议,认证授权协议,虚拟专用网络协议等通信协议受到越来越多的关注,它们的安全性研究也成为学术领域的最为重要的研究课题之一。本文的研究主要围绕移动智能终端开放授权协议的安全性分析、单点登录协议的安全性分析、单点登录系统安全性分析和虚拟专用网络协议安全性分析四个方面展开。针对移动智能终端开放授权协议的实现,我们提出了一种基于模型匹配的安全审计方法,并设计实现了一个系统化的安全审计框架。针对应用OAuth协议作为三方认证协议的单点登录系统实现,我们提出了一种由不同攻击者视角引导的分析方案,能够识别OAuth应用在实现单点登录时在不同阶段引入的安全漏洞。针对基于OIDC协议构建的单点登录系统的实现安全性,我们提出了一种自动化差分流量分析方案,能够有效检测单点登录系统中服务器端存在的安全和隐私问题。最后,针对移动平台虚拟专用网络协议的实现,我们提出了代码分析和流量分析结合的分析方案,可以从SSL/TLS协议实现、OpenVPN客户端配置、协议代码实现三个方面系统分析协议实现的安全性。本文的主要贡献如下:1.对于Android平台上的OAuth协议实现,提出了一种基于模型匹配的安全分析方法。我们提出的五方模型能够包含协议流程中涉及的所有参与者,并覆盖协议生命周期的全部3个阶段。同时,我们设计实现了一个系统化的安全审计框架。该框架能够半自动化地审计Android应用中5种典型的错误实现。我们利用该框架对中国Android应用市场中的1300多个实现了OAuth协议的应用进行分析,发现86%的应用存在至少一种安全漏洞。2.针对基于OAuth协议的单点登录方案,设计了一种由不同攻击者视角引导的分析方法。该方法能够对Web、Android和i OS平台上使用OAuth协议进行用户身份认证的应用进行分析,自动化提取协议规范,并识别现实应用在认证凭据选择、认证凭据传输和服务器校验阶段可能存在的5类漏洞。我们对这3个平台上650个最流行的应用进行分析,发现这3个平台分别有32.9%,47.1%,41.6%的应用存在安全漏洞。同时我们分析了这些漏洞产生的根本原因以帮助指导开发者设计更安全的认证方案。3.针对基于OpenID Connect协议的单点登录系统,提出了一种自动化差分流量分析方案,通过检测服务提供商和服务使用商的服务器端实现,分析单点登录系统中访问控制机制的安全和隐私保护问题。我们对Google Play和应用宝两个Android应用市场中的400个流行应用以及8个流行SSO服务提供商进行分析,发现四类新型漏洞,62.5%的服务提供商和31.9%的流行应用的服务器端实现存在至少一种安全漏洞,破坏了系统访问控制的安全性。我们进一步分析了这些漏洞的产生原因并提出了相应修复方案。4.针对移动智能终端的OpenVPN协议实现,提出了静态代码分析和动态流量分析相结合的分析方法。该方法能够从SSL/TLS协议实现、OpenVPN客户端配置、协议代码实现这三个方面分析Android平台流行VPN应用的安全性。我们的分析发现了4类新型漏洞:SSL/TLS协议加固缺失、客户端密码算法误用、客户端弱认证、服务器端弱认证,我们对Google Play应用市场中102个OpenVPN应用进行了测试,测试结果表明42.9%的应用至少存在一种安全漏洞,能够导致通信被中间人攻击或者加密流量被解密。
邢倩倩[9](2018)在《新型网络可信身份管理与认证关键技术研究》文中提出现有互联网因最初缺乏安全性设计而易遭受攻击,要实现网络可信,最根本是要实现网络实体身份持有和使用的可信追责。也即网络身份和所进行的网络行为能够真正追责到其所有者,才能避免各种欺骗攻击,保证网络实体可信和网络行为可信。可信网络依赖于网络身份的可信管理,它首先为每个网络身份赋予公钥,通过密码认证加密等手段,为所有身份的分配、认证、授权和使用等网络行为附加可信证明,实现通信与服务的可认证性、完整性和机密性,最终实现网络实体与行为的可信可追责。当前现有的网络身份可信管理多依赖传统的公钥基础设施PKI,身份持有者被分配身份标识的同时,需要利用第三方CA为其签署证书。它在网络控制层面和网络应用层面都存在一些问题:(1)相对分散的网络应用层面服务实体身份管理中,CA的安全可信问题突出,证书的签发和撤销易被恶意利用,难以监管;(2)而依赖集中式信任机构的安全身份管理方案往往不透明,缺乏审计,中央集权存在职权滥用的弊端;(3)证书管理复杂导致在网络控制层面的可布署性降低,复杂的证书查询和验证给网络带来了很大速度时延和性能损耗;带外安全加固的方式使得原有协议更加复杂。针对上述问题,本文首先将新型信任体制——区块链引入到网络实体身份管理当中,分别在服务证书和互联网编号管理方面,设计有效安全的管理机制和基础设施,其次将新型密码体制——身份基密码应用到网络身份管理中,重点研究密钥撤销问题,进一步为域间路由安全设计新的基于身份基密码的路由认证授机制。本文的主要研究工作和贡献包括:1、提出一个基于公开区块链的可扩展撤销和证书透明方法BRT来增强SSL PKI的安全性,从而有效地处理诸如证书撤销和更新、证书监管、证书透明性证明。通过一个链上审计机制和链下存储/计算机制,BRT不需要直接在区块链上记录证书,仅在链下记录附加的、可审计的公共日志和撤销信息。BRT能够抵御恶意操纵,DDos和镜像世界等攻击,通过受激励的日志监控和行为异常报告机制,实现经济有效的证书签发透明和撤销更新。2、针对集中式信任机构互联网资源实体编号管理缺乏审计的问题,提出了一个值得信赖的基于区块链的互联网编号管理基础设施BGPCoin。它通过分散的基础设施记录互联网号码分配和授权,并通过跟踪号码资产的所有权和使用权的变化,支持BGP路由器用以匹配源路由通告,检测和丢弃前缀劫持。BGPCoin满足透明性,可审计性和安全性,并可增量部署。3、对网络身份基密码的撤销管理问题进行深入研究,提出了两种可撤销身份基加密方案,匿名可撤销身份基加密方案ARIBE和层次不受限的可撤销层次身份基加密方案U-RHIBE。针对ARIBE的设计,我们克服了在指数逆构造在添加可撤销功能的困难,提出通过拉格朗日系数方法实现构造,并利用完全子树方法实现O(log N)量级的密钥更新。接着我们提出首个具有自适应身份安全的层次不受限的可撤销层次加密方案U-RHIBE,并具有抗解密密钥泄露和短公共系统参数的特性。通过仔细的形式化证明,U-RHIBE覆盖了6种优势属性:自适应身份安全,层次不受限的密钥分发,高效撤销,无状态的密钥更新,抗密钥泄露和抗内部入侵。4、针对BGPsec证书管理复杂,部署动力不足等缺陷,提出一种基于身份基密码的网络路由自认证授权通告与聚合认证机制SIRAA,不需要使用由可信第三方维护的CA机构所签发的数字证书对BGP实体的身份和公钥进行绑定,从而避免建立管理PKI的负担以及管理和认证公钥证书带来的开销,因此可减少路由器的计算和存储开销。我们设计一个可部分聚合的前向安全的层次身份聚合签名HIBPAS,并基于HIBPAS提出SIRAA用于BGP路径通告与授权的证明与认证。SIRAA能够很好保持经典BGP安全方案所能达到的安全性,并相比其他改进的BGP安全通告方案,能够在存储效率、计算开销等方面取得很好的平衡,具有良好的可行性。
程琦,陈灿[10](2017)在《构建多层次的互联网DNS系统安全防护体系》文中进行了进一步梳理根据DNS业务特点,通过在省干出口路由器与城域接入路由器、防火墙、DNS服务器、解析软件以及抗DDoS系统等五个层面进行安全策略加固与优化,构建了多层次的安全防护体系。
二、域名系统的安全加固(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、域名系统的安全加固(论文提纲范文)
(1)基于中国蓝云的广电CII安全防护能力对比分析(论文提纲范文)
| 1 CII认定与运营者要求 |
| 1.1 CII的识别认定 |
| 1.2 CII运营者的责任义务 |
| 2 广电网络安全风险分析 |
| 3 中国蓝云安全防护能力建设 |
| 3.1 终端安全能力建设 |
| (1)终端病毒安全防护 |
| (2)终端漏洞统一管理 |
| 3.2 服务器安全能力建设 |
| (1)立体防御能力建设 |
| (2)服务器病毒与恶意文件防治 |
| (3)主机层网络攻击发现与抵御 |
| 3.3 安全对抗能力建设 |
| (1)缩小攻击面 |
| (2)系统安全加固 |
| (3)文件监控与防护 |
| (4)数据安全 |
| (5)欺骗防御技术实现 |
| (6)未知威胁检测 |
| (7)态势感知平台建设 |
| (8)回溯分析能力建设 |
| 3.4 安全运营能力建设 |
| (1)场景化分析 |
| (2)威胁狩猎 |
| (3)闭环处置 |
| (4)安全运营团队建设 |
| 4 与CII网络保护基本要求的对比分析 |
| (1)资产的自动化管理和实时动态更新 |
| (2)日志数据留存时间不足 |
| (3)重要业务操作或异常操作要形成清单 |
| (4)数据安全空前重视 |
| 5 结语 |
(2)浏览器同源策略安全研究综述(论文提纲范文)
| 1 同源策略概述 |
| 1.1 术语定义 |
| 1.2 同源策略规则 |
| 2 同源策略安全研究方向 |
| 2.1 威胁模型 |
| 2.1.1 研究场景 |
| 2.1.2 敌手模型 |
| 2.2 研究方向 |
| 3 同源策略规则不足及应对 |
| 3.1 第三方脚本的过度授权与防御 |
| 3.1.1 用途与分类 |
| 3.1.2 安全威胁 |
| 3.1.3 防御方案 |
| 3.2 同源不同frame的过度授权与防御 |
| 3.2.1 安全威胁 |
| 3.2.2 防御方案 |
| 3.3 不同源frame的过度授权与防御 |
| 3.3.1 安全威胁 |
| 3.3.2 防御方案 |
| 3.4 方案对比与讨论 |
| 3.5 小结 |
| 4 跨域/跨源通信机制安全威胁及应对 |
| 4.1无服务器辅助通信机制威胁与应对 |
| 4.1.1 document.domain跨域通信 |
| 4.1.2 post Message跨源通信 |
| 4.2 服务器辅助通信机制威胁与应对 |
| 4.2.1 JSON-P跨源通信 |
| 4.2.2 CORS跨域资源共享 |
| 4.3 方案对比与讨论 |
| 4.4 小结 |
| 5 内存攻击下的同源策略安全 |
| 5.1 代码注入攻击及防御 |
| 5.1.1 攻击方案 |
| 5.1.2 防御方案 |
| 5.2 代码重用攻击及防御 |
| 5.2.1 攻击方案 |
| 5.2.2 防御方案 |
| 5.3 仅数据攻击及防御 |
| 5.3.1 攻击方案 |
| 5.3.2 防御方案 |
| 5.4 方案对比与讨论 |
| 5.5 小结 |
| 6 未来研究展望 |
| 7 结束语 |
(3)物联网智能终端入侵检测研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.1.1 物联网发展现状概述 |
| 1.1.2 物联网安全发展现状概述 |
| 1.2 物联网安全国内外研究现状 |
| 1.3 主要研究内容 |
| 第二章 物联网智能终端安全相关技术 |
| 2.1 物联网平台安全分析 |
| 2.1.1 数据存储安全风险 |
| 2.1.2 通信传输安全风险 |
| 2.1.3 加密密钥安全风险 |
| 2.2 智能终端安全分析 |
| 2.2.1 移动APP安全风险分析 |
| 2.2.2 智能终端固件风险分析 |
| 2.3 T-BOX设计基础 |
| 2.3.1 车载T-BOX硬件设计 |
| 2.3.2 车载T-BOX软件设计 |
| 2.4 本章小结 |
| 第三章 物联网环境下的攻击设计 |
| 3.1 物联网渗透 |
| 3.2 物联网设备入侵设计 |
| 3.2.1 注入攻击设计 |
| 3.2.2 越权爆破攻击设计 |
| 3.2.3 总线与接口识别设计 |
| 3.2.4 中间人攻击设计 |
| 3.3 入侵方案设计 |
| 3.3.1 基于Burp Suite方案设计 |
| 3.3.2 基于SQLMap方案设计 |
| 3.4 本章小结 |
| 第四章 基于T-BOX入侵攻击结果分析 |
| 4.1 实验环境准备 |
| 4.1.1 实验环境系统架构 |
| 4.1.2 系统情况描述 |
| 4.2 入侵方案及结果分析 |
| 4.2.1 总线与接口分析 |
| 4.2.2 网络升级中间人攻击 |
| 4.2.3 固件下载安全分析 |
| 4.2.4 身份验证爆破攻击 |
| 4.3 高危漏洞分析 |
| 4.4 本章小结 |
| 第五章 物联网智能设备安全加固优化 |
| 5.1 智能设备终端安全 |
| 5.1.1 智能设备终端安全风险 |
| 5.1.2 智能设备终端安全加固方案 |
| 5.2 移动终端APP安全 |
| 5.2.1 移动终端APP安全风险暴露 |
| 5.2.2 移动终端APP全加固方案 |
| 5.3 网络通信协议安全 |
| 5.3.1 通信传输安全风险 |
| 5.3.2 通信协议安全加固方案 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文总结 |
| 6.2 后续改进展望 |
| 参考文献 |
| 在学期间的研究成果 |
| 致谢 |
(4)从外网突破到内网纵深的自动化渗透测试方法设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 课题研究内容 |
| 1.4 论文整体结构 |
| 第二章 相关技术 |
| 2.1 PTES渗透测试执行标准 |
| 2.1.1 前期交互阶段 |
| 2.1.2 信息搜集阶段 |
| 2.1.3 威胁建模阶段 |
| 2.1.4 漏洞分析阶段 |
| 2.1.5 渗透攻击阶段 |
| 2.1.6 后渗透测试阶段 |
| 2.1.7 漏洞报告阶段 |
| 2.2 代理技术 |
| 2.2.1 正向代理 |
| 2.2.2 反向代理 |
| 2.3 隐蔽信道 |
| 2.3.1 ICMP协议隐蔽信道 |
| 2.3.2 DNS隐蔽信道 |
| 2.3.3 HTTP协议隐蔽信道 |
| 2.4 ATT&CK攻击矩阵 |
| 2.5 本章小结 |
| 第三章 从外网到内网渗透测试系统设计 |
| 3.1 整体设计 |
| 3.2 自动化渗透测试流程设计 |
| 3.2.1 信息收集模块设计 |
| 3.2.2 漏洞探测模块设计 |
| 3.2.3 漏洞利用模块设计 |
| 3.2.4 权限提升模块设计 |
| 3.2.5 后渗透测试模块设计 |
| 3.2.6 痕迹清理模块设计 |
| 3.3 人机交互模块设计 |
| 3.4 数据库设计 |
| 3.5 本章小结 |
| 第四章 自动化渗透测试系统实现 |
| 4.1 自动化渗透测试平台整体实现方案 |
| 4.2 人机交互模块实现 |
| 4.2.1 访问控制模块实现 |
| 4.2.2 系统配置模块实现 |
| 4.2.3 插件管理模块实现 |
| 4.2.4 任务下发模块实现 |
| 4.2.5 任务监控模块实现 |
| 4.2.6 结果展示模块实现 |
| 4.3 自动化渗透测试模块实现 |
| 4.3.1 信息收集子模块实现 |
| 4.3.2 漏洞探测子模块实现 |
| 4.3.3 漏洞利用子模块实现 |
| 4.3.4 权限提升子模块实现 |
| 4.3.5 后渗透测试子模块实现 |
| 4.3.6 痕迹清理模子模块实现 |
| 4.4 第三方插件模块实现 |
| 4.4.1 子域名收集插件 |
| 4.4.2 端口服务识别插件 |
| 4.4.3 漏洞插件 |
| 4.4.4 权限提升插件 |
| 4.5 本章小结 |
| 第五章 系统测试与实验分析 |
| 5.1 靶机实验环境构建 |
| 5.2 系统功能测试 |
| 5.3 后台功能模块测试 |
| 5.4 实验结果分析 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 问题和展望 |
| 参考文献 |
| 致谢 |
(5)涉虚假App的电信网络诈骗犯罪侦查难点与对策研究(论文提纲范文)
| 0 引言 |
| 1 涉虚假App的电信网络诈骗犯罪形势和特点 |
| 1.1 犯罪形势 |
| 1.2 犯罪特点 |
| 2 涉虚假App的电信网络诈骗犯罪案件侦查难点 |
| 3 涉虚假App的电信网络诈骗犯罪案件的侦查方向 |
| 3.1 App信息流 |
| 3.2 域名、IP地址信息流 |
| 4 涉虚假App的电信网络诈骗犯罪案件打击和防范对策探讨 |
| 4.1 制定案件信息采集规范和标准 |
| 4.2 优化案件信息录入平台的功能 |
| 4.3 建立涉诈骗App分析比对平台 |
| 4.4 建设完善省级反诈数据统一资源库 |
| 4.5 建立一支打击和防范电信网络诈骗的专业化队伍 |
| 4.6 加强电诈骗宣传力度,提高群众安全防范意识 |
| 5 结语 |
(6)基于蜜罐的内网威胁捕获系统的研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 蜜罐安全研究现状 |
| 1.2.2 攻击者溯源研究现状 |
| 1.3 本文工作 |
| 1.3.1 研究内容 |
| 1.3.2 论文结构安排 |
| 第2章 相关技术介绍 |
| 2.1 蜜罐技术 |
| 2.1.1 蜜罐的定义和原理 |
| 2.1.2 蜜罐的分类 |
| 2.1.3 蜜罐的安全价值和优缺点 |
| 2.1.4 蜜网技术 |
| 2.2 SNI扩展 |
| 2.2.1 SNI的介绍 |
| 2.2.2 SNI的作用 |
| 2.2.3 SNI的具体位置 |
| 2.3 攻击溯源技术 |
| 2.3.1 基于按位或的攻击模式提取算法 |
| 2.3.2 攻击者相似度算法 |
| 2.4 端口重定向技术 |
| 2.5 Docker技术 |
| 2.6 本章小结 |
| 第3章 基于SNI的蜜罐防渗透算法 |
| 3.1 问题描述 |
| 3.2 基于SNI的蜜罐防渗透算法 |
| 3.2.1 算法描述 |
| 3.2.2 模块描述 |
| 3.3 实验结果与分析 |
| 3.3.1 实验数据 |
| 3.3.2 实验设置与结果分析 |
| 3.4 本章小结 |
| 第4章 基于偏好的攻击模式提取算法 |
| 4.1 问题描述 |
| 4.2 基于偏好的攻击模式提取算法 |
| 4.2.1 算法描述 |
| 4.3 实验结果与分析 |
| 4.3.1 实验数据 |
| 4.3.2 实验设置与结果分析 |
| 4.4 本章小结 |
| 第5章 基于蜜罐的内网威胁捕获系统设计 |
| 5.1 系统需求分析 |
| 5.2 捕获系统设计 |
| 5.2.1 系统整体设计 |
| 5.2.2 基于Docker的蜜罐区设计 |
| 5.2.3 蜜网网关设计 |
| 5.2.4 中心服务器设计 |
| 5.3 捕获系统部署与实现 |
| 5.3.1 蜜网系统部署 |
| 5.3.2 中心服务器部署 |
| 5.3.3 蜜网网关部署 |
| 5.4 捕获系统测试 |
| 5.4.1 系统功能性测试 |
| 5.4.2 系统性能测试 |
| 5.5 本章小结 |
| 结论与展望 |
| 论文总结 |
| 工作展望 |
| 参考文献 |
| 攻读硕士学位期间发表的学术论文 |
| 致谢 |
(7)基于可信计算的docker容器加固方法(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 本文要解决的问题和结构安排 |
| 第2章 可信计算相关概述及Docker容器技术介绍 |
| 2.1 可信计算相关概述 |
| 2.1.1 可信计算的概念 |
| 2.1.2 可信计算涉及的关键技术 |
| 2.2 Docker容器技术 |
| 2.2.1 Docker容器的概念 |
| 2.2.2 Docker容器中的关键技术 |
| 2.2.3 Docker容器存在的问题 |
| 2.3 本章小结 |
| 第3章 基于可信计算的Docker容器加固分析和总体设计 |
| 3.1 基于可信计算的Docker容器加固方法概述 |
| 3.2 镜像度量模块的设计 |
| 3.2.1 镜像下载过程可信 |
| 3.2.2 镜像安全性校验 |
| 3.2.3 容器启动前镜像安全 |
| 3.3 容器启动后的监控方法和加固方案设计 |
| 3.3.1 容器运行时监控方法 |
| 3.3.2 容器加固方法 |
| 3.4 本章小结 |
| 第4章 镜像度量模块的方法实现 |
| 4.1 Docker镜像签名模块 |
| 4.2 Docker镜像扫描模块 |
| 4.2.1 Trivy介绍 |
| 4.2.2 镜像扫描器原理 |
| 4.3 镜像文件度量模块 |
| 4.3.1 密码算法介绍 |
| 4.3.2 文件度量模块设计实现 |
| 4.4 本章小结 |
| 第5章 容器运行的加固及监控方法设计实现 |
| 5.1 容器监控平台搭建 |
| 5.1.1 数据采集模块 |
| 5.1.2 数据存储模块 |
| 5.1.3 数据展示模块 |
| 5.2 容器联网限制 |
| 5.2.1 iptables规则 |
| 5.2.2 限制通信方法实现 |
| 5.3 容器内部进程限制 |
| 5.3.1 守护进程 |
| 5.3.2 进程限制方法实现 |
| 5.4 容器能力限制 |
| 5.4.1 限制内存使用 |
| 5.4.2 限制cpu使用 |
| 5.4.3 限制文件系统 |
| 5.4.4 应用资源限制 |
| 5.5 本章小结 |
| 结论 |
| 本文总结 |
| 工作展望 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
| 致谢 |
(8)移动终端环境若干典型协议的安全分析技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 主要符号对照表 |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 研究现状与相关问题 |
| 1.2.1 SSL/TLS协议 |
| 1.2.2 认证授权协议 |
| 1.2.3 消息推送协议 |
| 1.2.4 移动支付协议 |
| 1.2.5 虚拟专用网络协议安全研究 |
| 1.3 研究内容与贡献 |
| 1.4 论文结构 |
| 第二章 背景知识与相关工作 |
| 2.1 背景知识 |
| 2.1.1 Android上的OAuth协议 |
| 2.1.2 Android上的OpenVPN协议 |
| 2.2 相关工作 |
| 2.2.1 协议逆向解析技术研究 |
| 2.2.2 开放授权协议安全研究 |
| 2.2.3 单点登录协议安全研究 |
| 2.2.4 密码算法误用安全研究 |
| 2.2.5 移动终端的安全传输协议 |
| 2.3 本章小结 |
| 第三章 Android平台OAuth协议的实现安全性研究 |
| 3.1 问题概述 |
| 3.2 协议模型与攻击面 |
| 3.2.1 协议模型 |
| 3.2.2 Android平台用户代理 |
| 3.2.3 潜在攻击面 |
| 3.3 一种新的安全审计方案——Auth Droid |
| 3.3.1 协议分析模型 |
| 3.3.2 安全审计方案 |
| 3.3.3 典型安全问题 |
| 3.4 实验结果 |
| 3.4.1 服务器提供商实现不一致性 |
| 3.4.2 服务器应用商错误实现 |
| 3.4.3 MBaaS错误实现 |
| 3.4.4 典型误用案例分析 |
| 3.5 本章小结 |
| 第四章 基于OAuth的单点登录系统安全性分析 |
| 4.1 问题概述 |
| 4.2 协议模型及威胁模型 |
| 4.2.1 基于OAuth的单点登录方案 |
| 4.2.2 OAuth授权与认证的区别 |
| 4.2.3 威胁模型 |
| 4.3 单点登录协议分析方案 |
| 4.3.1 方案概述 |
| 4.3.2 数据收集 |
| 4.3.3 威胁模型 |
| 4.3.4 分析方法 |
| 4.4 分析结果 |
| 4.4.1 不同平台OAuth单点登录系统差异 |
| 4.4.2 多身份管理方案分析 |
| 4.4.3 漏洞原因分析 |
| 4.4.4 同一RP应用的不同平台实现分析 |
| 4.5 修复方案 |
| 4.5.1 现有方案的不足 |
| 4.5.2 可行的修复措施 |
| 4.6 本章小结 |
| 第五章 基于OIDC的单点登录系统安全性分析 |
| 5.1 问题概述 |
| 5.2 协议模型与威胁模型 |
| 5.2.1 协议模型 |
| 5.2.2 威胁模型 |
| 5.3 分析方案 |
| 5.3.1 方案概述 |
| 5.3.2 协议规范提取 |
| 5.3.3 服务请求消息篡改 |
| 5.3.4 Mobile-Web比较 |
| 5.4 分析结果 |
| 5.4.1 实验设置 |
| 5.4.2 分析结果 |
| 5.5 漏洞原因分析与修复 |
| 5.5.1 模糊的协议实现规范 |
| 5.5.2 缺失的服务器端校验 |
| 5.5.3 修复建议 |
| 5.6 本章小结 |
| 第六章 Android平台OpenVPN协议的安全性分析 |
| 6.1 问题概述 |
| 6.2 协议模型 |
| 6.2.1 Android平台OpenVPN工作流程 |
| 6.2.2 Android平台SSL/TLS协议的实现 |
| 6.3 分析方案 |
| 6.3.1 威胁模型 |
| 6.3.2 针对OpenVPN应用的两种新型攻击 |
| 6.3.3 分析方法 |
| 6.4 分析结果 |
| 6.4.1 SSL/TLS协议的加固缺失 |
| 6.4.2 通信双方认证实现错误 |
| 6.4.3 密码算法错误实现 |
| 6.4.4 加固方法讨论 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 研究展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
| 攻读学位期间参与的项目 |
| 攻读学位期间申请的专利 |
(9)新型网络可信身份管理与认证关键技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 网络身份可信问题 |
| 1.1.2 网络身份管理认证现状 |
| 1.2 本文工作 |
| 1.2.1 基于区块链网络证书透明审计与撤销发布方法BRT |
| 1.2.2 基于区块链网络编号可信分配管理基础设施BGPCoin |
| 1.2.3 基于混合域的高安全可撤销身份基加密算法ARIBE和 U-RHIBE |
| 1.2.4 网络路由自认证授权通告与聚合认证机制SIRAA |
| 1.3 论文组织结构 |
| 第二章 相关技术及研究 |
| 2.1 基于传统公钥的网络身份可信管理 |
| 2.1.1 控制平面身份可信管理 |
| 2.1.2 数据平面身份可信管理 |
| 2.2 基于自信任身份的网络可信身份管理 |
| 2.2.1 基于身份基密码的网络可信身份管理与认证 |
| 2.2.2 基于身份基密码的自认证网络密钥撤销 |
| 2.3 基于去中心化信任的网络可信身份管理 |
| 2.3.1 区块链支撑技术 |
| 2.3.2 去中心化网络可信身份管理 |
| 第三章 基于区块链的网络证书透明审计与撤销发布方法BRT |
| 3.1 问题需求与基本思路 |
| 3.1.1 问题威胁模型 |
| 3.1.2 现有方法及不足 |
| 3.1.3 本章主要工作 |
| 3.2 BRT的关键数据结构及算法 |
| 3.2.1 BRT的 mercle树设计 |
| 3.2.2 BRT级联Cuckoo滤波器设计 |
| 3.3 BRT体系设计 |
| 3.3.1 基于区块链的SSL PKI证书信任管理 |
| 3.3.2 基于mercle树的链上链下证书签发审计方法 |
| 3.3.3 基于级联cuckoo滤波器的链上链下证书撤销发布方法 |
| 3.4 实验验证与性能评估 |
| 3.4.1 级联Cuckoo滤波器性能评估 |
| 3.4.2 BRT合约部署验证与开销评估 |
| 3.5 本章小结 |
| 第四章 基于区块链的网络编号可信分配管理基础设施BGPCoin |
| 4.1 问题背景与需求 |
| 4.1.1 功能及特性需求 |
| 4.1.2 主要开展工作 |
| 4.2 BGPCoin资源管理交易设计 |
| 4.2.1 功能建模 |
| 4.2.2 编号资源注册交易机制 |
| 4.2.3 编号资源撤销机制 |
| 4.2.4 BGPCoin合约中的数据结构 |
| 4.3 面向BGP安全的BGPCoin体系架构 |
| 4.3.1 BGPCoin架构及关键部件 |
| 4.3.2 BGPCoin_Client设计 |
| 4.3.3 BGPCoin_ROAServer设计 |
| 4.3.4 BGPCoin_Checker设计 |
| 4.4 BGPCoin优势分析 |
| 4.4.1 与RPKI的支撑基础设施比较 |
| 4.4.2 与RPKI的源路由证明机制比较 |
| 4.5 实验验证与性能评估 |
| 4.5.1 实验方法 |
| 4.5.2 私有模拟网络实验 |
| 4.5.3 公开测试网络实验 |
| 4.6 本章小结 |
| 第五章 基于混合阶群的高安全可撤销身份基加密算法ARIBE和 U-RHIBE |
| 5.1 现有方案不足与需求 |
| 5.2 高效密钥更新方法 |
| 5.3 密码方案预备知识 |
| 5.3.1 混合阶双线性群 |
| 5.3.2 ARIBE的数学难题假设 |
| 5.3.3 U-RHIBE的数学难题假设 |
| 5.4 密文匿名的可撤销身份基加密方案 |
| 5.4.1 实现思路 |
| 5.4.2 形式化定义及攻击博弈安全模型 |
| 5.4.3 ARIBE方案设计 |
| 5.4.4 算法安全性证明 |
| 5.4.5 效率比较分析 |
| 5.5 层次不受限的可撤销层次身份基加密方案 |
| 5.5.1 实现思路 |
| 5.5.2 形式化定义及攻击博弈模型 |
| 5.5.3 U-RHIBE方案设计 |
| 5.5.4 算法安全性证明 |
| 5.5.5 算法效率分析 |
| 5.6 本章小结 |
| 第六章 网络路由自认证授权通告与聚合认证机制SIRAA |
| 6.1 问题背景与需求 |
| 6.2 标准模型下层次身份不受限可撤销签名算法 |
| 6.2.1 形式化定义及攻击博弈模型 |
| 6.2.2 U-RHIBS签名算法 |
| 6.2.3 算法正确性验证 |
| 6.2.4 算法安全性证明 |
| 6.3 自表示路由授权与聚合认证机制 |
| 6.3.1 HIBPAS部分聚合层次签名设计 |
| 6.3.2 自表示路由授权与聚合认证 |
| 6.3.3 基于路径片段签名的聚合加速策略 |
| 6.4 安全性分析及效率评估 |
| 6.4.1 路由通告机制安全性分析 |
| 6.4.2 算法效率评估 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 本文总结 |
| 7.2 未来展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(10)构建多层次的互联网DNS系统安全防护体系(论文提纲范文)
| 1 背景 |
| 2 现状及问题 |
| 3 构建多层次的安全防护体系 |
| 3.1 省干出口路由器 |
| 3.2 地市业务路由器&BRAS |
| 3.3 DNS系统防火墙 |
| 3.4 DNS服务器 |
| 3.5 抗DDo S系统 |
| 3.6 监测点+内部防护 |
| (1) 递归攻击监控及告警 |
| (2) DOS&DDOS的递归攻击主动防护 |
| 4 总结 |
| 4.1 合理利用现网设备, 防护效果好, 投资低 |
| 4.2 递归攻击的监控及告警 |
| 4.3 递归攻击的自动防御与手工防御相结合 |
| 4.4 隐藏DNS系统的公网地址 |
四、域名系统的安全加固(论文参考文献)
- [1]基于中国蓝云的广电CII安全防护能力对比分析[J]. 张莹,董升来. 广播电视网络, 2021(12)
- [2]浏览器同源策略安全研究综述[J]. 罗武,沈晴霓,吴中海,吴鹏飞,董春涛,夏玉堂. 软件学报, 2021(08)
- [3]物联网智能终端入侵检测研究[D]. 黄媛媛. 北方工业大学, 2021(01)
- [4]从外网突破到内网纵深的自动化渗透测试方法设计与实现[D]. 徐小强. 北京邮电大学, 2021(01)
- [5]涉虚假App的电信网络诈骗犯罪侦查难点与对策研究[J]. 李玲玲,牛军生,蔡政. 中国人民公安大学学报(自然科学版), 2021(02)
- [6]基于蜜罐的内网威胁捕获系统的研究与实现[D]. 毛伟杰. 江苏科技大学, 2021
- [7]基于可信计算的docker容器加固方法[D]. 申宇昂. 北京工业大学, 2020(06)
- [8]移动终端环境若干典型协议的安全分析技术研究[D]. 王晖. 上海交通大学, 2020(01)
- [9]新型网络可信身份管理与认证关键技术研究[D]. 邢倩倩. 国防科技大学, 2018(12)
- [10]构建多层次的互联网DNS系统安全防护体系[J]. 程琦,陈灿. 现代电信科技, 2017(05)