Systematic Approach for Web Protection Runtime Tools’Effectiveness Analysis 被引量：1

1

作者 Tomás Sureda Riera Juan Ramón Bermejo Higuera +2 位作者 Javier Bermejo Higuera Juan Antonio Sicilia Montalvo José Javier Martínez Herráiz 《Computer Modeling in Engineering & Sciences》 SCIE EI 2022年第12期579-599,共21页

Web applications represent one of the principal vehicles by which attackers gain access to an organization’s network or resources.Thus,different approaches to protect web applications have been proposed to date.Of th... Web applications represent one of the principal vehicles by which attackers gain access to an organization’s network or resources.Thus,different approaches to protect web applications have been proposed to date.Of them,the two major approaches are Web Application Firewalls(WAF)and Runtime Application Self Protection(RASP).It is,thus,essential to understand the differences and relative effectiveness of both these approaches for effective decisionmaking regarding the security of web applications.Here we present a comparative study between WAF and RASP simulated settings,with the aim to compare their effectiveness and efficiency against different categories of attacks.For this,we used computation of different metrics and sorted their results using F-Score index.We found that RASP tools scored better than WAF tools.In this study,we also developed a new experimental methodology for the objective evaluation ofweb protection tools since,to the best of our knowledge,nomethod specifically evaluates web protection tools. 展开更多

关键词 Web application Firewall(WAF) runtime application Self Protection(RASP) F-Score web attacks experimental methodology

在线阅读 下载PDF 职称材料

一种集成于超算作业调度系统应用的并行参数优化方法

2

作者 张文帅 李会民 +1 位作者 李京 潘必才 《计算机工程》 北大核心 2025年第7期59-67,共9页

随着高性能计算体系结构的发展,软件与硬件都具有多层的并行结构。当不同纵向层级与横向分组的计算任务被划分到不同节点的不同处理器时,存在非常多的分配方式。这些分配方式一般在运行时由用户输入的多个并行参数来确定,并对计算效率... 随着高性能计算体系结构的发展,软件与硬件都具有多层的并行结构。当不同纵向层级与横向分组的计算任务被划分到不同节点的不同处理器时,存在非常多的分配方式。这些分配方式一般在运行时由用户输入的多个并行参数来确定,并对计算效率影响很大。随着计算规模与复杂度的提升,多个并行参数的可配置空间越来越大,用户越来越难以确定最佳的并行参数值。这类运行时优化问题在科学计算应用中较为普遍,但相关的研究与解决方法比较少见。以VASP(Vienna Ab initio Simulation Package)应用为例,首先分析了该应用的多层并行结构,展示了不同并行参数配置引发的巨大运行速度差异。然后提出了一个基于约化并行效率指标的全自动运行优化方法,其不仅可以帮助用户简单快捷地确定最佳应用并行参数,而且可以帮助用户确定最佳的计算资源使用量,使应用可以高效率地扩展到大规模的并行计算中。最后将该优化方法与计算集群作业调度系统相融合应用于用户提交的真实VASP计算作业。统计结果表明,该方法显著提升了作业运行速度与超算资源的使用效率,具有很好的工程应用前景。 展开更多

关键词 并行计算 作业调度 运行时优化 超级计算 VASP应用

在线阅读 下载PDF 职称材料

状态转换图制导的ARP错误检测方法

3

作者 林高毅 崔展齐 +1 位作者 陈翔 郑丽伟 《软件学报》 北大核心 2025年第2期469-487,共19页

Android应用开发人员需要在保持应用频繁更新的同时快速检测出应用中Android运行时权限(Android runtime permission,ARP)错误.现有的Android应用自动化测试工具通常未考虑ARP机制,无法有效测试Android应用内的权限相关行为.为帮助开发... Android应用开发人员需要在保持应用频繁更新的同时快速检测出应用中Android运行时权限(Android runtime permission,ARP)错误.现有的Android应用自动化测试工具通常未考虑ARP机制,无法有效测试Android应用内的权限相关行为.为帮助开发人员快速检测出应用中ARP错误,提出状态转换图制导的Android应用运行时权限错误检测方法.首先,对被测应用APK文件进行权限误用分析,插桩APK文件中可能导致ARP错误的API,并对APK文件重新签名;然后,安装插桩后的APK文件,动态探索应用以生成其状态转换图(state transition graph,STG);最后,使用STG制导自动化测试,快速检测出应用中ARP错误.基于所提出方法实现原型工具RPBDroid,并与ARP错误动态检测工具SetDroid、PermDroid和传统自动化测试工具APE进行对比实验.实验结果表明,RPBDroid成功检测出17个应用中的15个ARP错误,比APE、SetDroid、PermDroid分别多14、12和14个.此外,相比于测试工具SetDroid、PermDroid和APE,RPBDroid检测ARP错误的平均用时分别减少86.42%、86.72%和86.70%. 展开更多

关键词 ANDROID应用 Android运行时权限错误 权限误用 自动化测试工具 状态转换图

在线阅读 下载PDF 职称材料

基于RASP和机器学习的SQL注入检测方法

4

作者 秦泽坤 聂闻 +1 位作者 董林旺 骆明华 《信息技术》 2025年第3期69-75,85,共8页

为了在DevOps环境下对Web应用的SQL注入进行有效防御,针对目前检测SQL注入方法中的问题,提出了一种基于RASP(Runtime Application Self-Protection,运行时应用自我保护)和机器学习的SQL注入检测方法。使用RASP技术通过监控应用程序的执... 为了在DevOps环境下对Web应用的SQL注入进行有效防御,针对目前检测SQL注入方法中的问题,提出了一种基于RASP(Runtime Application Self-Protection,运行时应用自我保护)和机器学习的SQL注入检测方法。使用RASP技术通过监控应用程序的执行过程,在攻击发生时及时识别并阻止恶意SQL语句的执行,通过结合机器学习算法来对SQL注入攻击进行自动化识别和分类,对输入的SQL语句是否包含恶意注入代码进行准确的判断。实验表明,成功拦截了SQLMAP等级三发送的225条SQL注入请求中的219条攻击语句,证明该方案能够在不修改所防护应用程序的源码的情况下实现对SQL注入攻击的有效判断识别和拦截。 展开更多

关键词 SQL注入攻击 运行时应用自我保护 ALBERT 逻辑回归 DevSecOps

在线阅读 下载PDF 职称材料

Runtime model based approach to IoT application development 被引量：1

5

作者 Xing CHEN 《Frontiers of Computer Science》 SCIE EI CSCD 2015年第4期540-553,共14页

The internet of things （loT） attracts great interest in many application domains concerned with monitoring and ：ontrol of physical phenomena. However, application devel- opment is still one of the main hurdles to a... The internet of things （loT） attracts great interest in many application domains concerned with monitoring and ：ontrol of physical phenomena. However, application devel- opment is still one of the main hurdles to a wide adoption of IoT technology. Application development is done at a low level, very close to the operating system and requires pro- grammers to focus on low-level system issues. The under- lying APIs can be very complicated and the amount of data collected can be huge. This can be very hard to deal with as a developer. In this paper, we present a runtime model based approach to IoT application development. First, the manage- ability of sensor devices is abstracted as runtime models that are automatically connected with the corresponding systems. Second, a customized model is constructed according to a personalized application scenario and the synchronization be- tween the customized model and sensor device runtime mod- els is ensured through model transformation. Thus, all the application logic can be carried out by executing programs on the customized model. An experiment on a real-world ap- plication scenario demonstrates the feasibility, effectiveness, and benefits of the new approach to IoT application develop- ment. 展开更多

关键词 IoT application development software architec-ture models at runtime

原文传递

应用运行时的数据防护技术研究和应用

6

作者 马永辉 解小军 +2 位作者 兰俊杰 杨彦祥 陈建林 《信息安全与通信保密》 2024年第12期57-65,共9页

随着信息技术的飞速发展,数据安全成为企业和个人面临的重大挑战。应用运行时的数据防护是指为保护应用中的数据免受未经授权的访问、泄露、篡改或破坏而采取的一系列安全措施。这些措施通常涵盖技术、管理和法律等多个层面,以确保数据... 随着信息技术的飞速发展,数据安全成为企业和个人面临的重大挑战。应用运行时的数据防护是指为保护应用中的数据免受未经授权的访问、泄露、篡改或破坏而采取的一系列安全措施。这些措施通常涵盖技术、管理和法律等多个层面,以确保数据的机密性、完整性和可用性,当前主流的数据防护技术包括加密技术、访问控制、数据脱敏、入侵检测系统等。从应用程序的数据安全维度出发,研究应用运行时面向切面的数据加解密、监测、脱敏技术,介绍了一种基于Java Agent探针对Java应用程序读写数据时的保护技术实现,该技术可以有效地保护应用程序中的敏感数据,并提供实时的安全监测和脱敏功能。实验结果表明,该技术具有较高的安全性和可靠性,可以为数据安全领域提供有效的解决方案。 展开更多

关键词 JavaAgent 面向切面应用 应用运行时 加解密 监测 脱敏

在线阅读 下载PDF 职称材料

应用程序运行时防护技术的实现研究

7

作者 刘旭 冯义磊 +2 位作者 戴发玉 武梦娟 崔粉霞 《移动信息》 2024年第4期328-330,共3页

文中重点介绍了应用程序运行时的自我防护机制,实现了满足信息化系统三级等保安全防护要求的应用系统安全防护能力。通过RASP安全防护理念,文中自研实现了一套应用运行时的安全防护组件,包括攻击监测、安全加固、安全检查、规则维护等... 文中重点介绍了应用程序运行时的自我防护机制,实现了满足信息化系统三级等保安全防护要求的应用系统安全防护能力。通过RASP安全防护理念,文中自研实现了一套应用运行时的安全防护组件,包括攻击监测、安全加固、安全检查、规则维护等功能。通过java探针技术的集成,满足安全模块对应用的无侵入集成方式。经过实验证明,该方法不但解决了web应用安全问题,且对性能无明显影响。 展开更多

关键词 AGENT技术 RASP安全防护 应用运行时安全防护

在线阅读 下载PDF 职称材料

GB/T 37931-2019在商业银行安全防控场景研发阶段的应用实践

8

作者 奚杰 王雨琪 王晶 《信息技术与标准化》 2024年第S01期77-82,共6页

为提高商业银行在研发阶段的安全漏洞防控能力,将新型安全技术与创新管理思维相结合,以“安全左移”为核心理念,依据GB/T 37931—2019《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》,开展标准的解读、设计及验证活动,... 为提高商业银行在研发阶段的安全漏洞防控能力,将新型安全技术与创新管理思维相结合,以“安全左移”为核心理念,依据GB/T 37931—2019《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》,开展标准的解读、设计及验证活动,打造研发阶段应用安全防控平台,实现运行时防护、交互式检测、DevSecOps安全门禁等功能。该平台能准确掌握应用内部漏洞信息、主动发现、高效预警、紧急阻断,显著提高金融系统应用安全漏洞的检测效率、精度和效益,助力企业构建灵活高效的纵深防护体系。 展开更多

关键词 信息安全 安全左移 GB/T 37931—2019 金融系统 运行时防护 交互式检测

在线阅读 下载PDF 职称材料

面向移动终端的HTML5应用运行环境研究 被引量：8

9

作者 陆钢 区洪辉 +1 位作者 梁柏青 李蓉蓉 《电信科学》 北大核心 2013年第5期40-44,49,共6页

新一代Web标准HTML5,已成为未来移动互联网应用平台的通用技术标准,基于HTML5的移动Web应用正逐渐成为新兴的应用形式,HTML5应用运行环境作为移动Web应用的重要载体,在Web应用生态系统中具有核心位置。首先分析了移动Web应用的现状和可... 新一代Web标准HTML5,已成为未来移动互联网应用平台的通用技术标准,基于HTML5的移动Web应用正逐渐成为新兴的应用形式,HTML5应用运行环境作为移动Web应用的重要载体,在Web应用生态系统中具有核心位置。首先分析了移动Web应用的现状和可能的发展趋势,其次研究了HTML5应用运行环境的功能架构,并分析了相关的关键技术,最终提出了面向移动终端的HTML5应用运行环境技术方案。 展开更多

关键词 HTML5应用运行环境 移动Web应用 移动终端

在线阅读 下载PDF 职称材料

面向服务的网络化仿真及运行支撑平台研究 被引量：9

10

作者 孙黎阳 毛少杰 林剑柠 《计算机科学》 CSCD 北大核心 2011年第3期159-161,178,共4页

针对分布式仿真技术的发展,结合军事领域内仿真系统构建和运行的军事需求,以面向服务技术为基础,提出了面向服务的网络化仿真构建和运行模式,以满足未来军事系统中仿真的新需求。介绍了网络化仿真的概念及特征,详细分析了网络化仿真运... 针对分布式仿真技术的发展,结合军事领域内仿真系统构建和运行的军事需求,以面向服务技术为基础,提出了面向服务的网络化仿真构建和运行模式,以满足未来军事系统中仿真的新需求。介绍了网络化仿真的概念及特征,详细分析了网络化仿真运行支撑平台以及相关核心服务,重点研究了运行支撑平台体系结构以及网络化仿真应用服务的构建与运行。最后给出了案例分析,进一步对运行支撑平台进行了说明。 展开更多

关键词 面向服务 网络化仿真 运行支撑平台 仿真应用服务

在线阅读 下载PDF 职称材料

校级统一信息系统应用支撑环境建设研究 被引量：2

11

作者 袁芳 苗春雨 刘乃嘉 《实验技术与管理》 CAS 北大核心 2011年第4期9-11,24,共4页

如何保障信息系统的良好运转使其发挥应用效益,是高校信息化建设持续发展的重要保障。结合统一信息系统建设发展趋势,提出了信息系统应用支撑环境建设的内容,并介绍了清华大学在统一信息系统应用支撑环境建设过程中的实践和应用效果。

关键词 校级统一信息系统 应用运行环境 应用架构 应用优化 应用安全

在线阅读 下载PDF 职称材料

基于Web运行环境的Android原生应用管理研究 被引量：7

12

作者 刘秀秀 潘梁 +1 位作者 郭志川 胡琳琳 《网络新媒体技术》 2015年第4期35-40,共6页

针对当前Web应用和Android原生应用共赢发展的趋势,以及Web应用在Web运行环境中管理;Android原生应用在Android启动器中管理的现状,为方便用户的操控,设计实现了在"Android操作系统+基于Webkit内核的浏览器+Web生命周期管理"... 针对当前Web应用和Android原生应用共赢发展的趋势,以及Web应用在Web运行环境中管理;Android原生应用在Android启动器中管理的现状,为方便用户的操控,设计实现了在"Android操作系统+基于Webkit内核的浏览器+Web生命周期管理"的平台中管理Android原生应用的方法。该方法的实现过程为首先通过Java语言管理Android原生应用,其次使用C++语言通过JNI接口封装Java方法,然后在DOM中注册该方法,最后在主页面中使用该JavaScript接口,达到将Android原生应用与Web应用统一管理的目的。最后通过点击操作,验证了本文中方法的可行性。 展开更多

关键词 应用管理 原生应用 WEB应用 Web运行环境 JAVA本地接口 JavaScript扩展

在线阅读 下载PDF 职称材料

基于马尔可夫的Web应用生存性模型 被引量：1

13

作者 秦志光 宋旭 +1 位作者 耿技 陈伟 《计算机应用》 CSCD 北大核心 2013年第2期400-403,共4页

针对现有生存性模型缺乏实践指导意义及不能刻画Web应用特性的问题,对Web应用的特点进行讨论,尤其是对原子Web应用和组合Web应用的区别及特点进行探讨,重点考虑了如何对组合Web应用中各原子Web应用之间的调用关系进行分析和建模;同时通... 针对现有生存性模型缺乏实践指导意义及不能刻画Web应用特性的问题,对Web应用的特点进行讨论,尤其是对原子Web应用和组合Web应用的区别及特点进行探讨,重点考虑了如何对组合Web应用中各原子Web应用之间的调用关系进行分析和建模;同时通过将环境引入到生存性的分析中,分别构建了原子Web应用的生存性模型和基于马尔可夫过程模型的组合Web应用生存性模型。根据建立的Web应用生存性模型,提出一个在Web应用处于不利环境中时,部分或全部服务失效情况下的恢复方案。最后通过已建立的模型对一个案例进行了分析,给出了其恢复过程,在恢复过程中保证了较好的生存性。 展开更多

关键词 原子Web应用 组合Web应用 生存性 运行环境 恢复 马尔可夫过程模型

在线阅读 下载PDF 职称材料

BREW及其应用开发 被引量：8

14

作者 孙睿 《计算机应用研究》 CSCD 北大核心 2004年第1期188-190,共3页

BREW是在移动数据增值应用开发领域出现的新技术。对BREW技术及其应用开发环境进行了介绍,对基于BREW环境进行新一代无线移动数据应用开发的方法和过程进行了深入探讨,并指出了开发中应注意解决的问题。

关键词 BREW 移动计算 移动数据应用

在线阅读 下载PDF 职称材料

用MATLAB运行时服务器开发应用程序 被引量：2

15

作者 史正平 《福州大学学报（自然科学版）》 CAS CSCD 2004年第4期502-505,共4页

从提高编程效率和缩短开发周期的角度出发,结合实例提出了运用MATLAB运行时服务器开发应用程序时通常遇到的一些问题,并给出了普遍的解决方法.

关键词 MATLAB运行时服务器 应用程序 函数 命令

原文传递

情境应用研究现状及关键问题

16

作者 魏永山 孙忠林 +1 位作者 张峰 陈欣 《计算机工程与设计》 CSCD 北大核心 2009年第17期3978-3982,共5页

针对企业与大众用户需求的日益多样化和复杂化问题,从情境应用的背景出发,重点分析了情境应用的主要特点及其典型应用,然后从情境应用的软件架构、开发工具及支撑平台等方面介绍了研究现状,分析了在资源获取、组织、选取与推荐等方面的... 针对企业与大众用户需求的日益多样化和复杂化问题,从情境应用的背景出发,重点分析了情境应用的主要特点及其典型应用,然后从情境应用的软件架构、开发工具及支撑平台等方面介绍了研究现状,分析了在资源获取、组织、选取与推荐等方面的关键问题,然后讨论了Mashup与信息资源汇聚的联系,并从信息集成的视角给出Mashup的一个定义。从相应的研究得知,Mashup作为情景应用的一种重要的表现形式,是构建用户主导、即时资源汇聚应用的一种有效方法。 展开更多

关键词 情境应用 信息资源汇聚 信息集成 MASHUP 即时资源汇聚

在线阅读 下载PDF 职称材料

Wingrid-面向参数扫描应用的网格计算系统

17

作者 刘文懋 张伟哲 张宏莉 《计算机工程与应用》 CSCD 北大核心 2006年第A01期29-32,47,共5页

参数扫描应用在计算网格环境下扮演十分重要的角色。在Wingrid项目中,我们提出并实现了一种面向参数扫描的自适应调度机制。客户端,主节点和从节点的调度基础设施,以及基于领导节点的通信系统能够改善调度的效率。同时,我们比较了自适应... 参数扫描应用在计算网格环境下扮演十分重要的角色。在Wingrid项目中,我们提出并实现了一种面向参数扫描的自适应调度机制。客户端,主节点和从节点的调度基础设施,以及基于领导节点的通信系统能够改善调度的效率。同时,我们比较了自适应workqueue算法和标准启发式调度算法。实验结果显示大网络延迟下,启发式调度算法效率高于workqueue算法,在各种启发式算法中,min-min启发式算法的任务完成时间最小。 展开更多

关键词 网格计算 参数扫描应用 启发式调度 运行时自适应调度 领导节点

在线阅读 下载PDF 职称材料

基于可信计算的Java智能卡的设计与实现 被引量：1

18

作者 许天亮 方勇 《微计算机信息》 2009年第17期45-47,共3页

本文针对Java智能卡的安全问题,提出了一种新的解决方案——将可信计算技术引入到Java智能卡的设计与实现中,以可信计算在安全认证方面的优势来解决智能卡的安全问题。文章首先从硬件方面对该方案的可行性进行了分析,然后从类库、虚拟... 本文针对Java智能卡的安全问题,提出了一种新的解决方案——将可信计算技术引入到Java智能卡的设计与实现中,以可信计算在安全认证方面的优势来解决智能卡的安全问题。文章首先从硬件方面对该方案的可行性进行了分析,然后从类库、虚拟机和运行时环境三个方面介绍了如何实现Java智能卡,最后并着重介绍了可信机制的构建。 展开更多

关键词 可信计算 JAVA智能卡 类库 虚拟机 运行时环境

在线阅读 下载PDF 职称材料

SQL注入攻击本质研究及现有防范技术缺陷分析 被引量：1

19

作者 邹本娜 《计算机安全》 2013年第2期35-37,共3页

绝大多数的数据库和Web应用安全问题是由于用户的错误输入导致的。分析了当今广泛采用的众多技术,如过滤技术和静态分析技术,在SQLIA防范中存在弱点和缺陷,指出必须解决由Web系统动态构造SQL语句的非结构化所带来的语义鸿沟问题,才能根... 绝大多数的数据库和Web应用安全问题是由于用户的错误输入导致的。分析了当今广泛采用的众多技术,如过滤技术和静态分析技术,在SQLIA防范中存在弱点和缺陷,指出必须解决由Web系统动态构造SQL语句的非结构化所带来的语义鸿沟问题,才能根除SQLIA的结论。 展开更多

关键词 SQLIA WEB应用 过滤技术 静态分析

在线阅读 下载PDF 职称材料

基于RASP技术的Java Web框架漏洞通用检测与定位方案 被引量：22

20

作者 邱若男 胡岸琪 +1 位作者 彭国军 张焕国 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2020年第3期285-296,共12页

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)... 针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88.2%,且该方案性能消耗小。 展开更多

关键词 运行时应用自我保护 漏洞定位 攻击检测 Java Web

原文传递