【摘 要】
:
针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面.针对镜像层级文件系统组织结构复杂和层间关系难以获取等问题,通过分析配置文件,建立了dockerfile命令和镜像层的一一对应关系,并提取镜像中目标二进制程序;针对标准库中因系统调用号传值模式复杂造成系统调用识别困难问题,通过定义匹配模式,提出利用回溯法确定指定寄存器的值;针对映射表构建时因调用关系复杂引起的路
【机 构】
:
空天信息安全与可信计算教育部重点实验室,武汉大学国家网络安全学院,湖北武汉430072
论文部分内容阅读
针对现有解决方案在限制容器系统调用方面存在系统调用列表不完整和自动化程度差等问题,提出了基于系统调用限制的容器安全防护方案,旨在为任意给定Docker镜像自动化地定制所需系统调用白名单,减小攻击平面.针对镜像层级文件系统组织结构复杂和层间关系难以获取等问题,通过分析配置文件,建立了dockerfile命令和镜像层的一一对应关系,并提取镜像中目标二进制程序;针对标准库中因系统调用号传值模式复杂造成系统调用识别困难问题,通过定义匹配模式,提出利用回溯法确定指定寄存器的值;针对映射表构建时因调用关系复杂引起的路径爆炸和调用节点回环问题,提出基于邻接矩阵的函数映射关系提取算法表示调用关系.为评估该方案的有效性,选取了50个广泛使用的Docker镜像,然后分别为其定制所需系统调用白名单.实验结果表明,所有镜像均可正常运行,且平均所需系统调用数为127.通过选取近6年系统调用相关的软件漏洞,设置白名单后,约70%的通用漏洞披露(common vulnerabilities and exposures,CVEs)可以直接被拦截.
其他文献
中欧班列是推动“一带一路”倡议的重要支撑,科学合理地预测班列需求,对中欧班列运输方案的制定具有重要意义.以中欧班列铁路货运量预测为对象,统筹考虑中欧班列货运量的波动性和影响因素,提出一种基于组合输入指数平滑-遗传算法-反向传播(ES-GA-BP)神经网络的货运量预测方法.分析中欧班列货运现状,选取相关性高的影响因素作为神经网络输入;采用指数平滑法对波动较大的中欧班列货运量历史数据进行单项拟合预测,以优化神经网络输入;利用遗传算法优化反向传播神经网络参数,进一步提高预测精度;以“湘欧快线”国际运输通道货运集
城际客运通道不同时段交通供需矛盾日渐凸出,存在大量运输资源浪费的现象.为剖析高铁票价变动下不同时段各交通方式的客流敏感性情况,构建广义出行前景成本最小配流模型,计算城际客运通道内不同出行方式各时段的客流量,进一步构建客流敏感性模型及客流敏感度变化率模型.以中国天津至北京城际客运通道作为研究案例进行分析,结果表明,降低票价时各时段各交通方式的客流敏感度变化率接近线性增长;提高票价对各时段各交通方式的影响均较小;在相同票价浮动范围内,负供需差额时段高铁在票价降低和提高时客流敏感性均最大,票价降低对应客流敏感度
油气田开发中,水驱法仍然是最主要的开发方式,粗糙通道的存在对于两相流动的影响不可忽略.为研究油水两相在粗糙通道内的流动情况,采用直接求解纳维-斯托克斯(Navier-Stokes,N-S)方程的方法模拟两相流体在单一粗糙喉道中的驱替过程,采用相场法实时追踪两相界面.通过建立简单规则的粗糙通道模型,研究相对粗糙高度、水平粗糙单元间隙比和黏度比等因素对两相驱替速度及两相界面长度的影响.建立光滑通道模型作为对照实验,研究壁面粗糙性的存在对两相驱替的总体影响.最后建立复杂粗糙通道模型验证简单模型所得规律的正确性.
为提高线路可偏移式需求响应公交服务乘客比例,降低运营成本,提出改进的以DBSCAN聚类算法和k-means聚类算法为基础的D-k-means聚类算法,并依据乘客需求确定固定站点和备选站点,设计新型线路可偏移式需求响应公交服务系统,建立公交调度模型,并使用精确算法对模型进行求解;以中国广东省揭西县南部部分地区需求为例进行验证.结果表明,该模型服务乘客比例达95.3%,与区域灵活式公交相比,运营成本和运行时间分别降低了9%和5%,算法求解速度较快且稳定.
近些年,虚拟换衣和虚拟试鞋发展迅速,但是对于手表等腕饰佩戴系统的研究和应用较少.开展了一种使用Unity 3 D开发的基于深度视觉的腕饰试戴系统的研究与实现,通过移动端的深度相机获取手部骨骼及关节点信息,建立虚拟手部骨骼模型;通过构建骨骼模型和虚拟手表模型的映射,深度相机每帧获取的手部骨骼及关节点的信息可实时改变手表模型在手腕处的位置和姿态.方案能够很好地运用在在线手表、手饰试戴等领域.
共享停车平台根据供给车位和停车需求时间窗确定车位分配方案.为应对停车时发生提前到达或延迟离开等不确定情况,通过预留适当缓冲时间来增强车位分配方案的鲁棒性,进而构建了最大化平台收益和鲁棒性的车位分配问题双目标优化模型.利用加权和方法将双目标转化为单目标函数,加入辅助决策变量将非线性转化为线性模型.通过数值算例验证本方法的有效性,并对关键参数进行灵敏度分析.结果表明,在合理时间内,本方法能够求得算例的最优解及各项指标值.随着双目标调节系数的增大,平台收益分段增加,而鲁棒性分段下降.从不同调节系数得到的最优解中
为解决海绵城市建设中低影响开发(low impact development,LID)小区降雨径流滞后效应量化研究不足的问题,基于中国深圳市麻磡环保产业园内3种LID组合设施(停车场-雨水花园、屋面-高位生物滞留池-渗透铺装-植被草沟、屋面-高位生物滞留池-渗透铺装-植被草沟-雨水花园)的降雨径流连续观测数据,系统评估了LID对径流的滞留和滞后效应,分析了LID设施组合和降雨特征等对滞留和滞后效应的影响.结果表明,LID可滞留75.0%~86.5%的降雨量,且在累计滞留降雨量达到2.2~9.9 mm后才开
为促进轨道交通区域的公共交通引导开发(transit-oriented development,TOD)模式发展,需要对轨道站点区域进行一体化衔接设计,目前尚缺少全面考虑TOD特点的综合评价指标体系.基于TOD模式特征和乘客换乘满意度,提出TOD轨道站点与步行、常规公交及非机动车衔接设计的评价指标体系,获取定量和定性指标的分级标准.为获得相对客观全面的评价结果,设计一种优于单一评价方法的层次分析和云模型结合评价方法.以中国南京市新街口地铁站为案例进行指标与方法应用与检验,结果显示,该站与步行、常规公交及非
为研究双车事故中驾驶员伤害程度的影响因素及碰撞角色的交互作用,基于中国深圳市在2018—2020年的双车碰撞事故数据,利用随机森林算法计算特征变量的重要度以筛选出候选自变量,建立考虑碰撞角色的驾驶员受伤严重程度二元logit模型.结果表明,碰撞角色、事故责任、车型、事故形态、驾龄、能见度、车辆间碰撞形态、学历、道路等级、安全保护装置使用情况、路侧防护设施类型及照明条件与双车事故驾驶员的伤害程度显著相关;碰撞角色与车型和事故形态存在显著的交互效应.研究结果有助于深入理解双车事故中驾驶员伤害程度的影响机理,帮
可信密码模块是可信计算平台的信任源头.为可信密码模块开发模拟器对于可信计算教学、开发测试、工程验证都有重要意义.针对可信密码模块模拟器存在仅适用于特定标准、应用场景较为固定且不重视功能拓展的问题,本文提出了一种以模块化、软件定义数据结构的方式实现可重构可信密码模块模拟器的方法,并基于该方法实现了基于Cube可信软件基框架的可信密码模块模拟器,通过对该模拟器重构实现对不同接口的兼容、对象监控功能以及虚拟可信密码模块场景的支持.本文提出的方法可以灵活地构建不同类型的模拟器,并为按需改造模拟器提供了便利.模拟器