教学课程资源库 更多>>

关键词： 数据新闻   WebGIS   创新   媒体融合   Java技术  

摘要： 数据新闻经过六十多年的发展，已逐渐成为新闻生产的重要方式之一。当下，数据新闻生产的价值愈发凸显，并呈现出以大数据为基础对数据进行量化分析、新闻生产过程中追求数据的可视化、注重数据的新闻价值等特点。本文旨在以Web GIS为例，进行数据新闻模式创新尝试，探索二者融合的可能性，为数据新闻的发展提供更多的可研究领域。

关键词： Java字节码   代码混淆   不透明谓词   混沌映射   控制流平坦化  

摘要： 随着网络和计算机技术的飞速发展，软件程序已经成为人们生活和工作中不可或缺的一部分，随之而来的软件安全问题也日益突出。Java字节码文件包含了完备的源码信息，在逆向分析中更加容易被破解，导致其核心算法甚至源代码被窃取。代码混淆作为一种针对软件逆向分析的对抗性技术，通过对原程序进行混淆变换，可以有效降低原程序的可读性，增大理解程序逻辑的难度，进而起到保护原程序的作用。　　在代码混淆领域，利用不透明谓词实现混淆变化是目前研究领域的一个热门课题。为了改善现有不透明谓词存在的密码安全性低，易于破解等问题。本文基于混沌理论，提出了两类新的基于混沌映射构造混沌不透明谓词的算法;然后基于两类混沌不透明谓词，设计了针对Java字节码的分支路径混淆方案和改进的控制流平坦化混淆算法，并基于Soot框架构建了 Java字节码混淆系统原型。本文的主要工作如下:　　(1)设计构造混沌不透明谓词。基于混沌理论中非线性动力系统，提出了一种基于余弦级联的Logistic混沌映射结构，克服了现有Logistic混沌映射对初始值敏感性不足、迭代序列易在上下边界聚集、控制参数取值区间小等问题，具有更好的混沌特性;利用该混沌映射良好的初值敏感性和迭代序列分布均匀性，提出了二态混沌不透明谓词构造算法和多态混沌不透明谓词构造算法。　　(2)基于两类混沌不透明谓词，设计了两种针对Java字节码的混淆方案。首先，设计了基于二态混沌不透明谓词的分支路径混淆方案，包括:在顺序执行的程序中插入输出不同的不透明谓词，实现引入不同的虚假路径混淆;在判断分支中插入不透明谓词，强化原有分支判断结构;并且设计了一种基于不可规约策略的不透明谓词插入方法，扩大了不透明谓词的应用范围。其次，基于多态混沌不透明谓词，提出了一种改进的控制流平坦化算法，把平坦化结构中的状态变量用多态不透明谓词进行隐藏，并设计消除了在Java字节码层面平坦化操作后容易暴露操作痕迹的结构，减小了控制流平坦化的操作痕迹，提升了混淆强度。　　(3)基于Soot框架中提供的设计优良的Jimple型中间表示，构建了上述针对Java字节码的混淆系统原型，并从混淆后程序的正确性、复杂性、控制流图复杂性等方面对原型系统进行了测试分析。实验分析表明，利用混沌不透明谓词进行混淆变化可以有效提升程序的复杂度、控制流图复杂度，构建的混沌不透明谓词具有很高的安全性，混淆后的程序具有很高的混淆强度，能够有效的增加逆向破解的难度，可以起到保护原程序的目的。

关键词： 无文件攻击   Webshell检测   RASP监控   污点分析  

摘要： 近年来,随着互联网技术的飞速发展,Web应用被广泛开发使用,针对Web应用的网络攻击也越来越多,Webshell作为最为常见的攻击手段之一,给Web应用的安全性造成严重威胁。现有常用的防护检测技术,虽然能够有效识别并删除传统文件上传型Webshell,在一定程度上保障Web应用安全,但是,却对无文件攻击方式的新型Webshell攻击无能为力。Java内存Webshell作为一种无文件落地的Webshell技术,它将可执行代码留在内存当中,隐蔽性更高,给检测带来极大的难度。目前,专门针对Java内存Webshell检测技术的研究较少,处于起步阶段。少部分开源工具提供了 Java内存Webshell检测功能,但是仅支持检测个别类型的Java内存Webshell,漏报率较高,检测效果不佳。基于此,本文展开基于程序分析的Java内存Webshell检测技术研究与实现,主要工作和创新点如下:1)提出基于类调用信息的动态Java内存Webshell检测方法。该方法通过动态RASP监控获取敏感方法被触发时的类调用信息,基于类调用信息从Java虚拟机中有效筛选可疑类,并通过检测可疑类对应字节码加载路径是否异常判定Java内存Webshell。2)提出基于污点分析的静态Java内存Webshell检测方法。该方法通过定义污点源、污点汇聚点以及污点传播规则,从代码层对可疑类做进一步分析,跟踪污点变量的传播过程以检测代码中存在的安全问题。3)搭建面向Java内存Webshell的原型检测系统。测试实验表明,该原型系统能够有效检测被恶意注入到内存中的Java内存型Webshell,与其他工具对比,该系统具有更高的检测率。

关键词： 微服务   静态分析   身份认证缺陷检测  

摘要： 随着互联网技术的发展,软件使用场景日趋复杂,应用程序的规模也逐渐增大,传统的单体应用已经无法支撑起如今巨大的访问量场景。近几年,微服务架构的出现解决了传统单体应用和垂直应用架构的不足。在今天,已经有许多微服务开发技术应用在生产环境中。在微服务快速发展的同时,微服务应用程序的安全问题也受到研究人员的广泛关注。其中,应用程序自身代码错误和设计缺陷导致的身份认证问题是困扰研究人员的主要问题之一。静态分析作为一项可以检测软件源代码安全性和规范性的重要技术,能够将代码中的问题提前暴露出来,降低了线上崩溃的风险,但是,要检测微服务身份认证缺陷,需要解决以下三个问题:(1)由于微服务的运行时特性使得静态分析在构造过程间调用图时不够精确,进而影响静态分析结果的准确性。(2)由于微服务快速且小范围地更新迭代特点,导致原本耗时就长的静态分析在微服务上会产生更多的重复分析进而增加耗时。(3)现有的身份认证缺陷检测方法存在人工成本高、检测环境搭建复杂、无法在开发阶段提前暴露缺陷的问题。为解决上述问题,本文提出了运行时特性解析算法,实现了对调用图缺失调用边的补全;提出了调用图增量更新算法,有效减少了微服务调用图构造耗时。本文在这两项关键技术的基础上实现了基于静态分析的微服务身份认证缺陷检测算法,该算法从源码角度分析,无需搭建受检程序运行环境,在少量人工配置下即可准确高效地完成微服务身份认证缺陷检测,将缺陷在开发阶段提前暴露出来,有效维护了用户的隐私数据和财产安全。本文具体工作与创新点如下:(1)针对Java微服务应用程序中存在的运行时特性,导致静态分析在构造过程间调用图时丢失调用边的问题,本文为过滤器、拦截器等五类在Java微服务应用中常见的运行时特性,分别设计了相应的解析算法,解决了调用图运行时调用关系不完整的问题。本文通过与原生Soot构造调用图的对比实验,证明了运行时特性解析算法能够在保证调用图构造耗时基本不发生变化的情况下精准地捕捉到缺失的调用关系,并初步验证了运行时特性解析算法能够提升身份认证缺陷检测的准确性。(2)针对静态分析在处理频繁更新迭代的微服务应用时出现的构造调用图耗时劣化的问题,本文提出了基于变更集的微服务调用图增量更新方法,旨在减少构造调用图时产生的重复计算,进而达到缩短调用图构造耗时的目的。本文设计了三种操作:增加、删除、修改,以模拟应用的更新迭代,与原生Soot构造调用图的耗时进行对比。实验结果表明,微服务调用图增量更新算法在测试项目中平均耗时减少了 15.2%,并且随着迭代次数的增加,增量更新算法能够带来更多的耗时缩减收益。(3)针对现有身份认证缺陷检测技术成本高,且无法在代码开发阶段提前暴露缺陷的问题,本文在运行时特性解析和调用图增量更新两项关键技术的基础上,设计了微服务身份认证缺陷数据流分析算法,实现了通过追踪包含身份认证信息变量的传递流程来判断调用链路是否包含身份认证。此外,本文还设计并实现了微服务身份认证缺陷检测工具AuthStaticChecker。实验结果表明,本文算法能够有效地在微服务应用开发阶段从源代码角度提前暴露程序中存在的身份认证缺陷,并验证了本文算法相较于原生Soot分析具有更高的准确性和分析效率。

关键词： ERP系统   微服务架构   Spring Cloud   Java技术  

摘要： 随着经济社会的发展,企业为了提高管理效率、改善经营状况,广泛应用了企业资源规划(Enterprise Resource Planning,ERP)系统。ERP系统能够改善公司内部流程以提高核心竞争力并逐渐被各行各业认可,同时市场上也涌现出了很多新的应用形式和应用场景,随着企业经营业务的多样化,ERP系统逐渐集成了计划、采购、库存、销售、财务、人力资源等多方面的功能,但后台系统的开发、测试、运维也逐渐暴露出很多问题。通过对某公司实际生产经营活动中使用的ERP系统进行深入调研,发现单体架构下的ERP系统后台出现了代码复杂、工程文件臃肿、模块耦合度过高、系统运行性能低下及难以维护等缺点。针对上述问题本文结合微服务的理念对ERP系统后台进行微服务的设计与实现,提出基于微服务的ERP系统后台架构方案,对系统原有架构进行优化以提升系统整体的性能、扩展性和可靠性。首先本文介绍了微服务的基本概念和构建微服务所需用到相关开源组件的技术,对ERP现有系统分析后结合微服务高内聚、低耦合的思想设计了ERP系统后台整体架构方案。其次本文对系统各模块进行了详细的设计与实现。采用Spring Cloud框架并结合ERP系统的实际需求对注册中心、服务网关、日志中心等模块进行设计,实现了服务注册与发现、路由转发、访问限流、鉴权认证以及日志统一管理查看等功能。通过集成Feign客户端以及消息中间件,设计并实现了微服务间包括同步和异步两种方式的通信调用。以业务功能为边界,对单体系统进行微服务拆分出的系统管理、基础信息、商品中心、费用结算模块进行了实现,其中各个微服务模块有对应的独立数据库,支持单独进行开发,并基于Docker容器实现了各个微服务的部署。最后本文对基于微服务架构实现的ERP系统后台服务进行功能测试和性能对比测试,测试结果验证了该方案的可行性和优越性。

标准号: GB/T 41903.2-2022

摘要： 本文件规定了BioAPI Java框架和BioAPI Java BSP接口,与GB/T 41903.1-2022确立的组件相对应。本文件适用于面向对象的生物特征识别应用的Java编程接口的开发和应用。

关键词： 内存型Webshell   RASP   动态检测   静态检测  

摘要： 由于Web应用程序的复杂性和重要性,导致其成为网络攻击的主要目标之一。攻击者在入侵一个网站后,通常会植入一个Webshell,来持久化控制网站。但随着攻防双方的博弈,各种检测技术、终端安全产品被广泛应用,使得传统的以文件形式驻留的Webshell越来越容易被检测到,内存型Webshell成为新的趋势。内存型Webshell在磁盘上不存在恶意文件,而是将恶意代码注入到内存中,隐蔽性更强,不易被安全设备发现,且目前缺少针对内存型Webshell的检测技术。本文面向Java应用程序,总结内存型Webshell的特征和原理,构建内存型Webshell威胁模型,定义了高对抗内存型Webshell,并提出一种基于RASP(Runtime application self-protection,运行时应用程序自我保护)的动静态结合的高对抗内存型Webshell检测技术。针对用户请求,基于RASP技术监测注册组件类函数和特权类函数,获取上下文信息,根据磁盘是否存在文件以及数据流分析技术进行动态特征检测,在不影响应用程序正常运行的前提下,实时地检测;针对JVM中加载的类及对动态检测方法的补充,研究基于文本特征的深度学习静态检测算法,提升高对抗内存型Webshell的检测效率。实验表明,与其他检测工具相比,本文方法检测内存型Webshell效果最佳,准确率为96.45%,性能消耗为7.74%,具有可行性,并且根据检测结果可以准确定位到内存型Webshell的位置。

关键词： JAVA   SOA   数字化  

摘要： 随着各行业数字化建设的推进,如何构建高可用、可靠、扩展性好的数字化系统和平台成为业界研究的热点。通过介绍面向服务架构(Service-Oriented Architecture,SOA)和J2EE的Web技术,结合二者的优点,引入业务流行的前后台、服务总线、工作流等框架技术,分析设计一个基于SOA模型和J2EE的项目管理系统,给出对应的设计框架,最终实现面向服务。以服务为中心的系统的实现技术和方法,可为其他以服务为中心的系统实现提供方法指导和借鉴。

关键词： 案例驱动   项目驱动   校企合作   实践教学  

摘要： “Java框架技术”课程是高校计算机专业的一门专业课程,它是一门综合型课程,前导课程有“Java程序设计”“Web编程技术”“数据库原理及应用”“Web前端开发”等。为了满足社会对计算机软件人才的需求,高等院校计算机课程的开设要与社会需求匹配,一定要注重应用型人才的培养。“Java框架技术”课程主要教授软件开发的流行框架SSM,在教学过程中提高学生编程思维和实践能力至关重要。针对上述情况,笔者对教学内容进行重新设置,采用案例驱动式和项目驱动式的教学方式,并加强校企合作,重新制定课程评价体系。实践证明,该课程教学改革效果显著,与之前相比,教学效率明显提高,学生挂科率明显降低。