共查询到20条相似文献,搜索用时 20 毫秒
1.
信息安全漏洞分析回顾与展望 总被引:3,自引:0,他引:3
吴世忠 《清华大学学报(自然科学版)》2009,(Z2)
漏洞(脆弱性)是引发信息安全问题的重要原因之一,漏洞分析日益成为信息安全理论研究和实践工作中一个热门又敏感的领域。本文对国内外漏洞分析领域的主要研究内容、方式、方法、技术、工具以及漏洞分析工作的现状做了简要回顾和综述,展望了信息安全漏洞分析工作的未来发展。 相似文献
2.
漏洞是引发信息安全问题的重要因素,对漏洞发生情况进行分析预测值得关注。针对信息安全漏洞数据库中的漏洞数据,基于CWE构建信息安全漏洞本体,形成漏洞领域语义基础,采用Apriori关联算法,对软件中漏洞发生情况进行分析预测。在数据挖掘的数据预处理阶段借助该语义知识,通过将低概念层级的漏洞数据泛化至高概念层级,提高项集的支持度,挖掘出隐藏的关联规则;在关联规则评估阶段通过设计基于用户关注度的规则筛选器ADARF和RDARF,实现了根据用户关注度找出符合用户兴趣度的规则;基于CNNVD漏洞库的实验证明了上述方法的有效性。 相似文献
3.
软件漏洞产业:现状与发展 总被引:1,自引:0,他引:1
软件漏洞与信息安全息息相关。本文阐述了21世纪以来软件漏洞产业现状、技术进展和相关经济学研究成果。并将软件漏洞产业划分成3个环节:上游的漏洞发现,中游的安全信息提供机构(SIP),以及下游的各种行业应用。本文认为软件漏洞的根源来自于技术和经济两方面。本文建议:中国应从SIP的枢纽作用、关键工具和基础设施的研制等方面发展软件漏洞产业。 相似文献
4.
随着计算机技术的成熟和Internet技术在各行各业的应用,信息安全问题变得越来越重要.各种各样的软件漏洞可能会被病毒、木马利用而产生各种各样的信息安全问题.在所有的软件漏洞中,数据驱动型漏洞是最常见的、也是最容易被利用的漏洞之一.目前的检测工具往往不够深入,仍然存在许多的不足.该文提出了一种基于语义分析的数据驱动型漏洞的静态检测算法.该算法定义了漏洞的词法成分和语法成分,在词法分析和语法分析的基础上,实现了对漏洞的语义层次检测.与传统的采用编译原理方法实现的静态检测工具相比,本算法实现了对数据驱动型漏洞更准确的检测.最后,设计并实现了一个静态检测原型系统,并通过实验证明了系统的有效性. 相似文献
5.
近年来,软件漏洞已成为系统安全与攻防对抗的核心要素,随着软件数量的增加和规模的复杂化,漏洞数量逐年增加,而依赖于人工的漏洞分析与利用生成已难以满足现实需求,漏洞的自动分析和利用生成是亟待解决的难点问题.现有研究已经取得了相关的成果,文章从控制流劫持漏洞自动利用、面向堆漏洞的自动分析与利用、安全机制自动化对抗方法和综合性的漏洞自动利用框架等四个方面介绍当前软件漏洞自动利用研究进展,进而分析未来软件漏洞自动利用发展趋势. 相似文献
6.
7.
结合fuzzing技术、API序列特征匹配技术及特征函数参数检测技术等,开发研究了一种新的软件漏洞检测系统。能有效发掘Window环境下的软件中潜在的未知安全漏洞,提高了软件漏洞检测效率。 相似文献
8.
针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。 相似文献
9.
针对美国国家漏洞数据库(National Vulnerability Database,NVD)中开源软件的漏洞,设计并实现了漏洞补丁采集与分析系统。该系统能自动采集漏洞补丁文件,生成漏洞补丁库。基于漏洞补丁数据,提取补丁特征并进行分类整理,为不同类型漏洞提供有效的漏洞检测方法等研究提供了数据和分析基础。 相似文献
10.
Fuzzing是一种自动化发掘软件漏洞的技术。论文在介绍Fuzzing测试的基础上,结合MS Word的特点,提出了一种基于Fuzzing测试的MS WORD漏洞挖掘方法,并以MS06-027漏洞为例,介绍了该方法在MS WORD漏洞检测中的应用。 相似文献
11.
格式化字符串漏洞是一种常见的危害较大的软件漏洞.现有格式化字符串漏洞自动验证系统未充分考虑参数存储位置位于栈以外空间的情况,造成对该部分漏洞可利用性的误判.针对该问题,论文设计实现了一种基于符号执行的格式化字符串漏洞自动验证方法,首先根据参数符号信息检测当前格式化字符串函数漏洞,然后分别构建参数存储于不同内存空间情况下的漏洞验证符号约束,最后利用约束求解自动得到漏洞验证代码,实现了格式化字符串漏洞的自动验证.在Linux系统下对不同类型测试程序进行了实验,验证了方法的有效性. 相似文献
12.
<正>引言计算机软件漏洞是指可以发展成为被人恶意利用的软件缺陷。软件漏洞是网络入侵与攻击行为的主要根源之一,漏洞分析技术是指利用一定的软硬件工具搜集、发现计算机软件漏洞的过程。近年来,网络安全环境不断恶化,美国花旗银行证实在2011年6月由于黑客利用软件漏洞入侵导致近36万北美地区的英航卡用户姓名、账号等信息被泄露。2011年底,CSDN用户名密码泄漏事件导致600万用户邮箱和其对应的明文密码被泄露。美国的软件漏洞分析技术一直处于国际领先地位,加州大学、斯坦福大学等著名院校进行了大量的研究工作,而微 相似文献
13.
随着人们工作、生活对网络依赖性的逐渐增强,导致了信息安全威胁的增加和安全事件的频繁出现,所以信息系统平台的建设重点已经转移到安全系统的建设上来,特别是漏洞的危害。本论述首先对信息系统技术进行了研究,并介绍了操作系统的安全漏洞、数据库的安全漏洞、TCP/IP协议的安全漏洞以及网络软件与网络服务的漏洞产生的后果,并对漏洞的产生提出了防范措施。 相似文献
14.
随着计算机技术的应用和普及,很多的信息处理都是借助计算机系统,这给人们带来极大便利的同时,也为我们的信息安全埋下了隐患,新形势下,如何实现计算机网络信息已经成为全球热议的话题。本文针对计算机信息安全存在的漏洞及如何提高信息安全的对策进行了探究,希望能促进计算机网络的信息安全。 相似文献
15.
随着电子信息在21世纪初期给世界带来的革命性的影响,计算机软件技术的应用已经普及到了几乎每一个行业。从简单的超市结算到复杂的工业生产中的数控机床,都离不电子芯片以及芯片中植入的计算机软件。而伴随着软件技术的大规模应用,软件的安全性,也就是我们常说的漏洞始越来越受到人们的关注。该文就针对我们现行的软件技术对计算机软件的漏洞检测以及更新做一个简要的分析。 相似文献
16.
现阶段已有很多Android应用软件的自动化漏洞检测方法,针对现有漏洞检测方案仍然依赖于先验知识并且误报率较高的问题,本文研究了基于机器学习的Android应用软件组件暴露漏洞的分析方法.在对Android应用软件结构进行全方位分析的基础上,结合组件暴露漏洞模型,建立了相应的机器学习系统,并能够对Android漏洞特征进行提取、数据清理和向量化.结合人工分析与验证,建立了1 000个Android APK样本集,并通过训练实现了组件暴露漏洞的自动化识别,达到了90%以上的精确度. 相似文献
17.
随着互联网络的飞速发展,网络入侵行为日益严重,网络安全成为人们的关注点。网络安全扫描技术是网络安全领域的重要技术之一,对其概念、分类进行了概述,并对其中的两种主要技术——端口扫描技术和漏洞扫描技术以及它们的原理分别进行了详细阐述,并对漏洞扫描存在的一些问题提出了一些完善化的建议。 相似文献
18.
《广州大学学报(自然科学版)》2021,20(3)
近年来,随着模糊测试技术的发展,漏洞自动挖掘工作取得了较大研究进展,而漏洞自动利用研究进展相对缓慢。文章重点深入研究漏洞利用生成,旨在解决潜在漏洞仍需大量人工辅助进行利用性分析的问题,主要研究工作如下:(1)以Linux系统下的ELF文件为研究目标,综合考虑各种漏洞利用方式和缓解措施,提出自动化漏洞利用模型;(2)基于动态插桩获取程序对内存数据的读写情况,并在污点分析基础上提出了一种改进的内存信息获取技术,将程序对内存数据的读写情况记录成能够帮助漏洞利用生成的信息,并在Linux操作系统上实现了一个自动化漏洞利用系统(Exploiter),Exploiter针对目标程序以及使目标程序崩溃的异常输入,可输出一个在目标程序中打开的系统命令解析器。最后的实验结果验证了Exploiter的有效性和整体性能。 相似文献
19.
20.
将在工业设计领域应用很成功的模型检验技术引入到信息技术软件产品的安全漏洞挖掘中,提出了针对源码的漏洞挖掘系统原型,以开放源代码的操作系统Linux为例,建立了特权释放和文件创建的安全属性模型,并举例加以验证.研究结果表明:该方法是一种自动化挖掘软件安全漏洞并证明漏洞存在性的形式化方法,对挖掘已经确认机理类型的漏洞非常有效. 相似文献