基于粗糙集理论的主机安全评估方法

针对大多数安全评估系统不能评估漏洞的组合对网络安全危害的缺陷 ,提出采用粗糙集理论进行主机安全评估的方法 .该方法利用历史评估记录 ,把漏洞作为安全要素 ,在基于粗糙集理论的属性约简能力上 ,建立了安全评估模型以及具有安全要素、服务和主机 3个层次的安全风险度量模型 ,再结合安全要素和服务重要性因子进行加权 ,计算主机的安全风险 ,进而评估、分析系统的安全态势 .与其他方法相比 ,该方法能够自动建立基于规则的安全评估模型 ,评估单个安全要素和安全要素的组合对系统安全的威胁 ,且能够监控因系统配置改变引起的系统安全状态的变化 .通过仿真实验建立了系统安全态势曲线 ,从 7天的实验记录中还发现了 9条有用的评估规则 ,这表明采用该方法的评估结果更加准确、直观     

基于污点跟踪的固件漏洞定位研究

在嵌入式设备的漏洞挖掘过程中,由于物理设备资源有限且运行环境封闭,导致由Fuzzing得到的异常无法得到及时确认和利用。以嵌入式固件为研究对象,提出一种基于污点跟踪的固件漏洞定位方法,该方法在仿真环境中进行动态分析,可以快速定位异常位置,判定异常原理,评估利用方法。基于该方法,在路由器、IP摄像头等多款嵌入式设备上进行实验,成功利用了ARM、MIPS架构下多个0day漏洞,对嵌入式设备漏洞挖掘有很好的参考价值。     

基于本体的信息安全漏洞关联分析

漏洞是引发信息安全问题的重要因素,对漏洞发生情况进行分析预测值得关注。针对信息安全漏洞数据库中的漏洞数据,基于CWE构建信息安全漏洞本体,形成漏洞领域语义基础,采用Apriori关联算法,对软件中漏洞发生情况进行分析预测。在数据挖掘的数据预处理阶段借助该语义知识,通过将低概念层级的漏洞数据泛化至高概念层级,提高项集的支持度,挖掘出隐藏的关联规则;在关联规则评估阶段通过设计基于用户关注度的规则筛选器ADARF和RDARF,实现了根据用户关注度找出符合用户兴趣度的规则;基于CNNVD漏洞库的实验证明了上述方法的有效性。     

智能变电站安全脆弱性评估方法

基于IEC61850的智能变电站严重依赖于信息和通信技术,信息安全成为不得不面对的新问题。从智能变电站信息安全脆弱性和传统信息安全评估手段的局限性2个方面对智能变电站的安全现状进行分析,提出了可覆盖智能变电站信息系统和控制系统的安全脆弱性评估方法。该方法分别采用已知漏洞扫描技术、未知漏洞挖掘技术以及静态评估方法,分别对智能变电站的各层设备和日常管理进行安全评估工作。通过对智能变电站实验环境的现场实际测试,发现了存在于信息系统、自动化设备中的系统漏洞,验证了该方法评估智能变电站信息安全脆弱性的有效性。应用该方法可以实现对智能变电站信息和控制系统潜在安全漏洞的多方位管控,提升智能变电站的整体安全。     

电影IP资源价值评估模型的构建及应用

从知识产权评估理论下的品牌价值评估理论入手,通过归纳法构建电影IP资源多维度评价指标体系;采用层次分析法与模糊综合评价法,对电影IP资源进行静态价值评估,并将主观化的评价等级分数合理转换成货币价值;运用实物期权理论的计算方法,对电影IP资源可能带来的预期动态价值进行测算,构建起静态价值和动态价值相结合的电影IP资源价值定量评估模型。《战狼2》IP资源价值评估的应用案例表明,该模型可实现电影IP资源价值的量化评估,为电影IP资源的交易以及电影企业投资、开发电影IP,提供直接的货币价值指导。     

仪器设备资产评估研究

提出了仪器设备静态资产和动态资产概念,通过引入仪器设备折旧系数,延伸了仪器设备资产的静态价值含义。基于高校实验仪器设备资产不具备市场交易属性的前提,建立了仪器设备静态资产和动态资产评估模型,分析了仪器设备资产价值与高校人才培养、科研活动、经费投入及管理模式等各因素的关联影响,介绍了资产评估的方法及途径。     

基于用户评价信息的动态综合评价——一种协同设计主体资源的评选方法

针对基于用户评价信息的协同设计主体资源动态综合评价问题,在分析综合评价特点和要求的基础上,提出了一种反映设计主体资源综合能力本质的动态综合评价模型。该模型考虑了用户评价值所在时段与现在时段的接近程度以及增减变化趋势对动态评价值的影响,采用一种无需进行判断矩阵一致性检验的AHP改进方法确定综合评价指标权重。实验验证表明,该动态模型体现了用户评价值的增减变化和时间价值变化等动态特性,反映了资源的优劣程度、稳健程度和增长程度,简化了指标权重系数的计算,解决了传统AHP方法在遇到因素众多、规模较大情况时,容易出现判断矩阵难以满足一致性要求等问题,实现了在大量评价指标和评价值动态变化情况下的综合决策。     

基于证据推理面向生命周期的可信软件评估

可信软件评估是目前学术界研究的一个新的热点和难点,为解决可信软件评估过程中未能有效处理区间不确定评价信息的集结、可信准则体系动态生成算法效率不够高的问题,本文提出了一种基于证据推理面向软件生命周期的可信软件评估方法,给出了可信准则体系的动态生成的两个改进算法,并通过使用区间置信度的证据推理方法进行可信准则评价信息的集结.最后通过实验和算例验证了该方法的优越性与有效性.     

基于状态机的移动应用越权访问漏洞检测方法

为了解决移动应用平台缺乏权限验证所导致的越权访问问题,研究了一种基于状态机的移动应用越权访问漏洞检测方法。该文为不同角色的用户分别建立各自的有限状态机,并合成出移动应用的完整状态机。在此基础上,通过对完整状态机中的每个请求进行动态重构和执行结果分析实现越权访问漏洞的高效完备测试。选择企业内部移动应用进行实验,结果表明该方法能发现了隐藏的越权访问漏洞。检测方法能被用于准确地识别出越权访问漏洞。     

基于漏洞知识库的8031单片机系统软件漏洞检测算法

针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。      

一种新的缓冲区溢出检测模型

提出了一种基于二进制代码的缓冲区溢出漏洞检测模型,该模型采用静态检测技术和动态检测技术相结合的方法,最大程度的检测程序中可能存在的缓冲区溢出漏洞,并且对静态检测和动态检测的结果进行人工分析,以提高检测的准确率。     

基于污点分析和符号执行的漏洞签名生成方法

漏洞签名是指触发程序漏洞的输入的集合,利用漏洞签名对程序输入进行过滤是一种有效的保护漏洞程序的方法。该文主要研究漏洞签名的生成技术,提出了一种有效的基于污点分析和符号执行的漏洞签名生成方法,它通过污点信息传播定位输入中的与触发漏洞相关的字节,然后,通过符号执行得到路径约束,并通过约束求解得到最终的漏洞签名。基于开源项目Pin和Z3,该文构建了基于污点分析和符号执行的漏洞签名生成原型系统TASEVS,并对漏洞程序进行了验证。实验结果表明,TASEVS能有效地生成漏洞签名。     

采用动态劣化度的风电机组运行状态实时评估

为满足大数据环境下风电机组状态评估的实时性要求,提出一种基于动态劣化度的实时状态评估方法.首先,建立动态劣化度计算模型;然后,引入正态云模型取代传统隶属函数,将正态云模型与模糊综合评价法相结合,形成风电机组运行状态实时评估方法;最后,基于辽宁某风电机组的SCADA数据,利用所述方法对其进行状态评估.实验结果表明:该方法能够准确把握机组的实时运行状态,并对其早期缺陷及时预警,有助于防范机组严重故障的发生.     

WebView组件漏洞自动化检测与验证方法

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.      

基于实物期权的知识产权价值评价体系研究

知识产权价值评价体系由定性评价和定量评价指标构成。作为一类特殊的无形资产,知识产权的价值来源于其对企业的贡献。这种贡献有两各表现形式:一是对企业盈利的贡献,另一种是对企业战略发展的贡献。这两种不同的贡献形成了不同特点的知识产权价值,需采取不同的评价方法。目前国际上常用的无形资产评估方法收益现值法可以用来评价知识产权给企业带来的现金流,而知识产权战略价值的评价可以采用实物期权法。这两种评价方法相结合,形成完整的知识产权价值评价模型,可以应用于基于动态及静态知识产权价值评价的需要。     

基于静态插装和约束求解的整数漏洞检测

以C源码为研究对象,提出了一种基于静态插装和约束求解的整数漏洞检测方法.首先在C源码中可能的整数漏洞点前面插装检测代码,同时定位可能导致整数漏洞的输入源,并将其标记为符号变量.之后将静态插装后的源码编译成可执行代码,并进行(符号和具体执行的)混合执行.在动态执行的过程中,通过对插装代码对应的符号约束进行求解,可以检测整数漏洞是否存在,以及获得当整数漏洞存在时符号变量相应的具体取值.进一步地,通过对从程序入口点到整数漏洞点所经过路径上的所有条件跳转约束进行求解,获得引导程序到达整数漏洞点时符号变量相应的具体取值.结合两者可以辅助生成触发漏洞的输入用例.基于CVE(通用漏洞披露)通告的实验表明本系统能够成功检测到相应漏洞.     

基于组件依赖图的软件安全漏洞预测方法

针对软件安全漏洞预测,提出了一种基于组件依赖图的预测方法.基于组件依赖图综合定义了软件代码的复杂性、耦合性以及内聚性指标,同时采用这3类指标建立了机器学习模型对一个组件的漏洞进行预测.以开源软件Mozilla Firefox为实验对象,设计并实现爬虫工具,收集了针对从Mozilla Firefox 1.0到Mozilla Firefox 43的所有版本的公开漏洞.基于这些漏洞数据对预测模型进行训练和测试,结果表明所提出的方法能够有效用于漏洞预测.      

网站建设中网页设计的安全漏洞及解决对策

本文讨论了基于网站建设中网页设计的安全缺陷,指出服务器端动态网页技术本身存在安全缺陷.介绍了登陆验证漏洞、绕过验证直接进入设计页面漏洞、桌面数据库被下载漏洞、源代码泄露漏洞和文件上传漏洞,给出了相应解决漏洞的方法.     

基于字段完整性的内存破坏漏洞检测方法

为了有效地检测二进制程序的内存破坏漏洞,根据数据结构中字段独立性的特征,提出了一种基于字段完整性的漏洞检测方法.利用基于字段格式的动态污点技术记录二进制程序的执行轨迹,由此分析出目标程序中与输入数据相关的数据结构.依据输入数据结构中字段的完整性,比较输入字段与得到的数据结构,得到被内存破坏漏洞破坏的数据结构.通过定位被破坏的数据结构合理地检测内存破坏漏洞.实验表明该方法可以准确有效地检测出内存破坏漏洞.     

基于用户行为模拟的XSS漏洞检测

为改进XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分、动态地分析目标站点的响应信息不足等问题,改善XSS漏洞检测系统的注入点提取、攻击测试向量生成和响应分析等,提出了基于用户行为模拟的XSS漏洞检测方法.通过分析网页结构找到多种非格式化注入点,并通过综合考虑字符串长度、字符种类等因素对攻击向量进行了优化,以绕过服务器的过滤函数,缩短漏洞测试所用的时间.测试结果表明所提方法提高了漏洞注入点的检测覆盖率,提升了XSS漏洞的检测效果.