共查询到19条相似文献,搜索用时 703 毫秒
1.
软件漏洞分析技术进展 总被引:1,自引:0,他引:1
软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域。该文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进行了分类和对比,归纳出了该领域的科学问题、技术难题和工程问题,最后展望了软件漏洞分析技术的未来发展。 相似文献
2.
漏洞是引发信息安全问题的重要因素,对漏洞发生情况进行分析预测值得关注。针对信息安全漏洞数据库中的漏洞数据,基于CWE构建信息安全漏洞本体,形成漏洞领域语义基础,采用Apriori关联算法,对软件中漏洞发生情况进行分析预测。在数据挖掘的数据预处理阶段借助该语义知识,通过将低概念层级的漏洞数据泛化至高概念层级,提高项集的支持度,挖掘出隐藏的关联规则;在关联规则评估阶段通过设计基于用户关注度的规则筛选器ADARF和RDARF,实现了根据用户关注度找出符合用户兴趣度的规则;基于CNNVD漏洞库的实验证明了上述方法的有效性。 相似文献
3.
4.
随着人们工作、生活对网络依赖性的逐渐增强,导致了信息安全威胁的增加和安全事件的频繁出现,所以信息系统平台的建设重点已经转移到安全系统的建设上来,特别是漏洞的危害。本论述首先对信息系统技术进行了研究,并介绍了操作系统的安全漏洞、数据库的安全漏洞、TCP/IP协议的安全漏洞以及网络软件与网络服务的漏洞产生的后果,并对漏洞的产生提出了防范措施。 相似文献
5.
本文主要探讨了目前网络安全领域网络安全评估以及网络漏洞评估、分析方面的产品和技术成果,分析了它们的优缺点,为网络系统漏洞分析与安全改进模型的研究提供了一定的基础。 相似文献
6.
软件漏洞产业:现状与发展 总被引:1,自引:0,他引:1
软件漏洞与信息安全息息相关。本文阐述了21世纪以来软件漏洞产业现状、技术进展和相关经济学研究成果。并将软件漏洞产业划分成3个环节:上游的漏洞发现,中游的安全信息提供机构(SIP),以及下游的各种行业应用。本文认为软件漏洞的根源来自于技术和经济两方面。本文建议:中国应从SIP的枢纽作用、关键工具和基础设施的研制等方面发展软件漏洞产业。 相似文献
7.
随着计算机技术的成熟和Internet技术在各行各业的应用,信息安全问题变得越来越重要.各种各样的软件漏洞可能会被病毒、木马利用而产生各种各样的信息安全问题.在所有的软件漏洞中,数据驱动型漏洞是最常见的、也是最容易被利用的漏洞之一.目前的检测工具往往不够深入,仍然存在许多的不足.该文提出了一种基于语义分析的数据驱动型漏洞的静态检测算法.该算法定义了漏洞的词法成分和语法成分,在词法分析和语法分析的基础上,实现了对漏洞的语义层次检测.与传统的采用编译原理方法实现的静态检测工具相比,本算法实现了对数据驱动型漏洞更准确的检测.最后,设计并实现了一个静态检测原型系统,并通过实验证明了系统的有效性. 相似文献
8.
随着计算机技术的应用和普及,很多的信息处理都是借助计算机系统,这给人们带来极大便利的同时,也为我们的信息安全埋下了隐患,新形势下,如何实现计算机网络信息已经成为全球热议的话题。本文针对计算机信息安全存在的漏洞及如何提高信息安全的对策进行了探究,希望能促进计算机网络的信息安全。 相似文献
9.
针对美国国家漏洞数据库(National Vulnerability Database,NVD)中开源软件的漏洞,设计并实现了漏洞补丁采集与分析系统。该系统能自动采集漏洞补丁文件,生成漏洞补丁库。基于漏洞补丁数据,提取补丁特征并进行分类整理,为不同类型漏洞提供有效的漏洞检测方法等研究提供了数据和分析基础。 相似文献
10.
【目的】探讨如何为各类信息系统安全性保障测试提供综合性支撑服务。【方法】综合应用网络主机检测、数据库检测、Web应用漏洞检测等关键技术,通过协同集成方法,设计一个集约化信息安全测评平台。【结果】该平台集网络攻防演练和演示、管理安全测试、数据安全测试、外部安全测试及网站系统内容测试、产品与系统测评、信息安全应急响应为一体,可以在信息系统功能、性能、安全等方面为政府各部门及社会各界提供测试和评估服务。【结论】实际应用表明,该平台能够满足信息系统安全测评的关键需求,能够提供一体化信息安全测评功能。 相似文献
11.
为解决大规模漏洞分类问题,提出一种基于卷积神经网络(convolutional neural network,CNN)的漏洞自动分类方法,借鉴深度学习的技术思想自动获取漏洞描述的相关局部特征,通过batchnorm规范化数据解决文本训练不稳定问题,进而实现漏洞类型的有效划分.实验表明,与传统方法相比,该方法在漏洞自动分类效率上能够得到显著的提高. 相似文献
12.
蠕虫化与家庭化是近年来漏洞利用的两个新趋势,基于漏洞生命周期模型,分析了利用LSASS漏洞的震荡波蠕虫.讨论了这个蠕虫化漏洞利用的特征,指出自动搜索与定制漏洞信息是避免这类漏洞利用的有效手段. 相似文献
13.
静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其他程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式,说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法,最后介绍了几种常用的静态代码安全检测工具。 相似文献
14.
静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其他程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式,说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法,最后介绍了几种常用的静态代码安全检测工具。 相似文献
15.
利用河南、河北省1992—2007年市级尺度的玉米、小麦总产量数据、社会经济统计数据及气象站点降雨量数据,通过建立粮食减产量与农业干旱之间的定量关系,对各地区的主要粮食作物(小麦、玉米)生产的农业干旱脆弱性进行了综合评价,并探讨了脆弱性的时空变化特征;同时,在脆弱性评价的基础上,分别提取了代表农业干旱"敏感"(轻度干旱发生时,产量损失重大的年份)和对农业干旱"适应"(发生严重的干旱,但产量损失较小的年份)的案例,识别了影响农业干旱脆弱性的关键因素.本文得出的一些结果可以为制定降低农业干旱脆弱性的策略提供科学依据. 相似文献
16.
化工园区脆弱性分析是传统风险分析的重要补充内容,近年来引起了越来越多的关注,然而目前的研究主要集中于脆弱性概念和评价方法上,忽略了脆弱性识别这一关键问题。脆弱性识别是脆弱性评估的关键步骤,对评价内容和评价指标选取具有重要作用。针对化工园区脆弱性识别研究理论和方法欠缺的问题,从事故机理角度提出“干扰-状态-后果”脆弱性理论模型,利用事故因果分析法,从事故过程分析出发对化工园区脆弱性因素进行识别,并建立脆弱性评价指标体系。将指标体系应用于江苏某化工园区的脆弱性评估中,结果表明,基于事故因果分析的脆弱性识别方法为指标体系的建立和评估过程提供了依据,对化工园区具有适用性。 相似文献
17.
随着计算机在核电仪控系统中的广泛运用,其信息安全问题受到越来越大的挑战.提出一种基于攻击树的核电仪控系统信息安全脆弱性分析方法,旨在对系统信息安全脆弱性进行量化分析.该方法首先给叶节点赋予三个不同属性,然后采用模糊层次分析法计算各攻击事件属性的权值.最后计算出叶节点、根节点及攻击路径发生概率.实际案例分析表明:计算得出的结果即给出了各节点和攻击路径发生的概率,还指出了攻击者最有可能采取的攻击路径,证明了该方法是合理可行的.基于攻击树的核电仪控系统信息安全脆弱性分析方法对系统管理者建设防御措施有积极的指导意义. 相似文献
18.
为了确保智能变电站的安全,规避信息安全风险,对变电站存在的漏洞进行评估和管理是必要的。通用的信息安全风险评估流程是将资产重要性、威胁等级和脆弱性等级作为量化指标,通过这3个指标得出安全事件的影响和可能性值,再以此为基础计算出对象的风险值。研究提出一种基于CML的智能变电站设备节点网络失效连锁的模型,通过对智能变电站设备节点以及节点间的设备连接建立网络,评估不同设备节点在发生故障时对智能变电站整体设备网络的影响,从而对智能变电站信息安全风险进行有效分析。基于该模型的智能变电站信息安全风险分析管理子系统可以实现数据可视化协助管理者对智能变电站的信息安全风险数据进行管理。结果表明,对智能变电站的信息安全风险分析管理有改善作用。 相似文献
19.
本文根据信息系统风险评估的基本要素, 通过对信息系统的现状分析, 提出了一种基于脆弱性和威胁分析相结合的定量风险评估方法. 该方法建立了相应的风险计算模型, 通过脆弱性分析, 威胁识别, 后果属性及其权重计算等多个步骤对信息系统的安全风险进行定量分析计算得到信息系统安全评估风险值, 提高了信息系统风险评估的客观性和可度量性. 相似文献