共查询到20条相似文献,搜索用时 406 毫秒
1.
软件漏洞分析技术进展 总被引:1,自引:0,他引:1
软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域。该文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进行了分类和对比,归纳出了该领域的科学问题、技术难题和工程问题,最后展望了软件漏洞分析技术的未来发展。 相似文献
2.
本文阐述了SIP协议和VOIP的基本知识,以及在移动终端开发电话会议的重要性。选择SIP这个协议作为科研目标进行了较深入地研究和探讨,并围绕一个SIP语音电话终端的软件实现过程对相关技术进行了讨论和实现。该系统客户端智能手机采用WLAN接入Intemet,音频通信基于SIP协议,音频压缩采用G729协议,介绍了在Windows Mobile智能手机上多方电话会议系统的实现,以及该系统的基本结构和原理。 相似文献
3.
结合fuzzing技术、API序列特征匹配技术及特征函数参数检测技术等,开发研究了一种新的软件漏洞检测系统。能有效发掘Window环境下的软件中潜在的未知安全漏洞,提高了软件漏洞检测效率。 相似文献
4.
SIP数据采集系统作为SIP入侵检测系统不可缺少的一部分,对其检测性能和准确率有着重要的影响。由于目前的数据采集工具不能直接用于处理应用层数据,很难满足SIP入侵检测系统的需求。分析了libpcap和pf_ring两种包捕获技术,描述了pf_ring的工作机制,设计了一种基于pf_ring技术的SIP数据采集系统结构。通过优化oSIP协议栈,采用在内核层和用户层结合的方法开发SIP数据过滤插件,实现了一种高效的SIP数据采集系统。通过比较实验证明本文提出的SIP数据采集系统在SIP数据采集方面具有一定的优越性,保证SIP入侵检测系统采集数据的高稳定性,为SIP入侵检测系统提供稳定可靠的数据来源。 相似文献
5.
在传统的会话发起协议的实现中,实现软件可重用度低、不易于SIP(会话发起协议)的功能扩展,文中采用基于CSP(通信顺序进程)理论的协议组合模型将SIP协议分解成协议构件,准确地描述了SIP协议实体之间的交互,在此基础上建立了一个可以方便地、灵活地进行SIP功能扩展的SIP协议组合模型。这个组合模型首先将SIP协议分解为具有独立功能的构件协议,然后通过这些构件协议的组合来实现更多的SIP功能。这个模型解决了传统的SIP协议实现软件可重用度低、不易于进行功能扩展等缺点。同时,采用CSP对该模型进行形式化描述,从而说明通过构件协议的组合可以实现SIP的功能。 相似文献
6.
《清华大学学报(自然科学版)》2018,(12)
近年来,随着软件规模和复杂度的日益增加,软件漏洞挖掘技术正逐渐向高度自动化和智能化演变,该文从传统漏洞挖掘技术和基于学习的智能化漏洞挖掘技术两方面深入调研和分析了相关的研究进展。首先,从静态和动态挖掘技术2方面详细介绍了传统漏洞挖掘技术的研究现状,涉及的技术包括模型检测、二进制比对、模糊测试、符号执行以及漏洞可利用性分析等,并分析了各项技术存在的问题,提出当前的研究难点是实现漏洞挖掘全自动化。然后,介绍了机器学习和深度学习技术在漏洞挖掘领域的应用,具体应用场景包括二进制函数识别、函数相似性检测、测试输入生成、路径约束求解等,并提出了其存在的机器学习算法不够健壮安全、算法选择依靠经验、数据样本不足、特征选择依赖专家知识等问题。最后,对未来研究工作进行了展望,提出应该围绕提高漏洞挖掘的精度和效率、提高自动化和智能化的程度这2方面展开工作。 相似文献
7.
针对传统基于软件的SIP安全方案容易被盗用、欺骗和入侵的问题,结合可信计算技术,设计了对终端系统与用户身份的双层认证结构,提出了一种使用SIP进行互联网多媒体通信的安全方案.该方案利用可信平台模块和直接匿名证明算法设计了新的SIP注册协议,提高了多媒体通信系统的安全性.文中还利用可证明安全模型证明了注册协议的安全性,并对整个方案的特点进行了分析. 相似文献
8.
本文阐述了基于SIP协议的视频电话终端软件的原理及设计。首先简单介绍了视频电话应用,然后介绍了SIP协议,重点提出系统的总体设计和视频电话系统各个模块的设计。其中重点在于媒体处理模块的设计,包括音视频处理流程和RTP实时传输的控制,以及网络接口的实现。 相似文献
9.
<正>引言计算机软件漏洞是指可以发展成为被人恶意利用的软件缺陷。软件漏洞是网络入侵与攻击行为的主要根源之一,漏洞分析技术是指利用一定的软硬件工具搜集、发现计算机软件漏洞的过程。近年来,网络安全环境不断恶化,美国花旗银行证实在2011年6月由于黑客利用软件漏洞入侵导致近36万北美地区的英航卡用户姓名、账号等信息被泄露。2011年底,CSDN用户名密码泄漏事件导致600万用户邮箱和其对应的明文密码被泄露。美国的软件漏洞分析技术一直处于国际领先地位,加州大学、斯坦福大学等著名院校进行了大量的研究工作,而微 相似文献
10.
《清华大学学报(自然科学版)》2017,(10)
Use-after-free漏洞(简称UaF漏洞)是当前最流行的高危内存破坏漏洞。目前针对UaF漏洞的检测工作并不完善,原因是UaF漏洞产生的特征是分配内存、释放内存、使用已释放的内存并按顺序出现,而这3种事件可能出现在程序的任何位置,需要跟踪较长的执行序列并搜索潜在的危险事件序列才能检测到该漏洞,这很大程度上提高了检测的难度。该文针对UaF漏洞,分析了漏洞的产生原因、利用方式、带来的安全威胁以及漏洞检测技术面临的挑战,并设计和实现了一个基于静态分析和动态符号执行的面向二进制文件的UaF漏洞检测系统。经测试,该系统能够检测出已公开的UaF漏洞。通过该系统检测软件中的UaF漏洞,及时对软件进行修复或防护,可以有效提高软件的健壮性,减少UaF漏洞带来的安全隐患。 相似文献
11.
Software vulnerability is always an enormous threat to software security. Quantitative analysis of software vulnerabilities is necessary to the evaluation and improvement of software security. Current vulnerability prediction models mainly focus on predicting the number of vulnerabilities regardless of the seriousness of vulnerabilities, therefore these models are unable to reflect the security level of software accurately. Starting from this, we propose a vulnerability prediction model based on probit regression in this paper. Unlike traditional ones, we measure the seriousness of vulnerability by the loss it causes and aim at predicting the accumulative vulnerability loss rather than the number of vulnerabilities. To validate our model, experiment is carried out on two software — Open SSL and Xpdf, and the experimental result shows a good performance of our model. 相似文献
12.
Software vulnerabilities are the root cause of various information security incidents while dynamic taint analysis is an emerging program analysis technique. In this paper, to maximize the use of the technique to detect software vulnerabilities, we present SwordDTA, a tool that can perform dynamic taint analysis for binaries. This tool is flexible and extensible that it can work with commodity software and hardware. It can be used to detect software vulnerabilities with vulnerability modeling and taint check. We evaluate it with a number of commonly used real-world applications. The experimental results show that SwordDTA is capable of detecting at least four kinds of software vulnerabilities including buffer overflow, integer overflow, division by zero and use-after-free, and is applicable for a wide range of software. 相似文献
13.
14.
软件产业的规范化是当前我国软件企业面临的紧迫问题.软件企业进行软件开发和软件生产时,都希望从无序走向基本规范,"软件产品及工程实施管理规范"及"统一软件数据管理"正是针对国内软件企业的这种需要而进行研究的.软件企业的规范既是确保软件工程项目的有效管理、提高软件产品质量的根本保证,同时也是发展信息产业、提升软件国际竞争能力的必由之路."软件产品及工程管理实施规范"和"统一软件数据管理",能使软件企业在较短时间内走向基本规范,不断改进软件企业的成熟度,提升软件企业的综合实力. 相似文献
15.
曾凡平 《华中科技大学学报(自然科学版)》2005,33(Z1):304-305
研究了一种用于测试软件安全的基于EAI(Environment Application Interaction Model)模型的软件错误注入测试方法,提出了用包裹函数实现软件错误注入的安全测试方法及实现方法.对四个应用软件进行了实际测试,实验结果表明,该方法是有效的. 相似文献
16.
目前软件企业的软件开发现状表明,应用软件产业中的软件危机依然存在.克服软件危机、提高软件质量可以从三个方面入手软件开发方法论、过程管理和软件开发工具.软件开发方法论和过程管理对软件质量提高起到了积极的必要的作用,但还不充分.软件开发工具是解决应用软件开发质量问题、带动应用软件产业及教育等相关产业的重要途径.河北省应扶持研究开发软件开发工具,占据软件产业链的中游,在未来国内竞争和国际竞争中抢占先机. 相似文献
17.
静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其他程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式,说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法,最后介绍了几种常用的静态代码安全检测工具。 相似文献
18.
静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其他程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。本文介绍了Java语言的安全漏洞的故障模式,说明了类型推断、数据流分析和约束分析等主要静态分析方法及两种特别的分析方法,最后介绍了几种常用的静态代码安全检测工具。 相似文献
19.
针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞。基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测。实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗。 相似文献
20.
随着计算机技术的成熟和Internet技术在各行各业的应用,信息安全问题变得越来越重要.各种各样的软件漏洞可能会被病毒、木马利用而产生各种各样的信息安全问题.在所有的软件漏洞中,数据驱动型漏洞是最常见的、也是最容易被利用的漏洞之一.目前的检测工具往往不够深入,仍然存在许多的不足.该文提出了一种基于语义分析的数据驱动型漏洞的静态检测算法.该算法定义了漏洞的词法成分和语法成分,在词法分析和语法分析的基础上,实现了对漏洞的语义层次检测.与传统的采用编译原理方法实现的静态检测工具相比,本算法实现了对数据驱动型漏洞更准确的检测.最后,设计并实现了一个静态检测原型系统,并通过实验证明了系统的有效性. 相似文献