定量和定性相结合的物联网漏洞分类方法研究

为解决物联网漏洞数量规模巨大、分类方法欠缺问题,针对已有漏洞分类方法应用于物联网漏洞存在覆盖不完全、交叉重叠现象严重的现状,提出从物联网设备、同源跨平台漏洞以及漏洞的影响效果和漏洞利用复杂度3个维度对物联网漏洞进行科学分类的方法——VCECI。首先研究传统漏洞分类方法的特点和物联网产品研发固有特点,分析物联网漏洞分类不完善的原因。其次,对VCECI方法定量和定性相结合的分类过程进行深入论述。最后,结合实验分析该方法的应用效果。实验结果表明,VCECI方法对物联网漏洞具有较好的标识和去重能力,能够有效表示物联网漏洞的异构多样性特点。     

计算机网络系统安全漏洞的研究

为了从根本上解决计算机网络中的漏洞问题,从漏洞产生的原因出发进行研究,针对其中的一类漏洞提出了解决方案:即通过对客户端系统中的软件进行特殊的扫描加密方法,使攻击者不能绕过其访问控制,从而避免了访问验证错误引起的漏洞。最后,指出从漏洞产生的原因来解决系统安全漏洞问题必将是漏洞研究的发展趋势。     

信息系统漏洞风险定量评估模型研究

为解决信息系统漏洞风险的科学定量问题,针对当前漏洞风险评估忽略漏洞之间关联性的现状,提出了一种信息系统漏洞风险评估的定量方法与实现步骤.首先,讨论了基于漏洞关联网络(VCN,vulnerability connection network)的漏洞风险评估模型,引入了路径风险与主体风险的概念;其次,提出了以层次分析法定量主体风险性中的主体重要性要素,结合主观分析与攻击重现定量转移风险中的关联后果值的具体方法;最后,对电力调度管理信息系统运用此漏洞风险定量方法进行评估,得出了客观的漏洞风险评估结果.评估示例表明,基于漏洞关联网络的漏洞风险定量评估模型实现了漏洞风险科学、客观的定量评估.     

"漏洞-补丁"安全模式的研究

论文首先研究了漏洞产生的原因,探索了系统、软件中漏洞频发的根源,通过对一些典型的蠕虫的研究,分析了蠕虫在漏洞利用方面的发展趋势.之后,探讨了常规的依靠补丁修补漏洞的安全机制,并通过示例说明"漏洞-补丁"的安全模式不能彻底解决因为漏洞而导致的安全问题.最后,文章指出了应对漏洞所引发的安全问题的方法.     

计算机安全漏洞研究

漏洞是实施网络攻击和加强网络防护的关键因素,计算机安全漏洞研究是计算机安全体系研究的基础.为了帮助大家理解漏洞的本质、找到有效方案来预防和解决漏洞问题,本文从计算机安全漏洞的基本知识出发,详细介绍了计算机安全漏洞的定义和主要特点,重点分析了安全漏洞的分类原则和目前常用的分类方法,并简单阐述了对国、内外漏洞研究工作的现状.     

保护网站安全

网站被“黑”通常是因为网站宿主服务器操作系统存在漏洞,或者网站Web服务器存在漏洞、弱口令、SQL Server注入漏洞、网站代码漏洞（文件上传漏洞、shell利用）等。其中,网站代码漏洞很难解决。而解决问题的思路就是用ISA Server保护Web服务器。     

Pickle漏洞利用与防御

Pickle漏洞是由于没有安全使用Python模块Pickle漏洞而产生的。由于Python语言的跨平台性,shellcode制作的简易性,使得漏洞的危害性很大。整篇文章细致阐述了Pickle漏洞的利用环境、利用方式以及shellcode的编写过程,向读者剖析了漏洞的产生原因,然后总结了各种有效针对Pickle漏洞的防御策略。最后通过软件调查结果,表明了该漏洞的广泛性和安全使用Pickle模块的必要性。     

基于粗糙集理论的漏洞检测技术研究

论文主要探讨了国内外漏洞数据库的发展状况,通过对漏洞特征分类理论的研究,同时结合所开发的漏洞扫描系统的需要,设计了一个漏洞数据库,并且提出了一种基于粗糙集理论的漏洞检测技术。     

基于漏洞严重程度分类的漏洞预测模型

软件漏洞预测模型有许多种,能预测软件中存在的漏洞总数以及发生的时间间隔,但不能预测软件漏洞的严重程度。然而在某些场合,如软件可信性,我们不仅要考虑软件漏洞发生的总数和时间间隔,而且也要考虑漏洞发生的严重程度对软件可信性的影响。既是在传统的软件安全性研究中,考虑漏洞发生的严重程度的影响,对软件的使用和风险控制也是很重要的。本文基于传统的马尔可夫模型,将软件漏洞按发生的严重程度进行分类,获得了一种新的软件漏洞预测数学模型。利用该模型不仅能够预测软件中存在的漏洞总数和时间间隔,而且同时也能预测每一类的漏洞总数和漏洞种类,试验表明有较好的准确度,这是其它漏洞预测模型所无法预测的。     

浅析节目生产管理系统网络安全漏洞现状与对策

信息化系统网络安全形势愈发严峻,高危漏洞数量不断增长,漏洞利用渐趋隐蔽,融合叠加风险攀升,零日漏洞利用数量激增,常规化漏洞管理难以发挥实际效果。文章通过阐述中央广播电视总台节目生产管理系统网络安全漏洞现状,对网络安全漏洞的处理提出了相应的对策,以降低网络安全风险,提升系统的安全性。     

工业控制系统的漏洞风险评估方法

针对当前ICS的漏洞风险分析忽略漏洞间关联关系的现状,提出一种新的ICS漏洞风险评估方法。该方法首先建立ICS攻击图模型;然后提出漏洞价值和漏洞利用概率两个指标,并结合ICS的安全属性和防御特征等给出指标的计算公式;接着,采用层次分析法,并兼顾组件特性和攻击者目的完成指标量化;最后,根据攻击图中漏洞之间的关联性计算出漏洞的实际利用概率和综合损失,进而完成漏洞风险值的计算。以民航某ICS为例进行实验分析,结果表明,该方法能够较为全面地评估ICS系统中漏洞的风险。     

漏洞关联图在风险评估中的应用

为解决由于大量漏洞间的复杂关联作用共同导致的难以准确评估系统安全风险问题,提出了漏洞关联路径的判定准则,基于漏洞关联图建立了系统安全风险模型,对复杂漏洞关联路径依据概率论方法进行了分解和研究,将复杂的漏洞关联路径分解为若干串/并联路径系统的耦合,并在以上基础上对关联作用下漏洞利用可能性的评估问题、漏洞关联路径的安全风险评估问题给出了解决方案.     

电力企业网络信息安全漏洞管理分析

漏洞作为网络威胁的根源之一,管理好漏洞做好安全防护措施,构建网络安全系统,是电力企业网络信息安全的基本要求。电力企业网络安全技术的应用和发展,需要明确考虑在安全系统设计中针对漏洞跟管理的缺陷,从漏洞情报收集、检测、危害评估和处置多个方面入手,设计新的漏洞管理系统,以满足漏洞管理工作的需要。本文在新型漏洞与攻击的不断增长的背景下,探究并研究现阶段防御与风险监控管理的要求,从漏洞管理现状入手,分析如何优化电力企业网络信息安全漏洞管理,综合提高电力企业网络信息安全漏洞管理水平。     

信息安全漏洞全生命周期管理

本文以某网上营业厅重置任意用户密码漏洞为线索,详细介绍了漏洞的概念以及漏洞的整个生命周期,包括漏洞的产生、发现、公开、管理和消亡,并详细介绍了漏洞在生命周期中每个阶段的成因、形式、发现方法和具体的应对措施。     

一种地址泄露敏感的二进制软件漏洞自动验证方法

软件漏洞自动验证是分析漏洞可利用性、评估其危害性的重要手段。然而在目标系统开启地址空间布局随机化（address space layout randomization, ASLR)漏洞缓解机制条件下,由于缺乏地址泄露事件的构造能力和有效的漏洞利用载荷运行时重定位方法,当前技术无法生成能有效验证漏洞可利用性的输入样本。为解决上述问题,提出了一种地址泄露敏感的二进制软件漏洞自动验证方法。该方法包含完全地址泄露漏洞状态自动构造和运行时环境无关的漏洞利用会话自动生成2个阶段。首先,综合执行状态动态监控、地址泄露样本自动构造、地址泄露导引的模糊测试等技术,自动生成能够蕴含执行目标载荷所需的全部地址泄露事件,并于其后触发漏洞的程序状态。然后,基于该漏洞触发状态,综合漏洞可利用状态构造、漏洞利用模板自动提取、基于载荷运行时动态重定位的漏洞可利用性自动验证等技术,自动构造出能够动态适配于目标系统运行环境的漏洞利用会话,并基于该会话自动完成目标漏洞可利用性分析。基于上述技术实现了LeakableExp原型系统,并以该原型系统对2个测试程序、14个CTF、RHG竞赛赛题程序和4个实际漏洞程序进行了实验分析。实验结果表明,LeakableExp具备在ASLR开启条件下,自动泄露目标系统敏感地址、分析漏洞可利用性的能力。     

Adobe Reader漏洞分析及防御策略研究

随着PDF文档格式的大规模应用,解析PDF文件的Adobe Reader软件也得到了极大应用,但是它面临的安全威胁也越来越严重.Adobe Reader漏洞已经是最为常见的漏洞类型之一.通过对常见漏洞机理进行细致的逆向分析,针对漏洞的利用方式进行分类阐述,然后解析造成漏洞猖獗的原因,总结出针对Adobe Reader漏洞行之有效的安全防御措施.     

Web应用中XSS攻击的分析和防御

随着Web应用在互联网中的迅速发展,出现了大量的Web安全漏洞,其中最为突出的是跨站脚本（XSS）漏洞攻击.为了对Web应用中的XSS漏洞进行有效的检测和防御,通过分析XSS漏洞的特征及原理,总结出产生该漏洞攻击的几大主要原因,结合目前常用漏洞检测方法提出几种XSS漏洞攻击的防御方法,可有效识别和防范XSS漏洞攻击,对Web应用具有较高的实用性.     

JUMP企业安全漏洞管理解决方案

一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括：漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。     

软件漏洞智能化挖掘技术研究进展

软件规模的不断扩大和新技术平台的发展对软件漏洞挖掘方法提出了新的挑战。在突破漏洞挖掘技术瓶颈的过程中,研究人员将机器学习方法应用于漏洞挖掘,利用机器学习模型自动学习代码的深层语法和语义规律,以提高漏洞挖掘的智能化水平和有效性,软件漏洞智能化挖掘技术已成为当前研究的热点。围绕软件漏洞智能化挖掘技术的研究展开分析,从静态挖掘和动态挖掘2个方面,对机器学习与漏洞挖掘技术结合的研究进行了深入分析。在漏洞智能化静态挖掘方面,从基于代码度量、基于代码模式和基于代码相似性3个方面梳理了现有研究工作;在漏洞智能化动态挖掘方面,则分类阐述了机器学习方法与动态挖掘方法结合的相关研究。依据对现有工作的总结,对未来漏洞智能化挖掘的发展趋势进行了展望。