智能合约安全漏洞检测研究进展

智能合约是运行在区块链合约层的计算机程序,能够管理区块链上的加密数字货币和数据,实现多样化的业务逻辑,扩展了区块链的应用.由于智能合约中通常涉及大量资产,吸引了大量攻击者试图利用其中的安全漏洞获得经济利益.近年来,随着多起智能合约安全事件的发生(例如TheDAO、Parity安全事件等),针对智能合约的安全漏洞检测技术成为国内外研究热点.提出智能合约安全漏洞检测的研究框架,分别从漏洞发现与识别、漏洞分析与检测、数据集与评价指标这3个方面分析现有检测方法研究进展.首先,梳理安全漏洞信息收集的基本流程,将已知漏洞根据基础特征归纳为13种漏洞类型并提出智能合约安全漏洞分类框架;然后,按照符号执行、模糊测试、机器学习、形式化验证和静态分析5类检测技术对现有研究进行分析,并讨论各类技术的优势及局限性;第三,整理常用的数据集和评价指标;最后,对智能合约安全漏洞检测的未来研究方向提出展望.     

基于漏洞模型检测的安全漏洞挖掘方法研究

文章通过研究自动机原理,提出了基于漏洞模型检测的安全漏洞挖掘理论,为批量发掘未知漏洞提供一定的理论基础。     

试析人工智能技术在安全漏洞领域的应用

近年来,我国信息技术高速发展,信息传递效率不断提高,传递渠道越发丰富,为人工智能技术打下了坚实的基础.目前,人工智能技术已经在各个领域被广泛应用,尤其是在网络空间上,可以有效提高寻找安全漏洞的效率,并可以更加智能化地处理安全漏洞,具有广阔的应用空间,本文对人工智能技术在安全漏洞领域的应用进行了讨论.     

计算机软件安全漏洞检测技术探究

随着现代化信息网络的不断发展,电子商务已经成为企业市场的主要支撑点。计算机软件的发展日趋强大,软件的安全是计算机网络通信安全的关键之一,因此,计算机软件安全漏洞技术也就显得十分重要。必须加强软件自身安全检测及预防,从而有效阻止非法侵入和攻击。本文将对计算机软件安全漏洞检测技术进行探究。     

基于插件的安全漏洞扫描系统设计

网络安全漏洞扫描应充分考虑执行效率和功能独立扩展问题。从网络攻击的角度提出一个系统安全漏洞的分类,阐述了一个实用的基于这些漏洞分类以及插件技术的网络安全漏洞扫描系统的设计。该系统采用C／S模型结构,服务器端的扫描程序以独立的插件形式执行,可方便地添加或删除,而客户端漏洞的扫描功能设置则基于漏洞的分类。系统采用证书认证机制来保障C／S交互的安全性。     

基于约束分析与模型检测的代码安全漏洞检测方法研究

与传统的程序分析相比,模型检测具有较高的检测精度,但无法将其直接应用于缓冲区溢出、代码注入等安全漏洞的检测.为解决此问题,提出了基于约束分析与模型检测相结合的安全漏洞自动检测方法.首先,通过约束分析跟踪代码中缓冲区的信息,在涉及缓冲区操作的危险点生成相应的属性传递和属性约束语句,并将安全漏洞检测问题转化为模型检测方法可接受的可达性检测问题.然后,采用模型检测方法对安全漏洞的可达性进行判断.同时采用程序切片技术,以减少状态空间.对6个开源软件的检测结果表明,基于该方法实现的CodeAuditor原型系统发现了18个新漏洞,误报率为23％.对minicom的切片实验显示,检测性能有较大提高.     

论软件安全漏洞挖掘技术

软件安全漏洞测试技术属于信息安全领域中一个非常重要的内容,本文对其概念进行了分析,并在此基础上探讨了当前的软件安全漏洞挖掘技术以及其流程,最终总结了其发展方向,希望给我们的工作起到一定的指导和促进作用。     

基于模式匹配的安全漏洞检测方法

针对现存的大部分软件漏洞静态检测工具无法灵活检测用户关心的漏洞的情况,提出了一种基于模式匹配的漏洞检测方法。首先,对待测程序源码进行解析,将其转化为中间表示并存放在自定义的数据结构中;然后,用安全规则语言描述漏洞并解析安全规则,将其转换成对应的自动机模型存放在内存中;最后,将源代码的中间表示与安全规则进行模式匹配,并跟踪自动机的状态转化,根据自动机状态向用户提交漏洞报告。实验结果表明,该方法的漏报率低、扩展性好。     

计算机软件中安全漏洞检测技术研究

现代信息技术已经融入各个领域,不仅可以实现大量信息数据的高效存储,而且越来越稳定。然而,计算机软件中的安全漏洞越来越复杂,处理的难度越来越大,这就需要采用更加先进的检测技术,快速查找漏洞原因,及时弥补安全缺陷,确保计算机软件始终处于正常运行状态。基于此,本文探讨了计算机软件中安全漏洞的特点,分析了计算机软件安全漏洞检测技术,提出了安全漏洞检测技术在计算机软件中的应用建议。     

基于安全需求的软件漏洞分析模型

安全需求分析是软件漏洞分析中极重要的一个环节，能够指明分析的方向，提高分析的效率。本文具体分析了软件系统运行的环境、内部对象等的安全需求，并从安全需求的角度提出了一种软件漏洞分析模型。     

脆弱性数据库技术研究

脆弱性是网络安全事件的根源,脆弱性数据库技术有利于系统地分析脆弱性的本质,从而有利于脆弱性的检测、预防和消除。首先总结了脆弱性数据库的四种组织模式;然后提出了设计和管理脆弱性数据库应该解决的问题;介绍了基于脆弱性数据库的分析和应用技术;最后介绍了主流的脆弱性数据库。     

基于LDAP的安全漏洞发布研究与实现

在分析LDAP目录服务特点的基础上，就安全漏洞发布的现状提出了利用LDAP存储和发布安全漏洞的构思，并在局域网范围内用Windows 2000 Active Directory实现了漏洞发布的一个实例。     

一种基于模型检测的二进制程序脆弱性分析框架

针对二进制程序脆弱性分析的实际需求,提出了一种基于模型检测的二进制程序脆弱性分析框架。首先定义了二进制程序的抽象模型,描述了基于有限状态自动机的软件脆弱性形式化表示和基于事件系统的软件安全属性表示方法。在此基础上,提出了基于模型检测的脆弱性分析过程和算法。根据该分析框架,设计并实现了二进制程序脆弱性分析工具原型。通过脆弱性分析实验,详细说明了该框架的工作原理,验证了该分析方法的有效性。     

一种网络漏洞检测系统的设计与实现

网络漏洞检测系统是一种用于自动检测目标主机或计算机系统安全漏洞的系统,它通过模拟黑客攻击,主动对网络系统安全性能进行检查测试,提高网络系统防御能力。设计并实现了一种新型的网络安全漏洞检测系统,介绍了整体系统结构的设计、各个功能模块的设计以及各组成部分的设计和实现,最后强调了这一系统的优点和先进性。     

基于Fuzzing的蓝牙OBEX漏洞挖掘技术

Fuzzing是一种自动化的漏洞挖掘技术。该文在分析OBEX 协议的基础上,利用Fuzzing技术,设计并实现了蓝牙OBEX协议的Fuzzer工具——OBEX-Fuzzer,并且利用该工具对OBEX协议在Nokia N73和SMH-BT555蓝牙适配器上的实现进行了漏洞测试,发现存在多个安全漏洞,实践结果表明了研究思路的正确性以及利用OBEX-Fuzzer工具进行安全漏洞测试的高效性。     

漏洞自动发现与修复技术研究

网络安全漏洞风险问题越来越受到人们的重视。介绍网络安全漏洞风险的指标体系和量化评估技术;重点研究漏洞自动发现技术、漏洞自动修复技术的内容;介绍网络漏洞检测、评估及修复的研究方向。     

计算机弱点数据库综述与评价

计算机弱点数据库已成为弱点研究的重要组成部分,对收集、存储和组织弱点信息具有重要意义。本文介绍了计算机弱点的定义及分类,分析并评价了现有的弱点数据库,最后讨论了其存在的问题以及将采取的技术路线。     

操作系统安全增强模型的通用化

研究了实现操作系统安全增强模型通用化的途径。把安全增强模型中与操作系统体系结构相关的部件隐藏在系统特征封装层，从而降低了模型的系统依赖性，使之适用于不同类型的操作系统；引入安全策略抽象层，使安全增强模型独立于任何特定的安全策略，使之对不同安全策略通用；在模型中增加应用支持层，实现在安全增强的操作系统环境下灵活支持已有应用程序。     

网络脆弱性评估系统的设计与实现*

通过对网络脆弱性检测技术与安全风险评估理论的回顾与深入研究, 提出了一种网络安全脆弱性评估模型, 并在此基础上实现了网络脆弱性评估系统。该系统从主动防御的角度出发, 集成了多种最新的测试方法, 能够自动检测远程或本地设备的安全状况, 找出被检对象的安全漏洞和系统缺陷, 并根据一定的标准做出安全评估, 给出评测报告。