一种基于权值的大规模分布式系统结构脆弱性分析算法

结构脆弱性是大规模分布式系统的典型脆弱性类型之一.针对大规模分布式系统实体间复杂的依赖关系和冗余备份机制,构建了实体拓扑模型.该模型采用简单有向图描述实体间依赖关系,采用故障容忍机制刻画节点间的冗余关系,并引入权值刻画节点或边失效对于业务流程的影响.在此基础上,提出了基于权值的大规模分布式系统结构脆弱性分析算法,该算法通过权值计算和基于故障传递的剪枝方法发现并验证结构脆弱性.通过算法分析和实现充分验证了算法的有效性.     

一种基于多层拓扑的大规模分布式系统结构脆弱性分析算法

结构脆弱性是大规模分布式系统中典型的脆弱性类型之一。针对大规模分布式系统实体间复杂的依赖关系和冗余备份机制,构建了多层拓扑模型,在实体拓扑结构脆弱性分析方法的基础上,提出了基于映射-回溯思想的LDS底层结构脆弱性分析算法,并通过实现该算法验证了其有效性。     

大规模分布式系统脆弱性分析框架研究

随着大规模分布式系统在国家安全、经济运行、基础设施、社会生活等方面扮演的角色越来越重要,其脆弱性分析问题日益成为人们关注的焦点。将大规模分布式系统视为脆弱性分析对象,构建了大规模分布式系统的层次模型,分析了大规模分布式系统的脆弱性类型,提出了基于生命周期的多维度的大规模分布式系统脆弱性分析框架,从脆弱性分析阶段、生命周期以及脆弱性类型等方面系统地梳理了研究方向。     

大规模分布式系统实体交互脆弱性分析方法

大规模分布式系统中资源、用户、计算和管理分布化的特点,决定了实体间的频繁交互成为大规模分布式系统完成基本业务和实现安全机制的基本手段。针对因安全机制缺失而引入的大规模分布式系统交互脆弱性问题,提出了一种大规模分布式系统实体交互脆弱性分析模型LDS-IVA;通过对大规模分布式系统实体交互过程进行建模,采用可通用的大规模分布式系统交互安全机制描述语言IS-LAN描述各实体的安全机制,以大规模分布式系统中的关键资源为分析对象,采用有限状态机的方法对大规模分布式系统实体交互进行分析和验证,发现安全机制缺失和不足对关键资源机密性、完整性和可用性的影响,以识别大规模分布式系统交互中存在的脆弱性及其可能引发的攻击模式。     

Linux桌面操作系统脆弱性测试研究

操作系统的安全性是整个信息系统安全的核心和基础。拳文基于相关的系统安全性评测标准，结合Linux桌面操作系统的设计与实现特点，探讨了Linux桌面操作系统的脆弱性测试框架与测试方法，实现了一个脆弱性测试与管理平台，并利用该平台，对目前两种国产Linux桌面操作系统进行脆弱性测试，验证了该平台的实用性和有效性。     

电力监控系统脆弱性评估模型研究

针对目前电力系统脆弱性缺乏有效的评估机制和方法,根据电力监控系统的特点,对安全需求多样性和业务流程协同性造成的脆弱性评估难点进行分析,结合电力监控系统的信息结构,定义满足要求的脆弱性分析模型和量化模型,通过构建典型的评估算例,验证脆弱性评估模型的有效性.     

软件脆弱性影响分析模型

软件脆弱性的本质是利用该脆弱性可以影响系统的安全。每个软件脆弱性对系统安全造成的影响及其危害程度是不同的。基于此,在研究软件脆弱性影响相关分类存在的问题的基础上,分析脆弱性的直接影响和最终影响及其关系,指出确定软件脆弱性直接影响的原则,设计出基于影响广度和深度的脆弱性直接影响的分析模型。分析系统级、用户级和文件级的脆弱性直接影响模式,并给出模型在大规模特定域网主动防御系统中的相关设计与实现。     

复杂网络的功效性与脆弱性研究综述

随着人类社会日益网络化,人们对各种关乎国计民生的复杂网络的安全性和可靠性提出越来越高的要求,复杂网络的功效性和脆弱性自然成为研究焦点之一.本文首先从复杂网络功效性和脆弱性分析和结构优化两方面详细综述了目前复杂网络功效性和脆弱性研究的进展,最后对这方面研究存在的问题和未来发展的趋势进行了总结和展望.     

软件脆弱性危险程度量化评估模型研究

软件脆弱性的危险程度是对软件脆弱性被利用来攻击系统的潜在危险的度量。在分析目前已知的相关评价方法及其局限性的基础上,提出了根据脆弱性影响的严重程度和脆弱性可利用性来评佑脆弱性危险程度的分析框架,并基于模糊理论,提出了软件脆弱性危险程度评估的量化模型,建立了模糊测评因素关联隶属关系的递阶层次结构,并重点分析了基于模糊集的指标量化、基于模糊关系矩阵的指标权重的确定和软件脆弱性危险程度的综合评价方法。最后,给出了模型的应用与实现。     

一种利用Mainline DHT脆弱性发动DDos攻击的方法

Mainline DHT协议现在已经被大量BT客户端广泛使用,由于BT的用户是非常庞大的,因此Mainline DHT的脆弱性可能对因特网用户带来很大的危害。本文利用Mainline DHT的脆弱性设计了一个DDos攻击系统,在真实DHT网络下攻击了所部署的受害节点,并对不同时间点的攻击效能以及攻击持续性进行了评估和分析,发现这个脆弱性会对因特网造成很大的危害,应当对Mainline DHT协议进行安全性增强改进。     

An OVAL-based active vulnerability assessment system for enterprise computer networks

Many security problems are caused by vulnerabilities hidden in enterprise computer networks. It is very important for system administrators to have knowledge about the security vulnerabilities. However, current vulnerability assessment methods may encounter the issues of high false positive rates, long computational time, and requirement of developing attack codes. Moreover, they are only capable of locating individual vulnerabilities on a single host without considering correlated effect of these vulnerabilities on a host or a section of network with the vulnerabilities possibly distributed among different hosts. To address these issues, an active vulnerability assessment system NetScope with C/S architecture is developed for evaluating computer network security based on open vulnerability assessment language instead of simulating attacks. The vulnerabilities and known attacks with their prerequisites and consequences are modeled based on predicate logic theory and are correlated so as to automatically construct potential attack paths with strong operation power of relational database management system. The testing results from a series of experiments show that this system has the advantages of a low false positive rate, short running periods, and little impact on the performance of audited systems and good scalability. The security vulnerabilities, undetectable if assessed individually in a network, are discovered without the need to simulate attacks. It is shown that the NetScope system is well suited for vulnerability assessment of large-scale computer networks such as campus networks and enterprise networks. Moreover, it can also be easily integrated with other security tools based on relational databases.

基于权限变更规则的网络脆弱性分析方法

网络脆弱点有导致访问者权限变更的隐患。从攻击者如何利用脆弱点获取目标实体未授予访问权限的角度出发,本文通过对拥有权限变更特征的脆弱点统一建模,引入take权限变更规则和脆弱点权限变更规则的概念,在构建权限变更图基础上利用脆弱性权限变更算法进行权限变更路径的分析,得到网络权限变更闭包图及相应的权限获取路径。最后通过构建相应的网络实例分析并证明该方法的有效性。     

IP多媒体子系统脆弱性评价技术研究

IP多媒体子系统（IMS）在带来网络融合以及业务提供能力增强的同时,也给基于IMS的下一代网络带来巨大的安全威胁,因而其脆弱性的研究工作受到广泛关注。借鉴了通用脆弱性评分系统（CVSS）的思想提取IMS脆弱性评估的指标,利用灰色理论建立了IMS脆弱性等级评价模型。构建了灰色理论的评价架构,列出了基于灰色理论的评分矩阵、三角权函数、灰色评价系数、权重矩阵、评价向量矩阵和评价结论值,为IMS脆弱性等级评定提供了科学依据。     

基于Fuzzing的Web控件漏洞检测改进模型

Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测WebActiveX控件模型的漏洞,给出"启发式规则"来优化测试数据生成引擎。实例测试结果表明,Web控件漏洞的Fuzzing测试模型是有效和可行的,并能妥善处理好交互性问题。     

系统安全漏洞研究及数据库实现

计算机系统安全漏洞的研究以及漏洞库的建设，对于提高系统安全性，减少安全事件发生具有重要意义。该文在对系统安全漏洞分类研究的基础上，提出了一个系统安全漏洞数据库的结构模型，并以此构建了一个以国际CVE编号为标准的漏洞数据库，并给出了数据库中的一个漏洞实例。     

安全漏洞标识与描述规范的研究

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容.该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准.     

协议脆弱性分析及其测试研究

网络安全问题已引起人们的广泛关注,通信协议设计和实现的健壮与否对于网络安全至关重要。使用扩展了的构造类别代数描述协议规范,基于该描述,从一致性和完备性角度对协议可能存在的漏洞进行分析;系统地给出了一种针对潜在漏洞进行脆弱性测试的测试方法,使用类似于协议测试的方法测试实现系统能否抵御针对该漏洞的攻击。实现了一个分布式的协议脆弱性测试平台KD-TclRunner,对国内外著名厂商的通信设备进行脆弱性测试。     

漏洞扫描的中央控管模型研究

文章就漏洞扫描的中央控管模型进行研究。鉴于目前漏洞扫描产品主要是基于单机,不利于管理和维护,该文对目前出现的漏洞的分布式扫描思路进行改进,提出了新的漏洞扫描中央控管模型。首先分析了目前漏洞的危害性和复杂性,给出了模型的体系结构和工作原理,特别指出了模型设计和实现的关键技术,其次,分析模型设计中的关键部分———漏洞库的设计及其完善实现技术,提出了合理的漏洞库设计结构和可行的漏洞库完善的解决方案。     

基于静态分析的安全漏洞检测技术研究

消除软件中的安全漏洞是建立安全信息系统的前提。静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其它程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。在本文中,我们首先描述了静态分析的理论基础,然后说明了类型推断、数据流分析和约束分析等主要静态分析方法及其在安全漏洞检测中的应用,并比较这些方法的优缺点。最后给出了几种支持安全漏洞静态检测的编程语言。