首页 | 本学科首页   官方微博 | 高级检索  
检索     
共有20条相似文献,以下是第1-20项 搜索用时 499 毫秒

1.  一种Cisco IOS启发式模糊测试方法  
   陈立根  刘胜利  肖达  彭飞《计算机工程》,2014年第12期
   在思科互联网操作系统(Cisco IOS)中,系统安全漏洞已经成为信息安全风险的主要根源之一,全面发现与及时修补IOS的漏洞非常必要。为此,提出一种基于细粒度污点分析的启发式模糊测试方法。给出细粒度污点传播规则的形式化描述,以及基于细粒度污点分析的安全敏感操作判定规则,为获取启发式信息提供依据;采用启发式测试用例生成的方法,设计并实现Cisco IOS漏洞挖掘原型系统CTaint Miner,测试结果表明,系统具备较好的漏洞挖掘能力,验证了启发式模糊测试方法的有效性。    

2.  软件与系统漏洞分析与发现技术研究构想和成果展望  
   饶志宏  方恩博《四川大学学报(工程科学版)》,2018年第50卷第1期
   软件与系统漏洞是国家网络空间安全的重要战略资源。中国关键基础设施和重要信息系统部分核心技术受制于人,软件与系统漏洞普遍存在的现状短期之内无法根除,需要开展深层次、大规模、智能化漏洞挖掘研究;随着移动互联网、工业控制网和物联网等领域的新技术和新应用的推广,现有漏洞挖掘分析技术体系不能满足新的需求;此外,中国漏洞研究团队资源相对分散,国家层面漏洞研究协作机制尚未形成,难以支撑国家对漏洞战略资源的把控。以提升国家开展漏洞战略资源把控能力为导向,针对软件与系统漏洞研究现状,目前亟待解决的四大难题,即漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺。围绕四大难题开展攻关:一是,软件与系统漏洞智慧挖掘方法及关键技术,包括模糊推理经验库的构建方法、基于基因图谱的漏洞挖掘方法、智能引导优化问题、基于策略的漏洞识别方法。二是,软件与系统漏洞分析与可利用性判定技术,包括漏洞成因分析技术、程序异常路径构造技术、同源性漏洞分析技术、漏洞可利用性判定技术、多场景漏洞分析平台建设。三是,基于网络流量的漏洞分析与检测技术,包括利用动静态方法的漏洞攻击样本检测技术、研制软件漏洞攻击样本自动化检测原型系统、针对疑似网络攻击流量的深度检测与智能识别技术、网络攻击样本自动化分析与精准验证、面向攻击流量的漏洞检测与综合服务平台。四是,漏洞危害评估与验证技术,包括基于硬件虚拟化的动态污点分析技术、漏洞自动利用技术、研制基于虚拟环境的漏洞自动化验证系统、漏洞危害性评估体系和危害性评估算法。五是,漏洞规模化协同挖掘分析技术研究与应用,包括多任务多引擎自适应均衡规模化漏洞挖掘技术、多维度多任务智能协同技术、开放协作的知识复用技术、面向多计算环境的规模化协同漏洞发掘的一体化平台、规模化协同条件下漏洞挖掘、分析和可利用性评估技术、规模化协同漏洞发掘一体化平台在典型行业的应用验证。通过以上研究内容实现以下五个方面创新:一是,基因图谱定式复盘,基于基因图谱构建与经验知识复用的漏洞智慧挖掘技术;二是,多源分析多态利用,基于多源漏洞分析的多态可利用性评估技术;三是,动静结合意图推演,大流量环境下基于数据驱动与行为认知关联的攻击检测技术;四是,状态切片叠加复现,活体漏洞库构建技术;五是,智能连接迭代适应,多任务多引擎自适应均衡规模化漏洞挖掘技术。最终,构建集漏洞挖掘、分析、监测、评估、验证于一体的规模协同平台,形成知识复用、智能连接、开放协作的生态系统,为国家摸清网络空间安全家底、扭转攻防博弈被动局面提供技术支撑。    

3.  基于动态输入追踪的模糊技术  
   黄奕  曾凡平  张美超《计算机工程》,2011年第37卷第6期
   在基于反汇编的输入路径追踪技术的基础上,结合基于代码覆盖的测试数据生成和基于快照恢复的错误注入技术,将其应用于模糊测试中。提出一种软件安全漏洞自动化挖掘的方法,较好地解决传统模糊技术存在的若干局限。设计并实现一个基于此方法的测试系统,通过对实例软件的漏洞挖掘实验,验证该方法的有效性。    

4.  Android平台NFC应用漏洞挖掘技术研究  
   王志强  刘奇旭  张玉清《通信学报》,2014年第Z2期
   为了提高NFC技术的安全性,针对Android平台NFC应用进行NDEF协议漏洞挖掘研究,提出了一种基于Fuzzing技术的测试方法。该方法采用手工、生成和变异3种策略构造测试用例,使用报文逆向分析和嗅探2种手段辅助分析并构造报文;然后,利用构造的测试用例对NFC应用目标进行漏洞挖掘并输出结果。根据该方法,开发了一个NFC应用安全漏洞挖掘系统ANDEFVulFinder,采用logcat和进程监控的手段在漏洞挖掘过程中对目标进行监测,并通过模拟标签和触碰操作实现漏洞挖掘过程自动化。最后,通过测试MIUI系统和6个应用,发现了8个漏洞,结果表明了漏洞挖掘方法的有效性。    

5.  基于Fuzz测试的IMS网络SIP漏洞挖掘模型  
   刘树新  彭建华  刘彩霞  谢晓龙《计算机应用研究》,2012年第29卷第9期
   为有效挖掘3G核心网IP多媒体子系统中SIP流程存在的安全漏洞,提出了一种基于Fuzz测试的SIP漏洞挖掘模型。基于Fuzz漏洞测试方法设计了一种SIP漏洞挖掘模型,设计的初始消息状态转移方法实现了其中的消息注入功能,使漏洞挖掘进入到SIP流程内部,实现了自适应监控功能,针对不同监控内容实施相应的监控方法。仿真结果验证了模型及其功能方法的有效性。    

6.  基于Fuzzing的文件格式漏洞挖掘技术  被引次数:2
   唐彰国  钟明全  李焕洲  张健《计算机工程》,2010年第36卷第16期
   软件漏洞挖掘已成为信息安全研究的一个热点,基于此,分析现有漏洞挖掘工具的不足,阐述基于Fuzzing的漏洞挖掘与分析的功能需求,根据文件格式结构化存储的特征,给出一种启发式的畸形数据的构造方法,设计并实现文件型漏洞智能挖掘与分析系统,给出软件结构、运行机制和关键技术。实例测试结果表明,该系统有效提高了文件漏洞挖掘的效率和智能化水平。    

7.  基于Fuzzing的ActiveX控件漏洞发掘技术  被引次数:6
   吴毓书  周安民  吴少华  何永强  徐威《计算机应用》,2008年第28卷第9期
   Fuzzing是一种有效的自动化的漏洞发掘技术,基于Fuzzing漏洞发掘思想,结合对ActiveX控件的研究,设计并实现了一个Windows系统下的ActiveX控件漏洞发掘平台,并改进了Fuzzing数据产生方案。通过对某些第三方软件安装的控件进行测试,发现了两个已知和一个未知的漏洞,提高了漏洞发掘效率。    

8.  可编程模糊测试技术  
   杨梅芳  霍玮  邹燕燕  尹嘉伟  刘宝旭  龚晓锐  贾晓启  邹维《软件学报》,2018年第29卷第5期
   模糊测试是一种有效的漏洞挖掘技术.为改善模糊测试因盲目变异而导致的效率低下的问题,需要围绕输入特征、变异策略、种子样本筛选、异常样本发现与分析等方面不断定制模糊测试器,从而花费了大量的定制成本.针对通用型模糊测试器(即支持多类输入格式及目标软件的模糊测试器)的低成本定制和高可扩展性需求,本文首次提出了一种可编程模糊测试框架,基于该框架漏洞挖掘人员仅需编写模糊测试制导程序即可完成定制化模糊测试,在不降低模糊测试效果的基础上可大幅提高模糊测试器开发效率.该框架包含一组涉及变异、监控、反馈等环节的模糊测试原语,作为制导程序的基本语句;还包含一套编程规范(FDS)及FDS解析器,支持制导程序的编写、解析和模糊测试器的生成.基于实现的可编程模糊测试框架原型Puzzer,在26个模糊测试原语的支持下,漏洞挖掘人员平均编写54行代码即可实现当前主流的5款万级代码模糊测试器的核心功能,并可覆盖总计87.8%的基本操作.基于Puzzer实现的AFL等价模糊测试器,仅用51行代码即可达到与AFL相当的模糊测试效果,具有良好的有效性.    

9.  基于Fuzzing的TFTP漏洞挖掘技术  被引次数:3
   刘奇旭  张玉清《计算机工程》,2007年第33卷第20期
   Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路,并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer,并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试,发现了8种TFTP服务器的13个安全漏洞,其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。    

10.  基于漏洞库的fuzzing测试技术  被引次数:1
   张美超  曾凡平  黄奕《小型微型计算机系统》,2011年第32卷第4期
   鉴于主流fuzzing(模糊)测试技术生成的测试用例随机性和针对性无法兼顾的问题,提出一种基于漏洞库的fuzzing测试技术.根据漏洞产生的原因和重现的方法对漏洞库进行整理分类,构造出测试用例集用于fuzzing测试.这样生成的测试用例集直接与漏洞相关,具有更强的针对性;同时扩展的测试用例集可以用于检测未知的同类漏洞,覆盖面更广,因此保证了一定的随机性.以ftp服务器测试为例,选取了W indow s平台下的4款ftp服务器进行测试,共发现了3款软件的6个新漏洞,提交Se-curityFocus并通过,其中5个漏洞得到了国际权威漏洞数据库CVE的认可.    

11.  基于多维Fuzzing的缓冲区溢出漏洞挖掘技术研究*  
   夏建军  孙乐昌  刘京菊  张旻  蔡铭《计算机应用研究》,2011年第28卷第9期
   缓冲区溢出漏洞一直是计算机安全威胁中最为严重的漏洞之一,在黑客发现利用前检测出漏洞并及时修复极为重要;基于多维Fuzzing设计和实现了一种缓冲区溢出漏洞挖掘模型MFBOF,应用输入样本结构知识、结合静态二进制分析技术和动态输入/输出测试技术,运用自适应模拟退火遗传算法生成测试用例进行测试,并以挖掘Libpng的漏洞为实例说明了该模型的有效性;最后,提出了模型需要优化的地方和下一步研究方向。    

12.  基于多样化业务需求的多态路由模型研究  
   赵 丹  兰巨龙  张 岩  王 鹏《计算机应用研究》,2017年第34卷第2期
   针对结构固定僵化、功能单一的传统路由机制不能有效适应多样化业务需求这一问题,提出了一种路由功能与业务需求自适配的多态路由模型,为支持多样化业务需求提供个性化定制路由服务,并设计实现了多态路由原型系统。该系统采用可编程路由器软件开源控制平台Quagga、可编程NetFPGA -10G平台作为控制平面和数据平面,通过虚拟化技术以及灵活可编程的数据平面结构实现多种路由协议的共存,并基于NetFPGA-10G平台设计实现了多态路由原型系统。测试实验证明,多态路由系统在保证业务的服务质量方面有很大提升,支持业务定制个性化的路由服务路径,并且转发速率、丢包率以及传输带宽等性能都有提高。    

13.  基于DOM结构的分布式IE浏览器漏洞挖掘探究  
   田泽轶  彭设强  吴志勇《电子测试》,2014年第19期
   采用基于DOM树结构动态执行的IE浏览器漏洞挖掘方法,设计并实现了分布式IE漏洞挖掘器,并阐述该挖掘器的原理。测试发现了IE的50类漏洞。    

14.  基于DOM结构的分布式IE浏览器漏洞挖掘探究  
   田泽轶  ;彭设强  ;吴志勇《电子测试》,2014年第10期
   采用基于DOM树结构动态执行的IE浏览器漏洞挖掘方法,设计并实现了分布式IE漏洞挖掘器,并阐述该挖掘器的原理。测试发现了IE的50类漏洞。    

15.  基于模糊测试的网络协议自动化漏洞挖掘工具设计与实现  
   孙哲  刘大光  武学礼  文伟平《信息网络安全》,2014年第6期
   文章针对传统网络协议挖掘的缺陷,着重分析了传统网络协议的分析手段、漏洞类型、产生原因和挖掘方法。文章针对传统网络协议挖掘中协议的分析过程不能自动化、构造Fuzz的数据不符合网络协议格式规范和交互的流程导致无法深入快速地进行漏洞挖掘的缺点,提出了一种基于自动化协议分析算法、流量聚类分类算法、深度数据包检测技术、Fuzz技术相互整合的自动化协议分析漏洞挖掘工具设计方案。文章设计了一套自动化协议分析的漏洞挖掘系统,给出了系统的工作流程和组织结构,以及各个模块的功能和相互之间的关系,实现了一个自动化协议分析漏洞挖掘系统的原型。文章的最大创新是通过自动化协议分析、流量聚类分类算法和DPI技术的有机结合,实现了自动化协议分析、自动形成测试路径的网络协议漏洞挖掘技术。    

16.  Android平台下软件安全漏洞挖掘方法研究  
   《计算机应用与软件》,2014年第1期
   为了减少Android系统用户的隐私数据泄露问题,提出一种针对Android应用程序源码的漏洞挖掘方法。该方法在Android漏洞库和权限方法集合的基础上,采用静态分析得到Android特有的权限漏洞矩阵代数式和漏洞点处测试用例,基于漏洞知识对测试用例变异得到半有效数据,利用污点注入和数据流分析进行Fuzzing挖掘。经过对400个Android应用程序源码进行实例分析,结果表明该方法不仅能挖掘常规漏洞,而且在Android特有的权限信息漏洞挖掘方面效果明显。利用约束分析得到的测试用例数量少,而通过漏洞知识得到的半有效数据的针对性强,并且代码覆盖率和精确度较高。    

17.  面向电网流式数据处理的性能测试平台  
   覃海  姬源  周思明  沈冠全《计算机系统应用》,2016年第25卷第2期
   提出一种面向电网流式数据处理的性能测试平台的系统架构及关键技术.针对电网流式数据的业务场景特点,测试平台支持基于浏览器的测试脚本设计和测试场景设计,并支持测试任务的全生命周期管理和高可用保障.为了满足大规模负载测试需求,测试平台提供基于Linux容器的虚拟化测试资源池,实现了测试资源的轻量化、弹性管理.    

18.  服务器虚拟化安全风险防范措施  
   孙志明《计算机光盘软件与应用》,2013年第12期
   本文首先对云计算的基础核心技术即服务器虚拟化实现技术的介绍,分析全虚拟化、半虚拟化和硬件辅助虚拟化三种实现技术。然后总结出当前由服务器虚拟化带来的特殊安全风险,大致可分为VMM的设计缺陷、虚拟机之间通讯风险和虚拟化管理平台漏洞三个方面。针对每一种具体的漏洞进行详细的阐述,并给出这些安全问题的相应对策。    

19.  基于Fuzzing的PNG漏洞挖掘技术  
   夏建军  孙乐昌  吴志勇  王红川  刘京菊《计算机与数字工程》,2010年第38卷第3期
   Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。    

20.  一种基于PLC的模糊自适应PID控制器设计  
   许其义  李坤《电子技术》,2009年第36卷第12期
   通过对模糊自适应PID控制器设计过程的详细分析,提出了一种基于PLC查表方式实现模糊自适应PID控制器的方法,实现了基于PLC的自适应模糊PID控制器的设计,并应用于实际的控制系统中。结果表明,用PLC实现模糊自适应PID控制简单实用,适于工业控制系统应用。    

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号