一种主动的系统脆弱性应对模型

提出了一种主动的系统脆弱性应对模型,在漏洞库的基础上,基于CORBA事件服务,实现系统脆弱性解决方案在可信网络节点间的主动发布与推送,通过主动系统脆弱性解决方案的管理,确保系统始终处于动态的最新安全状态。     

几种网络脆弱性分析方法探析

网络脆弱性分析方法总的目标是为了阐明全局度量结构的理论基础,而这种度量能被用来分析、管理和控制复杂网络系统。本文浅析了几种网络脆弱性分析方法的特点。准确的脆弱性分析要求对攻击模型以及它们对网络的影响要有很深的理解。     

基于ontology的安全漏洞分析模型

采用本体为工具建立脆弱性模型。模型的主要特点是分别独立定义了以攻击目标为中心的脆弱性模型和以攻击源头为中心的脆弱性模型两部分，并阐述两者的关系。攻击方可以很自然地使用以攻击源头为中心的脆弱性模型部分；防御方可以很自然地使用以攻击目标为中心的脆弱性模型部分，并在两个独立领域里建立交流，为拓宽双方的知识提供了平台。     

一种基于模型检测的二进制程序脆弱性分析框架

针对二进制程序脆弱性分析的实际需求,提出了一种基于模型检测的二进制程序脆弱性分析框架。首先定义了二进制程序的抽象模型,描述了基于有限状态自动机的软件脆弱性形式化表示和基于事件系统的软件安全属性表示方法。在此基础上,提出了基于模型检测的脆弱性分析过程和算法。根据该分析框架,设计并实现了二进制程序脆弱性分析工具原型。通过脆弱性分析实验,详细说明了该框架的工作原理,验证了该分析方法的有效性。     

一种信息系统网络脆弱性评估方法

网络是信息系统的重要组成。文中给出了脆弱性和脆弱性评估的定义,基于网络漏洞分析,提出了针对五类攻击的网络脆弱性,最后给出了网络脆弱性评估指标、评估方法及模型。     

脆弱性数据库技术研究*

脆弱性是网络安全事件的根源,脆弱性数据库技术有利于系统地分析脆弱性的本质,从而有利于脆弱性的检测、预防和消除。首先总结了脆弱性数据库的四种组织模式;然后提出了设计和管理脆弱性数据库应该解决的问题;介绍了基于脆弱性数据库的分析和应用技术;最后介绍了主流的脆弱性数据库。     

融合拓扑和安全及稳定的电力网脆弱性评估

提出了一种融合拓扑和安全及稳定的静态电力网脆弱性评估方法。先从依赖物理规律的不同程序提取出评估电力网脆弱性的三个主导指标：拓扑脆弱性指标、安全脆弱性指标、稳定脆弱性指标。基于邻接矩阵构建了拓扑脆弱性指标的度量方法。结合线路热极限和功角稳定极限,分别给出了安全脆弱性指标和稳定脆弱性指标的度量方法。计及三个主导脆弱性指标影响电力网脆弱性方式的差异,提出了三合一脆弱性指标的融合模型,并给出了脆弱性指标的算法。示例仿真结果表明,提出的三合一脆弱性指标方法对评估电力网脆弱性有效、可行。     

软件脆弱性危险程度量化评估模型研究

软件脆弱性的危险程度是对软件脆弱性被利用来攻击系统的潜在危险的度量。在分析目前已知的相关评价方法及其局限性的基础上,提出了根据脆弱性影响的严重程度和脆弱性可利用性来评佑脆弱性危险程度的分析框架,并基于模糊理论,提出了软件脆弱性危险程度评估的量化模型,建立了模糊测评因素关联隶属关系的递阶层次结构,并重点分析了基于模糊集的指标量化、基于模糊关系矩阵的指标权重的确定和软件脆弱性危险程度的综合评价方法。最后,给出了模型的应用与实现。     

网络脆弱性分析方法的研究

网络脆弱性分析是网络安全分析和风险评估的重要组成部分。网络脆弱性分析方法的发展经历了从人工分析到自动分析的阶段,在自动化分析阶段,基于网络扫描的脆弱性分析发展得到了很大的进步。为了方便网络脆弱性的分析,提出了基于模型的分析方法,提出的各种基于模型的脆弱性分析方法从不同的角度入手,具有各自的优势。为了全面、准确地分析目标网络,必须考虑整个系统作为一个动态和分布式的特点,基于模型的分析方法可以分析整个网络,并可以利用强大的数学工具。     

基于脆弱性关联模型的网络威胁分析

为了解决网络脆弱性建模存在的问题以及威胁评估方法中的不足,结合面向对象技术提出了基于扩展时间Petri网的脆弱性关联模型,通过定义攻击复杂度和危害度因素以及各评估指标的量化方法,给出了脆弱性关联模型的生成算法。结合网络威胁度的计算公式,运用改进的Dijkstra算法给出了无目标导向的网络威胁量化分析方法。该模型能够有效缩减状态空间的规模,适合对复杂网络攻击建模。实验证明了脆弱性关联模型的正确性及其优越的描述性能,基于该模型的威胁分析方法也更为合理、有效。     

基于Fuzzing的ActiveX控件漏洞发掘技术

Fuzzing是一种有效的自动化的漏洞发掘技术,基于Fuzzing漏洞发掘思想,结合对ActiveX控件的研究,设计并实现了一个Windows系统下的ActiveX控件漏洞发掘平台,并改进了Fuzzing数据产生方案。通过对某些第三方软件安装的控件进行测试,发现了两个已知和一个未知的漏洞,提高了漏洞发掘效率。     

脆弱性数据集成管理环境研究

论文在分析网络安全领域脆弱性数据研究现状的基础上,指出现有脆弱性数据管理和组织方法的不足之处,提出脆弱性数据集成管理环境的概念,然后介绍集成管理环境的总体结构和关键技术,最后介绍集成管理环境实现的技术平台。     

基于主题爬虫的漏洞库维护系统

漏洞库是用来存储漏洞信息的数据库,是信息安全基础设施的重要组成部分。将主题爬虫技术引入漏洞数据库的维护工作,通过主题网络爬虫获取与"漏洞"相关的网页,从中提取漏洞信息来更新漏洞数据库,降低了人工维护的工作量,改善了现有漏洞库存在漏洞覆盖不全面、内容不丰富的问题。分析当前国内外主要漏洞库的结构特征,研究漏洞诸多属性间的关系,运用组群分类描述法构建漏洞库结构模型。在研究主题网络爬虫的基础上,提出一种面向漏洞主题的动态主题构建方案。介绍漏洞库维护系统的总体设计和实现方法。     

安全漏洞自动收集系统的设计与实现

提出了一种完善的安全漏洞收集模型。通过引入漏洞自动收集思想，有效地解决了漏洞数据库信息更新不及时，以及漏洞收集效率低等问题。介绍了漏洞自动收集系统的结构框架和功能模块，给出了系统的具体实现。     

协议脆弱性分析及其测试研究

网络安全问题已引起人们的广泛关注,通信协议设计和实现的健壮与否对于网络安全至关重要。使用扩展了的构造类别代数描述协议规范,基于该描述,从一致性和完备性角度对协议可能存在的漏洞进行分析;系统地给出了一种针对潜在漏洞进行脆弱性测试的测试方法,使用类似于协议测试的方法测试实现系统能否抵御针对该漏洞的攻击。实现了一个分布式的协议脆弱性测试平台KD-TclRunner,对国内外著名厂商的通信设备进行脆弱性测试。     

Android Permission机制的实现与安全分析

Permission机制作为Android安全的重要组成部分,受到了越来越多的关注,已有的研究主要集中在对应用程序申请的Permission进行静态分析上。文章从分析Permission机制的实现过程入手,分析了Permission机制自身的安全问题,发现了一个Permission机制漏洞。应用程序利用该漏洞可以绕过权限管理,主动提升应用程序的访问权限,为后续攻击提供支持。同时文章也对Permission机制其它方面的安全特性进行了分析。     

一种基于多层拓扑的大规模分布式系统结构脆弱性分析算法

结构脆弱性是大规模分布式系统中典型的脆弱性类型之一。针对大规模分布式系统实体间复杂的依赖关系和冗余备份机制,构建了多层拓扑模型,在实体拓扑结构脆弱性分析方法的基础上,提出了基于映射-回溯思想的LDS底层结构脆弱性分析算法,并通过实现该算法验证了其有效性。     

DNS安全防护技术研究综述

DNS为互联网应用提供名字解析服务,是互联网的重要基础服务设施.近年发生的互联网安全事件表明DNS正面临严峻的安全威胁.DNS的安全脆弱性主要包括：协议设计脆弱性、技术实现脆弱性和体系结构脆弱性.针对上述脆弱性,对DNS协议设计、系统实现、检测监控和去中心化等方面的最新研究成果进行了归纳和总结,并且对未来可能的热点研究方向进行了展望.     

软件脆弱性影响分析模型

软件脆弱性的本质是利用该脆弱性可以影响系统的安全。每个软件脆弱性对系统安全造成的影响及其危害程度是不同的。基于此,在研究软件脆弱性影响相关分类存在的问题的基础上,分析脆弱性的直接影响和最终影响及其关系,指出确定软件脆弱性直接影响的原则,设计出基于影响广度和深度的脆弱性直接影响的分析模型。分析系统级、用户级和文件级的脆弱性直接影响模式,并给出模型在大规模特定域网主动防御系统中的相关设计与实现。     

基于运行时类型分析的整形漏洞二进制检测和定位系统

整形漏洞(Integer-based vulnerability)是一种存在于C或C++代码中的漏洞,具有极其严重的破坏性。2006年CVE指出缓冲区溢出漏洞呈下降趋势,而其他一些漏洞,如整形溢出、符号转换错误等呈上升趋势。设计并实现了一种针对整形漏洞的二进制实时检测和定位的方法。针对整形漏洞攻击,首先将二进制文件转化为一种中间语言VEX;然后在运行时将与外部输入相关的数据着色,截获相关语句并记录信息;最后依据制定的检测策略对着色的数据进行检测并定位。选用常见的含有内存漏洞的程序来测试系统的有效性及其性能损耗。实验结果表明,该工具可以检测并且定位软件中绝大多数的整形漏洞,而且误报和漏报率都很低。