基于XML的安全漏洞通用描述语言

在计算机安全漏洞的研究中,安全漏洞的通用描述是一个亟待解决的问题。本文首先对当前安全漏洞的描述方法进行分析,指出当前的描述方法主要基于文本描述、不同安全组织定义的描述方法所描述的内容不一致,不利于安全工具及安全漏洞信息源之间的协同工作。本文基于XML定义了通用漏洞描述语言UVML,这种语言在传统安全漏洞描述方法的基础上定义了一种统一的安全漏洞描述语言,可以作为不同的安全工具和安全漏洞源之间交换信息的统一模型,解决安全漏洞内容、标识的不一致问题．有助于安全工具间的协同工作及对安全漏洞信息的进一步分析。     

安全漏洞标识与描述规范的研究

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容.该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准.     

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.     

电子签章安全漏洞分析研究

文章介绍了电子签章产品的一般结构,提出了电子签章产品的安全漏洞为无法保护文档框架和格式、无法保护文档所有数据和产品自身安全漏洞,分析了漏洞存在原因,并从产品的标准制定、功能完善、自身安全性加固三方面提出了改进建议。     

系统漏洞原理与常见攻击方法

文章介绍了系统安全漏洞的基本概念,漏洞与不同安全级别操作系统之间的关系,及环境相关特性与时效性。通过对常见的系统攻击手段的描述,分析了系统攻击与系统漏洞之间的关系,通过实例,分析了计算机病毒问题与系统安全漏洞之间的联系。说明对系统安全漏洞问题进行研究对于保障系统安全的积极意义。     

基于Web应用的安全系统的研究

当前,Web应用的安全问题已经受到越来越多的挑战,人们对于Web的安全也给予了更多的关注.针对Web应用的安全系统进行了分析,描述了Web应用安全漏洞的级别,并对安全漏洞的进行分类,将其总结和归类;在传统的Web应用漏洞扫描系统的基础上,针对漏洞扫描系统的目标,设计出Web应用安全扫描系统,并对其各个模块的基本功能进行了分析;对遍历扫描模块进行了详细的分析.     

基于知识图谱的网络安全漏洞智能检测系统设计

网络安全漏洞智能检测需要依赖大量的真实数据来进行分析,冗余数据与异常数据的存在会导致检测准确性下降;为保障网络系统稳定运行,提出基于知识图谱的网络安全漏洞智能检测系统设计研究;从结构、逻辑模型以及运行模式3个方面设计网络安全漏洞检测器,实现网络安全漏洞智能检测系统硬件设计;系统软件设计通过网络爬虫采集安全漏洞数据,去除冗余数据与异常数据,根据属性信息识别安全漏洞实体,获取安全漏洞属性信息关系,以此为基础,定义安全漏洞知识图谱表示形式,设计安全漏洞知识图谱结构,从而实现安全漏洞知识图谱的构建与可视化;以上述网络设计结果为依据构建网络安全漏洞智能检测整体架构,制定网络安全漏洞智能检测具体流程,从而获取最终网络安全漏洞智能检测结果;实验结果表明,在不同实验工况背景条件下,设计系统应用后的网络安全漏洞漏检率最小值为1.23%,网络安全漏洞检测F1值最大值为9.50,网络安全漏洞检测响应时间最小值为1 ms,证实了设计系统的安全漏洞检测性能更佳。     

国家信息安全漏洞通报

（2016年9月）漏洞态势公开漏洞情况根据国家信息安全漏洞库（CNNVD）统计,2016年9月份新增安全漏洞共702个,从厂商分布来看,Apple公司产品的漏洞数量最多,共发布77个;从漏洞类型来看,缓冲区溢出类的漏洞占比最大,达到17.38%。     

挖掘Cookies背后的安全隐患

Google产品在最近暴露一个安全漏洞,这个漏洞可窃取Google的cookies,它存在于一款基于网页的对照购物产品--Froogle.公司宣称已经把该漏洞标记为潜在安全漏洞,并对其进行修复.现时和未来的Froogle用户都会受到保护.某爱尔兰安全专家表示,恶意用户可以利用该漏洞在FroogIe的URL中植入一个Java.     

自动漏洞入侵防护拦截最危险威胁

互联网早已不是一个安全的所在,网络罪犯总是在觊觎个人信息(尤其同财务相关的信息)、账号数据以及计算机资源访问权。他们会利用这些资源发布垃圾邮件,或者从事其他网络犯罪行为。利用恶意软件感染用户计算机,最有效和最危险的手段是使用常见程序或操作系统中的漏洞。这些漏洞能够在用户执行一些绝对安全的操作时触发,例如打开一个PDF格式文档或访问一个被感染网站。其中,危害性最高的漏洞被称为零日漏洞。黑客能够在软件开发商发布安全修补补丁之前,利用这种安全漏洞进行攻击。     

一种基于隐Markov模型的网络安全态势感知方法研究

为了准确评估网络系统的安全状态,文章提出一种基于隐Markov模型(HMM)的网络安全态势感知方法.首先通过对系统多种安全检测数据融合,得到系统的网络结构、资产、威胁和脆弱性数据的规范化数据;接着对系统中的每个资产,将该资产受到的威胁和存在的脆弱性结合起来,分析影响该资产的安全事件序列,分别建立该资产保密性、完整性和可用性三个安全性分量的HMM,采用滑动窗口机制将观测序列分段训练,并采用带遗忘因子的更新算法得到HMM的各个参数;然后根据HMM和观测序列分析该资产安全状态,评估该资产的安全态势分量;最后综合分析网络中所有资产的安全态势分量,评估网络的安全态势分量,并根据应用背景评估网络的整体安全态势.实验分析表明,基于HMM的网络安全态势感知方法符合实际应用,评估结果准确有效.     

安全脆弱点描述语言

在入侵检测技术的研究中,安全脆弱点的描述是一个急需解决的问题。目前,脆弱点描述方法基本上局限于枚举、CVE两种,但它们在各种安全工具及脆弱点信息源之间进行协同工作方面存在很多困难。为了解决这些问题,文章设计了一种安全脆弱点描述语言。使用该语言描述脆弱点,可以解决脆弱点标识符混乱问题;方便脆弱点的定位、归类与对比;清楚、明确地描述脆弱点内容;有效管理脆弱点的扩展部分及其更新过程。     

基于静态分析和动态检测的xss漏洞发现

Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例 是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元 动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。 分析表明,该方法能有效地发现W cb应用中的XSS漏洞。     

软件脆弱性描述方法研究

软件脆弱性是系统安全受到各种威胁的根本原因。从软件脆弱性的本质出发，对脆弱性进行研究是一个新课题。本文分析了各种软件脆弱性的定义，并基于脆弱性引入原因、所在部件、产生的影响、修复、验证、检测和攻击等关键属性，提出了对软件脆弱性的多维描述方法。     

Legally “reasonable” security requirements: A 10-year FTC retrospective

Growth in electronic commerce has enabled businesses to reduce costs and expand markets by deploying information technology through new and existing business practices. However, government laws and regulations require businesses to employ reasonable security measures to thwart risks associated with this technology. Because many security vulnerabilities are only discovered after attacker exploitation, regulators update their interpretation of reasonable security to stay current with emerging threats. With a focus on determining what businesses must do to comply with these changing interpretations of the law, we conducted an empirical, multi-case study to discover and measure the meaning and evolution of “reasonable” security by examining 19 regulatory enforcement actions by the U.S. Federal Trade Commission (FTC) over a 10 year period. The results reveal trends in FTC enforcement actions that are institutionalizing security knowledge as evidenced by 39 security requirements that mitigate 110 legal security vulnerabilities.     

信息网络安全体系分析

随着各类机构对信息网络安全重视度提高,目前各类安全产品和防护技术层出不穷,但是鱼龙混杂,不成体系。文章根据典型信息网络系统架构,针对不同安全域和常见的安全漏洞,从安全技术、安全策略、安全管理等方面提出信息网络安全防护体系。     

基于搜索的物联网设备识别框架

越来越多的物联网设备接入到互联网中,但由于设计上的缺陷或者缺乏安全防护手段,这些暴露在公网上的物联网设备极容易受到黑客的攻击与利用。研究表明,具有相似产品属性的物联网设备很有可能存在相同漏洞,因此有效的识别网络空间中的物联网设备,对其产品属性,如设备品牌、型号等相关信息进行细粒度识别和标定,对把握网络空间实体设备的安全态势具有重要意义。本文提出一种基于搜索的物联网设备识别框架,利用物联网设备协议标语中富含的产品属性信息,通过自动化网络搜索技术构建物联网设备信息库,进而实现对未知新设备细粒度地自动分级识别和标定。通过公网实验,该框架能够很好识别视频监控和工控设备的产品属性,型号识别准确率均超过90%。     

大规模分布式系统实体交互脆弱性分析方法

大规模分布式系统中资源、用户、计算和管理分布化的特点,决定了实体间的频繁交互成为大规模分布式系统完成基本业务和实现安全机制的基本手段。针对因安全机制缺失而引入的大规模分布式系统交互脆弱性问题,提出了一种大规模分布式系统实体交互脆弱性分析模型LDS-IVA;通过对大规模分布式系统实体交互过程进行建模,采用可通用的大规模分布式系统交互安全机制描述语言IS-LAN描述各实体的安全机制,以大规模分布式系统中的关键资源为分析对象,采用有限状态机的方法对大规模分布式系统实体交互进行分析和验证,发现安全机制缺失和不足对关键资源机密性、完整性和可用性的影响,以识别大规模分布式系统交互中存在的脆弱性及其可能引发的攻击模式。     

基于Web的漏洞扫描系统的设计与实现

分析了网络漏洞扫描器在网络安全领域的重要作用及其工作原理，介绍了漏洞扫描器开源软件Nessus的优点，介绍了一个在Nessus的基础上开发的基于Web的网络漏洞扫描系统的设计与实现。     

基于主题爬虫的漏洞库维护系统

漏洞库是用来存储漏洞信息的数据库,是信息安全基础设施的重要组成部分。将主题爬虫技术引入漏洞数据库的维护工作,通过主题网络爬虫获取与"漏洞"相关的网页,从中提取漏洞信息来更新漏洞数据库,降低了人工维护的工作量,改善了现有漏洞库存在漏洞覆盖不全面、内容不丰富的问题。分析当前国内外主要漏洞库的结构特征,研究漏洞诸多属性间的关系,运用组群分类描述法构建漏洞库结构模型。在研究主题网络爬虫的基础上,提出一种面向漏洞主题的动态主题构建方案。介绍漏洞库维护系统的总体设计和实现方法。