一种多周期漏洞发布预测模型

提出了一种多周期漏洞发布预测模型,描述了漏洞发现数量与时间的关系,预测漏洞发布过程.该模型引入周期概念,扩展了原单一增长过程的漏洞发布预测模型,增大了现有模型的适用范围.提出了相关参数的计算方法与初值选取方法,对8个版本的Windows操作系统进行实验分析.结果表明,该模型增加了预测过程的有效性,同时提高了预测结果的准确性.     

一种基于层次分析法的信息系统漏洞量化评估方法

根据层次分析法提出了一种具有可操作性的信息系统漏洞量化评估方法。按照分层思想,将系统漏洞严重程度的模型分解为因素层、评价层、特性层和目标层,分别从风险概率、风险影响和不可控制性等几方面对漏洞带来的风险因素进行专家评定,并依此来确定权重,通过计算其各层评估值,最后得到信息系统的整体漏洞严重性评估值。实验结果表明,基于层次分析法的信息系统漏洞评估方法能对系统漏洞的严重性程度进行有效量化和评估。     

计算机系统漏洞危害与处理策略

计算机系统漏洞一直以来都是用户和软件开发商面临的重要问题,随着计算机技术的发展,系统漏洞的危险性也在急剧上升。当前的计算机漏洞逐渐呈现出多元化状态,给漏洞危害的预防及处理造成了很大的难度。本文首先总结了几种常见的系统漏洞形式,对其危害进行详细地分析,并从病毒防范、黑客攻击、软件管理等方面提出了处理策略。     

基于市场占有率的操作系统安全漏洞检测模型

操作系统等系统软件中的安全漏洞本质上是一种没有满足软件安全性的缺陷.对安全漏洞的检测过程进行深入研究能够使安全测试人员合理分配测试资源,更准确地评估软件的安全性.深入分析了影响操作系统软件安全漏洞检测的因素,认为安全漏洞检测速度与软件的市场占有率、已发现漏洞数和未发现漏洞数成正比.在此基础上建立了基于市场占有率的漏洞检测模型.该模型表明:在软件发布之前只会暴露少量安全漏洞;某些安全漏洞最终不会被检测到.这两个结论已被实际的数据证实.最后用提出的模型分析了三种流行操作系统的漏洞检测数据集.与同类模型相比,模型具有更好的拟合能力与预测能力.     

基于端口和编号的漏洞代码匹配方法研究

渗透测试是一种有效的安全测试方法,自动化渗透测试的关键问题之一是将发现的系统漏洞与已知漏洞利用代码进行匹配。文章提出基于开放端口和基于漏洞编号的两种匹配方法,通过将系统漏洞的端口号或漏洞编号,与漏洞利用代码中描述的端口号或漏洞编号对应检查完成匹配。实验结果表明,两种方法的查全率分别达到96.8%和90.3%,可以有效实现匹配。该方法可实际应用于自动化渗透测试。     

网络应用程序漏洞实时检测系统的设计

针对现有漏洞检测程序在实时反映系统漏洞状况方面存在的不足,设计一种实时漏洞检测系统,用于对系统中网络应用程序的漏洞进行实时监测;通过阐述系统的原理及相关技术,给出系统的整体结构、功能模块的设计和流程;最后,对系统的优缺点进行分析。     

面向工控系统漏洞的多维属性评估

针对工业控制系统漏洞风险评估角度较为单一且与工控环境联系不紧密问题，提出了面向工业控制系统漏洞的多维属性评估方法。首先，建立了漏洞有效性、风险类别属性判别模板，同时定义漏洞风险程度多维评价指标。其次，提出基于ernieCat的风险程度预测模型，使用漏洞文本描述及漏洞内在评价属性作为融合特征预测漏洞的严重性、危害性以及可利用性等级。结合工业控制系统设备层级关键信息与漏洞风险等级情况，建立多维度量化指标，对工业控制系统漏洞的危害程度进行量化评估。最后，通过实验验证ernieCat模型应用在漏洞风险程度预测方面的优越性。     

计算机漏洞库系统的设计、实现与应用

如何发现、修补和利用计算机漏洞，是网络攻防研究的焦点问题之一。本文首先对国内外的研究现状进行分析与综述，然后介绍了如何设计、实现计算机漏洞库系统，提出了运用CORBA分布对象技术定义和实现漏洞库信息的应用程序访问接口，基于事件模型完成漏洞补丁程序或应对措施在可信任计算机之间的自动推送，实现动态的系统漏洞分析与应对。     

漏洞主动分析及预测攻击的新模型

网络安全漏洞从暴露的方式来看,存在隐性和显性两类。利用国内外现有的网络安全漏洞扫描器或安全检测产品,可以发现显性网络安全漏洞,但不能发现隐性的网络安全漏洞。本文提出漏洞主动分析及预测机制,并根据计算机网络可用资源的有限性和攻击手段不断增加的特殊性,建立“套桶模型”。这个模型将复杂的攻击分析简单化,采用可绕轴转的坐标系来表示攻击响应的情况,为网络安全漏洞检测的自动化、智能化提供了一种新的思路。     

计算机安全漏洞风险评估及防护

该文在分析计算机安全漏洞风险评估基本原则基础上,采用定量与定性的分析方法,制定了漏洞风险级别的四个因素,提出了系统漏洞风险分析与评估算法,并针对实际案例进行了漏洞风险评估及其初步防护建议。     

安全漏洞标识与描述规范的研究

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容.该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准.     

网络脆弱性研究

首先介绍了实时分析网络脆弱性的一种框架，它能够被用于实时发现攻击点(或网络的脆弱性)，描述网络在攻击情况下的状况。为了证明其有效性，对该方法在DDoS上的应用结果进行了分析。     

漏洞自动修复研究综述

软件漏洞是计算机软件系统安全方面的缺陷, 给现代软件及其应用数据的完整性、安全性和可靠性带来巨大威胁. 人工治理漏洞费时且易错, 为了更好应对漏洞治理挑战, 研究者提出多种自动化漏洞治理方案, 其中漏洞自动修复方法近来得到研究者广泛关注. 漏洞自动修复技术旨在辅助开发人员修复漏洞, 涵盖漏洞根因定位、补丁生成、补丁验证等功能. 现有工作缺乏对漏洞修复技术系统性的分类与讨论, 为了促进漏洞修复技术发展, 加深研究人员对漏洞修复问题的认知理解, 对现有漏洞修复方法技术的理论、实践、适用场景和优缺点进行全面洞察, 并撰写了漏洞自动修复技术的研究综述. 主要内容包括: (1)按照修复漏洞类型不同整理归纳特定类型漏洞的修复方法以及通用类型漏洞的修复方法; (2)按照所采用的技术原理将不同修复方法进行分类与总结; (3)归纳漏洞修复主要挑战; (4)展望漏洞修复未来发展方向.     

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.     

通用Web漏洞库

本文研究了国内外Web漏洞库及建设的现状,设计并实现了一个专注于Web漏洞发布的Web漏洞数据库．文中兼顾了Web漏洞的固有特点及其与传统漏洞的属性差别,设计了Web漏洞库描述模型,丰富了Web漏洞的收集方法,定义了Web漏洞的漏洞评价属性标准,并在Web漏洞库中添加了Web漏洞重现模块．我们所设计的Web漏洞库确保了全面的Web漏洞信息收集和Web漏洞信息发布的标准化,可更好地对Web漏洞信息和数据进行分析研究,也为Web安全提供了有力的技术支撑．     

网络主机脆弱性分析

本文提出了一种基于Agent的网络主机脆弱性分析框架，通过分布在各主机中的Agent对网络主机脆弱性度量进行收集，然后分析在不同网络攻击阶段的脆弱性度量值变化状况。通过该脆弱性评估框架，不仅分析了网络主 机的脆弱性状况、模拟了网络攻击过程，而且为进一步的网络安全防范奠定了基础。     

软件脆弱性描述方法研究

软件脆弱性是系统安全受到各种威胁的根本原因。从软件脆弱性的本质出发，对脆弱性进行研究是一个新课题。本文分析了各种软件脆弱性的定义，并基于脆弱性引入原因、所在部件、产生的影响、修复、验证、检测和攻击等关键属性，提出了对软件脆弱性的多维描述方法。     

莆田市雷电灾害易损度区划

利用莆田市2005-2011年闪电资料和2000-2011年雷电灾害统计资料,结合莆田市经济和人口密度特征,提出闪电密度、雷灾频度、经济易损模数、生命易损模数、经济损失模数、生命伤亡模数作为雷电灾害易损度评估指标;采用层次分析法确定指标权重,建立雷电灾害易损度评估模型,对莆田市各乡镇的雷电灾害易损度进行了综合评估;利用聚类分析法对综合评估值进行更合理科学的分级,形成莆田市雷电灾害易损度区划.     

一种非堆喷射的IE浏览器漏洞利用技术研究

随着互联网技术的进步和发展,计算机成为人们日常生产生活不可缺少的工具,计算机系统的安全问题愈加重要。目前,利用各类系统或软件的漏洞已经成为主流的攻击方法。为更加有效防御针对漏洞的攻击,就需要对各类漏洞利用方法深入研究。文章基于流行的IE浏览器漏洞利用方法的研究,介绍了一种新型的浏览器漏洞利用技术,并在已知漏洞中得到了验证。     

基于Fuzzing的TFTP漏洞挖掘技术

Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路，并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer，并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试，发现了8种TFTP服务器的13个安全漏洞，其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。