基于语义感知图神经网络的智能合约字节码漏洞检测方法

针对传统智能合约漏洞检测方法检测精度较低、误报率较高,以及基于神经网络的方法对字节码级智能合约特征挖掘不足的问题,提出了一种基于语义感知图神经网络的智能合约字节码漏洞检测方法.首先,以智能合约字节码划分基本块作为节点,并从字节码中提取基本块间的调用关系作为边,以此生成控制流图(control flow graph,CF...     

基于静态信息流跟踪的输入验证漏洞检测方法

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具FindBugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将FindBugs的输入验证漏洞检测误报率降低了55.7%.     

基于D-S证据理论的嵌入式固件Web代码静态漏洞检测技术

固件的漏洞挖掘和检测主要包含基于虚拟仿真的动态漏洞挖掘与检测技术和基于逆向工程的静态白盒审计技术等,其存在仿真率低或误报率高等问题,为此,提出了一种基于多维度特征的固件Web漏洞检测方法,利用多维度特征、多层级处理技术和基于D-S证据理论的漏洞推理规则,针对固件Web中常见的各类漏洞进行有效检测,并能降低漏洞检测误报率.     

软件与系统漏洞分析与发现技术研究构想和成果展望

软件与系统漏洞是国家网络空间安全的重要战略资源。中国关键基础设施和重要信息系统部分核心技术受制于人,软件与系统漏洞普遍存在的现状短期之内无法根除,需要开展深层次、大规模、智能化漏洞挖掘研究;随着移动互联网、工业控制网和物联网等领域的新技术和新应用的推广,现有漏洞挖掘分析技术体系不能满足新的需求;此外,中国漏洞研究团队资源相对分散,国家层面漏洞研究协作机制尚未形成,难以支撑国家对漏洞战略资源的把控。以提升国家开展漏洞战略资源把控能力为导向,针对软件与系统漏洞研究现状,目前亟待解决的四大难题,即漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺。围绕四大难题开展攻关：一是,软件与系统漏洞智慧挖掘方法及关键技术,包括模糊推理经验库的构建方法、基于基因图谱的漏洞挖掘方法、智能引导优化问题、基于策略的漏洞识别方法。二是,软件与系统漏洞分析与可利用性判定技术,包括漏洞成因分析技术、程序异常路径构造技术、同源性漏洞分析技术、漏洞可利用性判定技术、多场景漏洞分析平台建设。三是,基于网络流量的漏洞分析与检测技术,包括利用动静态方法的漏洞攻击样本检测技术、研制软件漏洞攻击样本自动化检测原型系统、针对疑似网络攻击流量的深度检测与智能识别技术、网络攻击样本自动化分析与精准验证、面向攻击流量的漏洞检测与综合服务平台。四是,漏洞危害评估与验证技术,包括基于硬件虚拟化的动态污点分析技术、漏洞自动利用技术、研制基于虚拟环境的漏洞自动化验证系统、漏洞危害性评估体系和危害性评估算法。五是,漏洞规模化协同挖掘分析技术研究与应用,包括多任务多引擎自适应均衡规模化漏洞挖掘技术、多维度多任务智能协同技术、开放协作的知识复用技术、面向多计算环境的规模化协同漏洞发掘的一体化平台、规模化协同条件下漏洞挖掘、分析和可利用性评估技术、规模化协同漏洞发掘一体化平台在典型行业的应用验证。通过以上研究内容实现以下五个方面创新：一是,基因图谱定式复盘,基于基因图谱构建与经验知识复用的漏洞智慧挖掘技术;二是,多源分析多态利用,基于多源漏洞分析的多态可利用性评估技术;三是,动静结合意图推演,大流量环境下基于数据驱动与行为认知关联的攻击检测技术;四是,状态切片叠加复现,活体漏洞库构建技术;五是,智能连接迭代适应,多任务多引擎自适应均衡规模化漏洞挖掘技术。最终,构建集漏洞挖掘、分析、监测、评估、验证于一体的规模协同平台,形成知识复用、智能连接、开放协作的生态系统,为国家摸清网络空间安全家底、扭转攻防博弈被动局面提供技术支撑。     

基于代理的被动式Web漏洞检测研究

该文针对Web应用安全的常见漏洞,设计了基于客户端代理的被动式漏洞检测系统.该系统自动完成对应用程序中潜在的漏洞检测,并与当前流行的检测工具做了比较.通过对实验结果的分析可知,基于代理的被动式检测方法对应用程序的负载更小,检测范围更广.     

基于漏洞指纹的软件脆弱性代码复用检测方法

针对传统脆弱性代码复用检测技术漏报率高的问题,提出基于漏洞指纹的检测方法.分析开源项目漏洞补丁的结构与脆弱性代码特征,总结代码复用过程中常见修改手段的特点,设计基于哈希值的漏洞指纹模型.开展代码预处理消除无关因素的影响,选取固定行数的代码块作为特征抽象粒度,利用哈希算法抽取关键代码特征.通过搜集开源项目漏洞信息与相关代码片段构建漏洞样本库,利用基于LCS的相似性评估算法定位漏洞样本的复用并且标记为敏感代码,使用漏洞指纹进行检测并根据识别策略完成对脆弱性代码的判定.实验结果表明,基于漏洞指纹的检测方法能够有效地应对多种代码修改手段的影响,明显提高检测效率,检测时间与输入代码量呈线性增长关系.     

区块链事件机制使用率监测方法的研究

以太坊区块链让开发者可以更容易地进行区块链上的应用和开发,其目标和愿景是通过该技术扩展到基于编程的去中心化应用(DAPP)平台,主要创新目标是支持智能协议。通过前期调研得到5种类型智能合约中事件机制的使用方法及使用率,收集以太坊智能合约中事件机制的相关数据,如智能合约中存在的事件数、事件机制使用率等,并提出以此为依据向合约提供负反馈、动态调整智能合约的设计策略。由于智能合约一经部署无法更改,因此拟采用proxy代理合约解决该问题;其次,设计基于solidity语言的以太坊智能合约,实现面向事件机制使用率监测结果的智能合约;最后开发简单的去中心化应用,模拟智能合约在以太坊平台的部署方案。     

基于RBF-SVM智能配变终端的网络安全态势评估

面向台区部署的智能配变终端受自身漏洞及通信网络脆弱性等多方面的影响,易受到网络攻击.针对智能配变终端存在的安全问题,提出一种基于RBF-SVM智能配变终端网络安全态势评估方法.首先,分析该终端可能遭受的网络攻击,提取相应的安全检测指标,并将检测指标数据归一化处理;然后构建基于高斯(RBF)核函数的非线性支持向量机(SVM)分类器,采用k折交叉验证与网格搜索法确定该分类器的最优参数C和g,建立智能配变终端安全态势评估模型;最后将检测指标数据样本代入模型中进行训练和测试.结果表明所提方法与随机森林和逻辑回归等方法相比较,具有更高的准确率,可实现终端安全态势评估,对电力终端安全防护具有一定的实用价值.     

基于RBF-SVM智能配变终端的网络安全态势评估

面向台区部署的智能配变终端受自身漏洞及通信网络脆弱性等多方面的影响,易受到网络攻击.针对智能配变终端存在的安全问题,提出一种基于RBF-SVM智能配变终端网络安全态势评估方法.首先,分析该终端可能遭受的网络攻击,提取相应的安全检测指标,并将检测指标数据归一化处理;然后构建基于高斯(RBF)核函数的非线性支持向量机(SVM)分类器,采用k折交叉验证与网格搜索法确定该分类器的最优参数C和g,建立智能配变终端安全态势评估模型;最后将检测指标数据样本代入模型中进行训练和测试.结果表明所提方法与随机森林和逻辑回归等方法相比较,具有更高的准确率,可实现终端安全态势评估,对电力终端安全防护具有一定的实用价值.     

基于区块链智能合约的物联网数据资产化方法

使用基于区块链智能合约的物联网数据资产化方法解决物联网系统中个人数据难以确权、数据资产的量化跟踪和价值转移无法高效完成等问题.借助区块链数字指纹将数据所有权和控制权从设备生产商转移至用户,为个人数据确权;通过全生命周期管理和数字签名等技术,将设备状态和数据哈希值存储至区块链,保证数据的可靠性;使用智能合约构建去第三方数据交易平台,保证数据共享的安全性,便捷地完成数据变现和数据价值转移.攻击可能性和攻击成功概率的量化分析结果表明,区块链智能合约技术可以为数据提供防篡改性,消除数据交易过程中的信任问题.借助区块链智能合约技术能够初步实现物联网数据的资产化,促进物联网设备的数据价值转移和共享.     

区块链数据安全管理和隐私保护技术研究综述

针对当前区块链安全方面存在数据管理模式不合理、数据共享方案不可靠、智能合约漏洞不易修复和多类型数据隐私保护不完善等问题,分析并总结了国内外关于数据安全管理和隐私保护技术的文献. 从数据存储安全、数据隐私安全、数据访问安全和数据共享安全4个方面来概括目前区块链系统存在的各类安全问题及合理的解决方案,讨论区块链实现数据安全面临的挑战及未来的研究方向,为区块链安全领域相关人员未来的研究工作提供了一定的参考.     

基于上下文特征融合的代码漏洞检测方法

针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法.该方法将代码特征解耦分为代码块局部特征和上下文全局特征.代码块局部特征关注代码块中关键词的语义及其短距离依赖关系.将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系.该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力.模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分.实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.     

Web应用常见注入式安全漏洞检测关键技术综述

针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展。介绍了Web应用常见的注入式安全漏洞的分类,总结了这类漏洞的成因,梳理了安全漏洞检测的复杂性;阐述了注入式安全漏洞检测的关键技术,包括漏洞注入点的分析和识别、符号执行和污点分析以及基于软件分析和测试模型的漏洞检测方法;最后给出了研究展望。     

一个漏洞扫描与检测系统设计

针对网络信息系统安全漏洞问题,利用网络安全扫描原理及常用扫描技术,设计了一个基于主机和网络的漏洞扫描与检测系统,并对其主要功能模块进行了描述.     

基于FP-Growth算法的XSS漏洞动态检测方法

为提高跨站脚本(XSS)漏洞动态检测方法的检测能力,提出一种基于FP-Growth算法构造攻击向量库并利用web测试工具进行检测的XSS漏洞动态检测方法。首先,建立基于FP-Growth算法的关联规则挖掘模型,利用模型挖掘大量XSS攻击实例间的关联规则,并以此为基础构造一个内含更多种类攻击向量的攻击向量库;其次,设计注入点匹配规则和攻击向量验证规则并实现基于Selenium的XSS漏洞检测模块SmartXSS,以适应加载攻击向量库实施检测。实验结果表明,基于实验环境所提方法通过发送正常请求实施XSS漏洞检测的检测率可达88.89%,相比Wapiti等同类工具提高了22.22个百分点。     

基于渗透测试的多层次网络安全入侵检测方法

针对当前电力系统网络安全检测技术存在异常数据判断准确率低、无法有效标定异常数据位置,导致网络安全入侵检测准确率低的问题,提出基于渗透测试的电力系统多层次网络安全入侵检测方法.通过滤波和特征提取提纯特征信号,构建电力系统网络安全入侵检测器,根据异常数据来源确定电力系统网络漏洞位置,实现多层次网络安全入侵检测.结果表明,所提方法对异常数据的判断准确率高、能够有效标定异常数据位置,比对比检测方法的平均检测率高1.9%,具有更优的检测性能.     

电气控制故障在线智能检测技术研究

针对传统电气控制开关柜的典型故障问题,开展了在线智能检测技术研究,分析了故障机理和故障定位方法,提出了基于信号时序判断的在线智能检测方法。     

基于相量测量的状态估计攻击检测方法

针对电力系统中基于相量测量技术状态估计的虚假数据注入攻击难以被成功检测的问题,本文提出一种面向电力系统线性状态估计的攻击智能检测方法.采用自编码器对电网测量数据进行多次特征提取,逐渐降低特征维度;提取信息通过softmax层进行有监督学习,从而得到基于堆叠自编码器的攻击检测算法.针对自编码器的过度拟合问题,进一步提出基于降噪自编码的攻击检测方法.采用IEEE-118节点测试系统对所提出的方法进行仿真验证,结果表明所提出的攻击检测方法计算精度和效率高于其他方法.     

基于RNN的智能电网拓扑变异型FDI攻击检测方法

针对近年来对智能电网运行状态构成严重安全威胁的虚假数据注入问题,提出一种基于循环神经网络的智能电网拓扑变异型虚假数据注入攻击检测方法.通过分析电力系统状态估计方法的不足和虚假数据注入攻击绕过系统监测与防御的入侵方式,引入循环神经网络分析连续数据序列的时序变化,并在IEEE-30节点系统上进行仿真验证.仿真结果表明,提出的方法能够高效、准确地检测智能电网中产生的虚假数据注入攻击行为,其检测准确率可达99.9%,相比于其他检测方法具有较大的优势.     

嵌入式C代码释放后重用缺陷检测

C代码中的释放后重用缺陷严重影响着嵌入式系统的鲁棒性与可靠性.针对此类漏洞的现有检测方案多针对于计算机系统及应用程序,无法为复杂多样的嵌入式程序提供支持.静态代码分析可以在没有代码运行环境的前提下进行代码缺陷检测.因此,基于LLVM编译框架设计了静态污点追踪方案,实现了针对释放后重用缺陷代码特征的自动化检测.实验结果证...