基于配置模糊的软件漏洞检测方法

为了检测特定配置条件下的软件漏洞,提出了一种配置模糊测试方法.它通过改变被测程序的配置检测一些只在特定运行时特定配置下才能表现出来的软件漏洞.应用程序运行在部署环境下时,配置模糊测试技术连续不断的模糊应用程序的配置信息,检查软件是否违反了“安全准则”,若违反,则表示存在一个安全漏洞,配置模糊测试技术执行测试时利用的是正在运行的一个应用程序的副本,因此不会影响应用程序的状态.描述了配置模糊测试方法的原型实现,并通过实验验证了该方法的高效性.     

一种面向对象软件风险评估方法研究

目前,大多数软件项目风险评估技术本质上都是基于主观的,而在软件开发过程中客观地依赖于度量技术进行软件风险分析的研究还很少。该文针对面向对象软件开发的特点,在对面向对象软件度量进行研究的基础上,提出了一种利用主成分分析技术评估软件风险的方法,该法能在软件项目管理过程中帮助开发者或管理人员识别软件的高风险模块,便于有效地开展风险管理。     

计算机安全漏洞风险评估及防护

该文在分析计算机安全漏洞风险评估基本原则基础上,采用定量与定性的分析方法,制定了漏洞风险级别的四个因素,提出了系统漏洞风险分析与评估算法,并针对实际案例进行了漏洞风险评估及其初步防护建议。     

一种利用UML的软件需求阶段风险评估方法

在软件开发活动早期阶段评估软件的风险及其影响程度将有效减少软件开发成本和降低软件开发风险。针对目前软件风险评估的研究主要集中在软件过程的中后期阶段的现状及遵循"尽早识别和控制风险"的实践准则,提出了一种在软件需求分析阶段,利用UML建模图形度量软件风险的方法。该方法主要关注在软件需求分析阶段预防软件风险,为降低风险在软件开发后期产生严重影响提供优化参考。     

考虑漏洞间相关作用的风险评估方法

信息安全问题随着时代的变迁日益复杂,而科学、合理的风险评估为信息安全提供了一种比较根本、有效的解决途径。运用可靠性分析的方法,提出了在计算机网络空间下,基于相关性漏洞的风险评估模型,对系统的攻击建模的研究提供了一个新的思路。     

一种基于软集和多属性综合的软件漏洞发现方法

针对软件漏洞检测中的漏洞覆盖率和人工缺陷审查等问题,提出了一种基于软集和多属性综合的软件漏洞发现方法.首先基于多检测工具的可信集成,建立了软件漏洞影响的评估模型;其次引入软集实现漏洞影响因素的度量,接着通过多属性综合的集成工具确定漏洞对软件安全的严重性影响,并最终完成软件漏洞的发现过程.实验结果表明,该方法对不同级别的漏洞均有较好的检测能力,为改善软件漏洞检测的误报率和漏报率等问题提供了一种可行的途径.     

一种软件项目的风险评估模型及应用

文章提出了一种软件项目风险评估模型。采用AHP方法与模糊逻辑法相结合的方法进行风险评估,并根据软件项目管理的实际情况对AHP方法与模糊逻辑法进行了改造。最后确定出软件项目各风险的权重。在确定了项目的风险,并做出了评估和排序后,对这些风险采取适当的方法进行有效的风险控制。通过实例分析可知,利用该方法可以方便地求出软件项目风险权重,实验结果符合实际。     

动静态特征结合的漏洞风险评估及缓解方法

针对如何提高漏洞风险评估的准确性进行了研究,提出一种动静态特征结合的漏洞风险评估及缓解方法。通过将传统风险评估方法中常用的来源于通用漏洞评分系统（CVSS）的攻击复杂度、影响程度、攻击向量等固定属性作为静态特征,将防御能力、漏洞修复情况、攻击者的攻击能力等随时间推移可能发生变化的属性作为动态特征,两者结合对漏洞的风险程度进行更加全面的评估。给出了在实际应用中各特征的量化计算方法,以及漏洞修复策略的推荐方法。以单个漏洞的风险评估过程和多个漏洞的风险评估结果为例,将评估结果与CVSS评分进行对比实验。结果表明该方法能结合具体的网络环境给出更加准确的漏洞风险评估结果及合理的漏洞修复策略,验证了该方法的可行性和有效性。     

一种微观漏洞数量预测模型

全球每年因为软件漏洞造成的损失十分巨大,而软件漏洞分析方法的缺陷使得漏洞本身难以被发现,因此大家开始对漏洞数量进行预测,预测软件的漏洞数量对信息安全评估有着重要的意义.目前主要的估算方法是漏洞密度的方法,但此方法仅是宏观范围内估算,并不能反映漏洞软件本身的性质.提出从软件的微观角度进行软件漏洞数量的估算通过提取软件典型微观参数,从而发现软件漏洞数量与其微观参数的联系,相比漏洞密度的预测方法具有相当的优势.软件微观漏洞模型在提出漏洞继承假设的基础上,认为软件的漏洞数量与它的某些微观参数之间存在线性关系,并给出了根据软件微观参数以及其历史版本漏洞数据预测软件漏洞数量的方法.通过对7款软件进行验证,证明了软件微观漏洞模型在预测软件漏洞数量时的有效性与准确性.     

面向可信软件的风险评估方法

风险管理逐渐成为开发高质量软件过程中的重要的组成部分。风险评估作为风险管理的重要活动之一,是风险控制的前提。贝叶斯网络作为风险管理的有力工具之一,是处理不确定性的有效方法。结合贝叶斯网络与模糊理论,提出一种风险评估方法,首先使用贝叶斯网络对影响可信软件的风险因素进行风险概率评估,然后利用模糊综合评价法进行风险综合影响评估。该方法用于软件项目的风险评估,为开发高质量的可信软件提供新策略。     

工业以太网风险评估及其研究方法

对工业以太网是一个信息系统以及对工业以太网系统进行风险评估的必要性进行了说明。基于模糊综合评价法对工业以太网进行了风险评估,分析了使用模糊综合弹价法时要考虑到的风险因素。     

熵权系数法应用于网络安全的模糊风险评估

利用模糊评判方法对网络安全进行风险评估,对各风险因素分别从风险发生的概率和风险产生的影响两方面进行评估,对风险因素的权重的确定,不是单凭主观评判,而是采用熵权系数法进行客观计算,通过实例分析可知,利用该方法可以方便地求出网络系统的风险度,实验结果符合实际。     

软件脆弱性危险程度量化评估模型研究

软件脆弱性的危险程度是对软件脆弱性被利用来攻击系统的潜在危险的度量。在分析目前已知的相关评价方法及其局限性的基础上,提出了根据脆弱性影响的严重程度和脆弱性可利用性来评佑脆弱性危险程度的分析框架,并基于模糊理论,提出了软件脆弱性危险程度评估的量化模型,建立了模糊测评因素关联隶属关系的递阶层次结构,并重点分析了基于模糊集的指标量化、基于模糊关系矩阵的指标权重的确定和软件脆弱性危险程度的综合评价方法。最后,给出了模型的应用与实现。     

基于综合权重的模糊层次风险评估方法

为更加真实的反映信息系统的总体风险水平,加强准确性,降低判断中主观因素的影响,本文将运用不确定型层次分析法(AHP)、模糊综合判断和熵权相结合的方法,对信息系统进行风险评估计算,以区间值的形式反映信息系统的风险状况。实例结果表明,该方法能较客观、真实、准确的评估信息系统风险情况。     

试谈软件漏洞的分类

软件的不安全性最主要来自软件自身的漏洞,软件漏洞给攻击者提供了可乘之机。列举了目前在全球比较常用的一些关于漏洞分类的方法,总结了一套软件漏洞的分类方法,为日后软件漏洞的分类的发展提供了一定的依据。     

软件项目人员流动风险的定量评估和分析

提出了一种评估软件项目人员流动风险的定量模型,示例了该模型的使用,使用该模型不但可以直观地得到软件项目的人员流动风险值,而且可以利用该模型的各项及其系数分析人员流动风险产生原因,找到其控制策略。     

基于证据推理的GNSS交通应用脆弱性评估

车载导航系统是GNSS(全球导航卫星系统)系统的一个重要应用,车辆接收GNSS信号在众多场景下均会受到干扰,这些干扰构成脆弱性因素.提出了一套GNSS脆弱性评估方法,从接收端定义了3个指标,借助D-S证据理论将3个指标融合成为“脆弱性指数”,得到了定量的脆弱性评估方案;通过在车辆上装载不同的接收机,在坡道、林荫道、隧道等典型路段采集数据,利用实验数据对评估方案进行验证;实验结果表明,融合后的“脆弱性指数”能够定量、准确地反映系统的脆弱性,方案填补了道路上车载导航系统脆弱性定量评估的空白.     

基于模糊数相似度的审判风险评估系统

随着审判管理日趋精细化,法院对审判风险精准化评估的需求逐渐增多,其中,如何有效进行审判风险等级定量分析是精准化风险评估的核心问题.现有的机器学习、风险矩阵等方法由于存在历史数据有限、审判风险评估精度要求高等不足,难以有效地应用于实际审判业务中.针对此问题,构建了基于模糊数相似度的审判风险评估模型,实现了多因素审判风险的...