通用Web漏洞库

本文研究了国内外Web漏洞库及建设的现状,设计并实现了一个专注于Web漏洞发布的Web漏洞数据库．文中兼顾了Web漏洞的固有特点及其与传统漏洞的属性差别,设计了Web漏洞库描述模型,丰富了Web漏洞的收集方法,定义了Web漏洞的漏洞评价属性标准,并在Web漏洞库中添加了Web漏洞重现模块．我们所设计的Web漏洞库确保了全面的Web漏洞信息收集和Web漏洞信息发布的标准化,可更好地对Web漏洞信息和数据进行分析研究,也为Web安全提供了有力的技术支撑．     

金融机构漏洞管理实践探索

为了有效地应对网络安全威胁,保障网络安全运行,企业必须有效地做好漏洞管理工作。文章通过对企业安全漏洞管理的挑战以及最新的安全漏洞管理理念进行分析和研究,并结合多年的工作和管理经验,基于Gartner模型,提出了一套包含漏洞收集、漏洞评估、漏洞修补以及持续监控在内具备高效性和实操性的漏洞闭环管理框架,在大型金融企业实际应用中取得良好的效果。     

基于主题爬虫的漏洞库维护系统

漏洞库是用来存储漏洞信息的数据库,是信息安全基础设施的重要组成部分。将主题爬虫技术引入漏洞数据库的维护工作,通过主题网络爬虫获取与"漏洞"相关的网页,从中提取漏洞信息来更新漏洞数据库,降低了人工维护的工作量,改善了现有漏洞库存在漏洞覆盖不全面、内容不丰富的问题。分析当前国内外主要漏洞库的结构特征,研究漏洞诸多属性间的关系,运用组群分类描述法构建漏洞库结构模型。在研究主题网络爬虫的基础上,提出一种面向漏洞主题的动态主题构建方案。介绍漏洞库维护系统的总体设计和实现方法。     

网络化条件下漏洞信息的获取及处理方法研究

针对目前众多计算机安全机构所使用的计算机漏洞信息的现状和存在问题,提出了开源漏洞库批量下载、权威漏洞库查询、信息搜索等漏洞信息自动获取方法,对获取的XML、HTML和文本结果文件进行信息抽取,实现了漏洞信息的多源融合.     

分布式电信网漏洞管理系统的研究与设计

漏洞是导致电信网安全隐患的重要原因之一.介绍了电信网漏洞的产生原因及分类方法;结合CVE的行业标准,给出了电信网安全漏洞所包含的属性描述;为了实现安全漏洞数据在网络上的传输和不同关系数据库之间的数据共享,采用了基于XML的漏洞属性表示模型,用来表示漏洞的属性数据;运用三层J2EE设计规范,设计了基于B/S模型的分布式电信网漏洞管理系统,以提供对漏洞库中所存储的电信网安全漏洞数据的发布、更新、查询、删除等功能.     

基于CVE漏洞库的生存性量化分析数据库和量化算法的设计

分析了信息系统生存性分析技术的发展现状,介绍了CVE漏洞库在网络漏洞扫描系统中的应用,深入分析了基于CVE漏洞库的生存性量化分析数据库和量化算法的设计,并结合实验数据说明算法的性能。     

系统安全漏洞研究及数据库实现

计算机系统安全漏洞的研究以及漏洞库的建设，对于提高系统安全性，减少安全事件发生具有重要意义。该文在对系统安全漏洞分类研究的基础上，提出了一个系统安全漏洞数据库的结构模型，并以此构建了一个以国际CVE编号为标准的漏洞数据库，并给出了数据库中的一个漏洞实例。     

网络安全漏洞信息采集系统的研究

网络漏洞库的研究与建设,对于提高网络安全性具有重要意义。为综合利用已有漏洞库的信息,并提供更灵活的应用接口,提出了一种基于多库的网络安全漏洞信息采集系统模型。该系统由信息获取和信息集成两部分组成,信息获取部分根据来源漏洞库数据的特点实施相应的采集策略,实现数据的获取与更新,信息集成部分以漏洞的CVE编号为依据,实现对多个漏洞库信息的集成。研究了信息获取与信息集成的实现机制,保证了系统可扩展性、信息的全面性和应用方式的灵活性。     

漏洞自动修复研究综述

软件漏洞是计算机软件系统安全方面的缺陷, 给现代软件及其应用数据的完整性、安全性和可靠性带来巨大威胁. 人工治理漏洞费时且易错, 为了更好应对漏洞治理挑战, 研究者提出多种自动化漏洞治理方案, 其中漏洞自动修复方法近来得到研究者广泛关注. 漏洞自动修复技术旨在辅助开发人员修复漏洞, 涵盖漏洞根因定位、补丁生成、补丁验证等功能. 现有工作缺乏对漏洞修复技术系统性的分类与讨论, 为了促进漏洞修复技术发展, 加深研究人员对漏洞修复问题的认知理解, 对现有漏洞修复方法技术的理论、实践、适用场景和优缺点进行全面洞察, 并撰写了漏洞自动修复技术的研究综述. 主要内容包括: (1)按照修复漏洞类型不同整理归纳特定类型漏洞的修复方法以及通用类型漏洞的修复方法; (2)按照所采用的技术原理将不同修复方法进行分类与总结; (3)归纳漏洞修复主要挑战; (4)展望漏洞修复未来发展方向.     

软件漏洞分析课程建设探讨

本文从《软件漏洞分析》课程的建设目标、设计思路、内容设置、实验环境建设和教学模式等多方面对课程建设进行了探索,重点培养学生软件漏洞分析、漏洞利用和漏洞挖掘的能力.     

基于环境的Fuzzing测试技术

鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过.     

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.     

漏洞扫描与入侵检测联动系统的研究

提出漏洞扫描与入侵检测系统联动工作模型.通过定期对系统进行漏洞扫描,及时修补系统安全漏洞,同时IDS根据漏洞扫描结果,对模式库进行动态更新,删除和得到与修补的漏洞有关的攻击模式,缩减模式库的规模,从而可以有效地提高IDS检测效率.根据该模型,系统采用开放接口方式实现双方联动,使用基于插件的开放式模块化方法编程,以提高系统的可扩展性.     

漏洞扫描器中插件技术的研究

随着计算机网络和Internet的发展,将会出现更多的安全漏洞。这就对漏洞发现和漏洞扫描器软件的升级提出了挑战。为了及时地对漏洞扫描器进行升级和及时地发现漏洞,对BITScanner漏洞扫描器的外部扫描模块和内部扫描模块采用插件技术实现。在Windows平台下采用动态连接库(DLL)技术实现;在Unix平台下采用共享对象(SO)技术实现。     

基于Mozilla的安全性漏洞再修复经验研究

相较于其他类型的漏洞,安全性漏洞更容易发生再修复,这使得安全性漏洞需要更多的开发资源,从而增加了这些安全性漏洞修复的成本。因此,减少安全性漏洞再修复的发生的重要性不言而喻。对安全性漏洞再修复的经验研究有助于减少再修复的发生。首先,通过对Mozilla工程中一些发生再修复的安全性漏洞的安全性漏洞类型、发生再修复的原因、再修复的次数、修改的提交数、修改的文件数、修改的代码行数的增减、初始修复和再修复的对比等数据进行分析,发现了安全性漏洞发生再修复是普遍存在的,且与漏洞发生原因的识别的复杂程度和漏洞修复的复杂程度这两个因素有关;其次,初始修复涉及的文件、代码的集中程度是影响再修复的原因之一,而使用更复杂、更有效的修复过程可有效避免再修复的发生;最后,总结了几种安全性漏洞发生再修复的原因,使开发人员有效地识别不同类型的安全性漏洞再修复。     

现阶段网络安全漏洞分析

随着计算机技术的不断发展,人们无论是生活、工作还是学习都离不开网络。那么网络安全漏洞在整个互联网中是非常重要的问题,其原因是一旦遭到不良的攻击就会导致数据丢失、服务器无法正常运行等,严重的情况下还会导致整个数据库损坏,因此研究网络安全漏洞并提出防范措施具有重要意义。本文对当前网络安全的重要性进行了分析,在此基础上阐述了网络安全存在的漏洞类型,最后提出了防范网络安全漏洞的相关建议。     

漏洞扫描器中插件技术的研究

随着计算机网络和Internet的发展,将会出现更多的安全漏洞.这就对漏洞发现和漏洞扫描器软件的升级提出了挑战.为了及时地对漏洞扫描器进行升级和及时地发现漏洞,对BITScanner漏洞扫描器的外部扫描模块和内部扫描模块采用插件技术实现.在Windows平台下采用动态连接库(DLL)技术实现;在Unix平台下采用共享对象(SO)技术实现.     

浅谈漏洞评估与管理产品现状及趋势

漏洞是引发信息安全问题的重要原因之一,漏洞评估与管理产品是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的工具,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。从技术发展角度,结合IT建设的发展变化,对未来该领域技术和产品的发展趋势进行论述。     

漏洞挖掘技术研究

漏洞挖掘是网络攻防技术的重要组成部分。首先介绍了漏洞的概念、漏洞的成因、漏洞的主要分类以及漏洞挖掘一般流程,然后研究了补丁分析和测试技术两种漏洞挖掘方法,重点对二进制补丁比较、白盒测试、黑盒测试等具体漏洞挖掘技术进行了分析,比较了各种漏洞挖掘技术的优缺点。     

计算机漏洞库系统的设计、实现与应用

如何发现、修补和利用计算机漏洞，是网络攻防研究的焦点问题之一。本文首先对国内外的研究现状进行分析与综述，然后介绍了如何设计、实现计算机漏洞库系统，提出了运用CORBA分布对象技术定义和实现漏洞库信息的应用程序访问接口，基于事件模型完成漏洞补丁程序或应对措施在可信任计算机之间的自动推送，实现动态的系统漏洞分析与应对。