Fuzzing技术综述*

通过分析比较多种Fuzzing技术的定义,结合其当前发展所基于的知识和采用的方法,给出了Fuzzing技术的一个新的定义;重点从与黑盒测试技术的区别、测试对象、架构和测试数据产生机理四个方面总结了当前Fuzzing技术采用的一些新思想、新方法以及它们的缺陷。针对这些缺陷和实际应用中的需求,分别提出了当前Fuzzing技术下一步的具体研究方向和对应的研究方法。     

基于信息化平台的课程教学探索与实践

基于课程教学角度分析典型信息化教学平台的主要功能及设计特点,从多维课堂互动和课下交流两个方面阐述引入信息化平台对课程教学产生的帮助和促进作用,通过“算法设计与分析”课程的教学实践介绍,说明信息化平台的使用对于激发学员兴趣、提高教学质量具有良好的效果。     

计算机网络攻击方法

该文介绍了计算机网络攻击的一般过程、网络攻击常用的方法及其原理,分析了网络存在的各种安全漏洞并针对这些安全漏洞而确定的网络攻击点和攻击策略。同时对当前常用网络攻击工具进行了介绍和归纳。     

基于数据流分析的SQL注入漏洞发现技术研究

提出了一种新的SQL注入漏洞发现方法。在前人污染值传播概念的基础上,通过构建Web应用程序的控制流图,对不同控制流图结点指派合适的转换函数,跟踪污染值在程序中的传播过程,从而发现并定位源代码中存在的SQL注入漏洞。方法对用不同脚本语言编写的Web应用程序中SQL注入漏洞的发现具有通用性和有效性。     

集合覆盖问题的数据约简研究*

针对当前解决大规模集合覆盖问题的算法普遍存在着效率不高的问题,提出了一套削减数据规模的约简方法,并给出了一个能够与其他所有解决集合覆盖问题算法相结合的约简算法。用Beasley提出的45个测试用例进行试验,结果显示贪心算法和遗传算法在结合了约简算法后能够在更少的时间内得到更优的解,表明该约简方法和约简算法可以有效提高传统算法和智能算法解决大规模集合覆盖问题的效率。     

基于Fuzzing的PNG漏洞挖掘技术

Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。     

基于漏洞动态可利用性的网络入侵路径分析方法

现有的网络入侵路径分析方法未考虑漏洞的动态特征,且在描述漏洞利用导致的状态转移时,未考虑漏洞利用失败的情形。通过建模漏洞可利用性随时间的变化,文章提出一种改进状态转移概率计算方法的吸收Markov链模型。该模型结合网络攻防实际,考虑漏洞利用失败的情形,合理计算状态转移概率:首先对目标网络生成攻击图,在计算漏洞动态可利用概率的基础上,构建吸收Markov链;然后利用状态转移概率矩阵的性质,计算状态节点威胁度排序、入侵路径长度期望和路径成功概率,并在时间维度上进行分析。实验分析表明,文章方法相比已有方法在节点威胁度排序上更准确,对入侵路径长度期望和路径成功概率的计算更加符合网络攻防实际。