检索结果-南通市图书馆

基于策略推导和用例执行轨迹解析的访问控制漏洞检测方法研究

维普期刊数据库博看期刊评论

在线全文

学校读者我要写书评

暂无评论

基于策略推导和用例执行轨迹解析的访问控制漏洞检测方法研究

作者：郭利娜燕山大学

学位级别：硕士

随着信息化时代的到来,网络应用已经充斥于我们的日常生活中,信息系统安全问题已经成为不可忽略的存在。但目前Web应用程序中很少有完美的访问控制策略,攻击者绕过应用程序中对身份的验证检查,然后越权访问存储在后端数据库中的敏感信息... 详细信息

随着信息化时代的到来,网络应用已经充斥于我们的日常生活中,信息系统安全问题已经成为不可忽略的存在。但目前Web应用程序中很少有完美的访问控制策略,攻击者绕过应用程序中对身份的验证检查,然后越权访问存储在后端数据库中的敏感信息,造成各种敏感信息的泄露。与其他的Web应用中的漏洞(如注入漏洞)相比,访问控制漏洞特定于应用程序,缺少访问控制策略使得推断丢失的权限检测操作更加困难。本文提出了一种基于策略推导和用例执行轨迹解析的访问控制漏洞检测方法,通过网络爬虫和Web代理收集用户和应用程序之间的会话过程,然后分析会话过程在角色级和用户级推导Web应用程序的访问控制策略,最后利用定向模糊测试技术生成测试用例以识别潜在的访问控制漏洞。本文的主要研究工作如下。首先,针对现有网络爬虫存在的爬取效率低和覆盖率低的问题,充分考虑了页面URL之间的相似性,在向待爬队列添加URL时,筛选掉URL相似度极高的页面地址,避免了对相同或然相似页面的重复爬取,提升了网络爬虫的爬取效率。并利用Selenium自动化测试工具实现了表单自动化填充功能,提高了网络爬虫的覆盖率。然后,针对目前存在的Web应用测试用例生成方法展开了深入的研究,利用Web应用中基于HTTP协议的身份验证机制,对模糊测试生成技术作出了改进。提出了定向模糊测试技术,实现了对合法测试用例进行定向性修改,降低了非法测试用例生成的随机性。最后,考虑到目前工作都将网页视为控制访问的基本单元,最终将检测的漏洞停留在页面级别,无法深入到代码内部。本文提出了基于RBAC的权限表示形式,将用户在应用程序中可操作的数据库查询语句集合视为权限集,可以将检测的漏洞定位到代码内部的查询语句附近,提高了漏洞检测的粒度。

关键词：网络安全访问控制漏洞角色权限

基于知识图谱的工控系统漏洞推理系统设计与实现

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于知识图谱的工控系统漏洞推理系统设计与实现

作者：程晟滔哈尔滨工业大学

学位级别：硕士

随着工业互联网的发展,工业控制系统的信息化程度提高,工业控制系统的网络安全风险也随之提升,出现了各类针对工控信息系统的新型攻击技术和手段,是影响国家安全、经济发展和社会稳定的重大隐患。提升对工控系统漏洞的认识,是加强工控... 详细信息

随着工业互联网的发展,工业控制系统的信息化程度提高,工业控制系统的网络安全风险也随之提升,出现了各类针对工控信息系统的新型攻击技术和手段,是影响国家安全、经济发展和社会稳定的重大隐患。提升对工控系统漏洞的认识,是加强工控系统安全防护的重要途径。目前学术界对漏洞的分析一般是从漏洞的知识性信息入手,分析漏洞的严重性或可利用性,分析结果体现的是漏洞抽象属性,不能准确描述具体漏洞。本文借助知识图谱及其推理能力,从工控系统场景入手,结合漏洞知识信息,对工控系统中的具体漏洞进行可利用性推理分析。具体研究内容如下:首先,研究工控系统漏洞知识图谱的构建。对工控系统中的漏洞利用案例进行分析,确定图谱构建所需本体。针对工控系统场景数据缺乏的问题,设计了一种基于工控漏洞公开情报数据,生成模拟工控系统漏洞知识图谱的方法,并基于该方法生成一个工控系统漏洞知识图谱,可为后续研究服务。其次,研究了工控系统漏洞知识图谱嵌入方法。目前常见的图谱嵌入方法大多专注于知识图谱的结构信息,知识图谱实体中包含的语义信息常常被忽略。本文提出了一种图谱嵌入方法,在图谱嵌入中加入实体的语义信息和结构信息。另外对于实体来说邻居信息也很重要,因此在嵌入方法中加入图注意力机制,有选择地为实体汇集邻居信息,生成最终的实体与关系嵌入向量。再次,研究工控系统漏洞知识图谱关系推理方法。先提出了一种基于查询关系相似度的关键路径选择算法,克服工控系统漏洞知识图谱中难以确定推理关键路径的问题,能够有效快速地搜索出关系推理的关键路径。然后针对工控系统漏洞知识图谱中,漏洞利用需要多条件共同判断的问题,提出了一种基于关键路径组合的关系推理模型,能够有效地组合所获得的关键路径,最后完成漏洞利用关系推理。最后,基于上述工作,设计并实现了工控系统漏洞推理原型系统。该系统基于工控系统漏洞相关数据生成工控系统漏洞知识图谱,并基于该知识图谱,分析其中漏洞的可利用性,同时可确定漏洞利用的关键路径,辅助工控系统漏洞分析与管理。

关键词：工控安全漏洞知识图谱知识图谱嵌入知识推理

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

漏洞严重性的灰色层次分析评估模型

电子科技大学学报 2010年第5期39卷 778-782,799页

作者：杨宏宇谢丽霞朱丹中国民航大学计算机科学与技术学院天津东丽区300300

针对系统漏洞的严重性评估问题,提出基于灰色评估方法和层次分析法的量化评估模型。首先根据漏洞严重性的影响因素,建立漏洞严重性评估指标体系。通过层次分析法建立递阶层次模型并计算漏洞各因素的权重,采用基于中心点三角白化权函数... 详细信息

针对系统漏洞的严重性评估问题,提出基于灰色评估方法和层次分析法的量化评估模型。首先根据漏洞严重性的影响因素,建立漏洞严重性评估指标体系。通过层次分析法建立递阶层次模型并计算漏洞各因素的权重,采用基于中心点三角白化权函数的灰色评估方法对漏洞各层次指标进行评估和分析,得到漏洞的综合评估结果即漏洞严重性的等级和综合量化值。实验结果表明该模型能有效、准确地评估系统漏洞的严重性。

关键词：层次分析法评估灰色评估方法严重性漏洞

在线全文

学校读者我要写书评

暂无评论

漏洞信息的分析及其自我定制

计算机工程 2005年第2期31卷 149-151页

作者：唐屹广州大学数学与信息科学学院

针对主动发现系统的漏洞信息是减少漏洞利用的有效途径。基于网页爬虫,设计了一个漏洞信息自动搜索框架:AVIS,用户可以通过这样的框架,实现网上漏洞资源的自我定制,及时获得所需的漏洞信息。

关键词：漏洞定制网页信息框架用户系统资源有效途径网上

在线全文

学校读者我要写书评

暂无评论

一种利用补丁的未知漏洞发现方法

软件学报 2018年第5期29卷 1199-1212页

作者：李赞边攀石文昌梁彬中国人民大学信息学院北京100872

近年来,利用含有已知漏洞的函数作为准则,通过查找相似代码实现来检测未知漏洞的方法已被证明是有效的.但是,一个含有漏洞的函数通常也包含一些与已知漏洞无关的语句,严重影响相似度计算的结果,从而引发误报和漏报.提出了一种利用补丁... 详细信息

近年来,利用含有已知漏洞的函数作为准则,通过查找相似代码实现来检测未知漏洞的方法已被证明是有效的.但是,一个含有漏洞的函数通常也包含一些与已知漏洞无关的语句,严重影响相似度计算的结果,从而引发误报和漏报.提出了一种利用补丁来提高这种相似性检测准确性的漏洞发现方法.结合漏洞的补丁信息,引入程序切片技术去除原来含有漏洞的函数中与漏洞无关的语句,利用获得的切片生成去噪的漏洞特征来进行潜在未知漏洞检测.该方法已经在一些真实的代码集中实施,并且实验结果证明该方法确实能够有效减弱漏洞无关语句的干扰,达到提高检测准确性的目的.该方法还成功检测到了3个未知漏洞且已经得到确认.

关键词：漏洞补丁切片相似性检测

在线全文

学校读者我要写书评

暂无评论

一种多周期漏洞发布预测模型

软件学报 2010年第9期21卷 2367-2375页

作者：陈恺冯登国苏璞睿聂楚江张晓菲中国科学院研究生院信息安全国家重点实验室北京100049 中国科学院软件研究所信息安全国家重点实验室北京100190 信息安全共性技术国家工程研究中心北京100190 中国信息安全产品测评认证中心北京100089

提出了一种多周期漏洞发布预测模型,描述了漏洞发现数量与时间的关系,预测漏洞发布过程.该模型引入周期概念,扩展了原单一增长过程的漏洞发布预测模型,增大了现有模型的适用范围.提出了相关参数的计算方法与初值选取方法,对8个版本的Win... 详细信息

提出了一种多周期漏洞发布预测模型,描述了漏洞发现数量与时间的关系,预测漏洞发布过程.该模型引入周期概念,扩展了原单一增长过程的漏洞发布预测模型,增大了现有模型的适用范围.提出了相关参数的计算方法与初值选取方法,对8个版本的Windows操作系统进行实验分析.结果表明,该模型增加了预测过程的有效性,同时提高了预测结果的准确性.

关键词：漏洞预测模型多周期 CSF

在线全文

学校读者我要写书评

暂无评论

基于粗糙集的漏洞属性约简及严重性评估

计算机研究与发展 2016年第5期53卷 1009-1017页

作者：付志耀高岭孙骞李洋高妮西北大学信息科学与技术学院西安710127

计算机漏洞是危害网络安全的重大隐患,可以利用系统配置不当、系统设计缺陷或是软件的bug等对系统攻击.由于产生漏洞有多种因素,使得与漏洞相关的属性有很多,难以客观筛选强关联属性.而且在不依赖专家经验或是先验知识的基础上,确定属... 详细信息

计算机漏洞是危害网络安全的重大隐患,可以利用系统配置不当、系统设计缺陷或是软件的bug等对系统攻击.由于产生漏洞有多种因素,使得与漏洞相关的属性有很多,难以客观筛选强关联属性.而且在不依赖专家经验或是先验知识的基础上,确定属性权重的客观标准也是一个困难的问题.提出一种新的漏洞评估方法 RAR,首先采用粗糙集理论中改进的可辨识矩阵算法,得到约简的漏洞强关联属性集;进而利用属性综合评价系统理论评估漏洞的严重性;最终获得二元组表示漏洞的定性评估值和定量评估值.实验结果体现该方法避免了主观选择漏洞强关联属性集和依赖专家先验知识,在漏洞属性约简和属性权重的计算上获得了满意的效果,对漏洞的定性分析和定量分析是准确有效的.

关键词：漏洞网络安全粗糙集属性约简漏洞评估

在线全文

学校读者我要写书评

暂无评论

有限资源条件下的软件漏洞自动挖掘与利用

计算机研究与发展 2019年第11期56卷 2299-2314页

作者：黄桦烽王嘉捷杨轶苏璞睿聂楚江辛伟中国科学院软件研究所可信计算与信息保障实验室北京100190 中国科学院大学计算机科学与技术学院北京100190 中国信息安全测评中心北京100085

漏洞是系统安全与攻防对抗的核心要素,漏洞的自动发现、分析、利用是长期以来研究的热点和难点,现有研究主要集中在模糊测试、污点分析、符号执行等方面.当前研究一方面主要从漏洞的发现、分析和利用的不同环节提出了一系列解决方案,缺... 详细信息

漏洞是系统安全与攻防对抗的核心要素,漏洞的自动发现、分析、利用是长期以来研究的热点和难点,现有研究主要集中在模糊测试、污点分析、符号执行等方面.当前研究一方面主要从漏洞的发现、分析和利用的不同环节提出了一系列解决方案,缺乏系统性的研究和实现;另一方面相关方法未考虑现实环境的有限资源条件,其中模糊测试主要基于大规模的服务器集群实施,污点分析和符号执行方法时间与空间复杂度高,且容易出现状态爆炸.针对有限资源条件下的漏洞自动挖掘与利用问题,建立了Weak-Tainted程序运行时漏洞模型,提出了一套面向漏洞自动挖掘、分析、利用的完整解决方案;提出了污点传播分析优化方法和基于输出特征反馈的输入求解方法等有限资源条件下的分析方案,提升了漏洞挖掘分析与利用生成能力;实现了漏洞自动挖掘和利用原型系统,单台服务器设备可并发运行25个漏洞挖掘与分析任务.对2018年BCTF比赛样本进行了实验对比测试,该输入求解方法在求解atoi,hex,base64编码的能力均优于ANGR,同等漏洞挖掘能力条件下效率比AFL提高45.7%,测试的50个样本中有24个能够自动生成利用代码,验证了Weak-Tainted漏洞描述模型用于漏洞自动挖掘和利用生成的优势.

关键词：漏洞模糊测试污点传播符号执行输入求解漏洞自动利用

在线全文

学校读者我要写书评

暂无评论

异常检测系统的漏洞分析

中南大学学报（自然科学版） 2009年第4期40卷 986-992页

作者：刘星宝蔡自兴中南大学信息科学与工程学院湖南长沙410083 湖南商学院现代教育技术中心湖南长沙410205

针对阴性选择算法生成的异常检测系统存在大量漏洞的问题,提出一种能够探测系统全部漏洞的非检测模式漏洞探测算法(EHANDP)。首先,指出目前检测系统漏洞探测算法(EHASP)的不完备性;然后,利用问题空间中的串模式证明空间中个体成为漏洞... 详细信息

针对阴性选择算法生成的异常检测系统存在大量漏洞的问题,提出一种能够探测系统全部漏洞的非检测模式漏洞探测算法(EHANDP)。首先,指出目前检测系统漏洞探测算法(EHASP)的不完备性;然后,利用问题空间中的串模式证明空间中个体成为漏洞的充分必要条件,并提出探测系统漏洞的完备性算法EHANDP,能够找出给定系统的全部漏洞是该算法的主要特点。实验中采用随机数据集和人工数据集比较2种漏洞探测算法。研究结果表明:在相同的实验环境下,EHANDP算法与EHASP相比不仅有相同的计算复杂度,而且有更强的探测能力。

关键词：人工免疫系统阴性选择算法漏洞异常检测