检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

写污点值到污点地址漏洞模式检测

计算机研究与发展 2011年第8期48卷 1455-1463页

作者：忽朝俭李舟军郭涛时志伟北京航空航天大学计算机学院北京100191 中国信息安全测评中心北京100085

设备驱动是允许高级程序与硬件设备交互的底层程序.通常设备驱动中的漏洞较之应用程序中的漏洞对计算机系统的安全具有更大的破坏性.写污点值到污点地址是Windows设备驱动程序中频繁出现的一种漏洞模式.首次明确地对该种漏洞模式进行描... 详细信息

设备驱动是允许高级程序与硬件设备交互的底层程序.通常设备驱动中的漏洞较之应用程序中的漏洞对计算机系统的安全具有更大的破坏性.写污点值到污点地址是Windows设备驱动程序中频繁出现的一种漏洞模式.首次明确地对该种漏洞模式进行描述,提出一种针对二进制驱动程序中该种漏洞模式的自动检测方法,并实现相应的原型工具T2T-B2C.该方法基于反编译和静态污点分析技术,与其他方法相比,既可以分析C代码,也可以分析本地二进制代码.该工具由T2T和B2C两个组件组成:首先B2C基于反编译技术将二进制文件转换为C语言文件;然后T2T基于静态污点分析技术检测B2C生成的C代码中出现写污点值到污点地址漏洞模式的语句.使用多种反病毒程序中的二进制驱动对T2T-B2C进行了评估,发现了6个未公开漏洞.评估结果表明:该工具是一款可实际应用的漏洞检测工具,可应用于对较大规模的程序进行检测.

关键词：漏洞二进制设备驱动反编译污点分析

在线全文

学校读者我要写书评

暂无评论

漏洞基建,漏洞运营管理的新方向

中国信息安全 2022年第6期 63-64页

作者：胡晓娜王佳敏李雅 360漏洞云

漏洞,是网络攻击者的武器。近年来被“永恒之蓝”利用的Windows系统SMB漏洞、广泛使用的网络安全协议OpenSSL的“心脏出血”漏洞、开源组件Apache Log4j的远程代码执行漏洞等,都给网络空间造成了难以估量的威胁和损失。在网络安全态势... 详细信息

漏洞,是网络攻击者的武器。近年来被“永恒之蓝”利用的Windows系统SMB漏洞、广泛使用的网络安全协议OpenSSL的“心脏出血”漏洞、开源组件Apache Log4j的远程代码执行漏洞等,都给网络空间造成了难以估量的威胁和损失。在网络安全态势日益严峻的当下,建立完善的漏洞发现、响应机制与管理体系显得尤为重要。360安全大脑漏洞云基于自身实践,提出漏洞基建的概念,希望能为国家、城市、行业的漏洞运营管理体系建设提供新的思路。

关键词： Windows系统网络安全协议网络安全态势永恒之蓝网络空间 Apache OpenSSL 漏洞

在线全文

学校读者我要写书评

暂无评论

网络型入侵检测系统存在的漏洞及其对策研究

计算机工程 2002年第1期28卷 172-174,194页

作者：张铭来金成飚赵文耘复旦大学计算机科学与工程系上海200434

网络安全技术中的一个重要方面就是入侵的检测,从数据链路层、网络层和传输层方面讨论了基于网络的入侵监测系统存在的一3些漏洞,分析其可能遭受的攻击,以及相应的防范措施。

关键词：防火墙拒绝服务攻击网络型入侵检测系统漏洞计算机网络

Vul Tracker漏洞管理与自动化跟踪平台

在线全文

学校读者我要写书评

暂无评论

华中科技大学学报（自然科学版） 2016年第11期44卷 7-10页

作者：章思宇姜开达上海交通大学网络信息中心上海200240

针对当前漏洞管理系统受制于漏洞扫描引擎,在可扩展性和性能上存在瓶颈的问题,设计并实现了一个漏洞自动化跟踪平台.该平台可统一管理各种渠道获得的信息系统漏洞信息,每个漏洞关联一个检测其是否已修复的检测脚本及参数,多进程方式并... 详细信息

针对当前漏洞管理系统受制于漏洞扫描引擎,在可扩展性和性能上存在瓶颈的问题,设计并实现了一个漏洞自动化跟踪平台.该平台可统一管理各种渠道获得的信息系统漏洞信息,每个漏洞关联一个检测其是否已修复的检测脚本及参数,多进程方式并行执行的任务调度程序高频度复测漏洞状态,可扩展到多机部署进一步扩展性能.漏洞检测脚本以退出代码反馈测试结果,支持任何能在部署操作系统上执行的语言编写,并能被相似漏洞复用.开放的数据接口将本平台与IT资产数据库和流程管理系统对接,已完成的两套实际部署案例表明本平台对提高漏洞处置效率发挥了积极的作用.

关键词：信息安全网络安全漏洞扫描 Vul Tracker

漏洞分类分级标准在国家信息安全漏洞库的应用

在线全文

学校读者我要写书评

暂无评论

信息技术与标准化 2022年第5期 82-86页

作者：孙成昊杨一未易锦方硕曲泷玉中国信息安全测评中心

为提升国家信息安全漏洞库(CNNVD)服务水平,通过制定内部制度规范、开发支撑工具、实施内控机制、加强宣传推广等方式,应用GB/T 30279—2020《信息安全技术网络安全漏洞分类分级指南》提升漏洞分类分级的科学性与规范性。该应用在漏洞... 详细信息

为提升国家信息安全漏洞库(CNNVD)服务水平,通过制定内部制度规范、开发支撑工具、实施内控机制、加强宣传推广等方式,应用GB/T 30279—2020《信息安全技术网络安全漏洞分类分级指南》提升漏洞分类分级的科学性与规范性。该应用在漏洞信息分析与发布业务中取得良好成效,同时对我国信息安全产业起到示范引领作用。

关键词：网络安全漏洞分类分级 CNNVD

2013-2022年工控漏洞统计与规律分析

在线全文

学校读者我要写书评

暂无评论

通信管理与技术 2023年第3期 15-20页

作者：罗丹吴荣春中国信息通信研究院

为分析2013—2022年工控漏洞的一般性规律,统计这10年间的漏洞数量、等级分布、漏洞厂家分布及漏洞类型分布,利用数理统计的方法对是工控漏洞发生的年份、月份、等级、厂家、类型4个维度6个方面进行了研究。结果表明:2020年达到工控漏... 详细信息

为分析2013—2022年工控漏洞的一般性规律,统计这10年间的漏洞数量、等级分布、漏洞厂家分布及漏洞类型分布,利用数理统计的方法对是工控漏洞发生的年份、月份、等级、厂家、类型4个维度6个方面进行了研究。结果表明:2020年达到工控漏洞高峰期,受疫情影响很多工厂减少了工作时长甚至停工;中高危漏洞达到95%,工控漏洞影响巨大;工控漏洞厂家TOP10均是国外厂家,我国工控核心模块大部分还是依靠进口;工控漏洞产生的主要原因是设计错误和后期维护不够;工控漏洞的主要类型的中高危漏洞较多,易造成二次危害。最后,针对工控漏洞发生的规律提出了相应的建议和措施。

关键词：工控漏洞安全攻击

关键信息基础设施保护体系建设与漏洞管理标准化研究

在线全文

学校读者我要写书评

暂无评论

信息安全研究 2022年第1期8卷 62-70页

作者：杨一未孙成昊中国信息安全测评中心北京100085

为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、... 详细信息

为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、漏洞管理相关标准、关键信息基础设施漏洞管理前沿理论,论述了关键信息基础设施运营者漏洞管理工作标准化的必要性.将关键信息基础设施漏洞消控管理工作归纳为漏洞管理、资产管理、补丁管理、人员管理、组织管理5要素和准备、规划、执行、监控、变更5阶段的管理模型,漏洞消控管理5要素与5阶段交叉细分为32个工作过程,建议根据该模型编写具有我国特色的关键信息基础设施漏洞运营者漏洞管理指南类标准.

关键词：漏洞关键信息基础设施消控漏洞生命周期漏洞管理

维普期刊数据库博看期刊

在线全文

学校读者我要写书评

暂无评论

统一漏洞管理平台研究设计

信息安全研究 2022年第2期8卷 190-195页

作者：刘畅中国邮政储蓄银行信用卡中心北京100040

随着网络技术的发展,信息安全越来越受到人们的重视.安全漏洞作为攻击者最常利用的攻击手段之一也受到了广泛关注.当前各大组织或企业进行漏洞管理时大都依赖于人工的方式,且缺乏统一的跟踪处置和展示分析,这样不仅效率较低而且容易出错... 详细信息

随着网络技术的发展,信息安全越来越受到人们的重视.安全漏洞作为攻击者最常利用的攻击手段之一也受到了广泛关注.当前各大组织或企业进行漏洞管理时大都依赖于人工的方式,且缺乏统一的跟踪处置和展示分析,这样不仅效率较低而且容易出错.针对这一问题,设计了一款统一漏洞管理平台,利用一体化平台实现漏洞全生命周期的自动化闭环管理,将不同的漏洞管理功能集成在特定的功能模块中.同时使用通用的开发语言和标准的服务接口方便与其他基础服务平台系统或网络安全工具进行协同联动.实践表明,该平台可有效提高漏洞管理效能,实现了漏洞管理的集中化、流程化和自动化.

关键词：网络安全漏洞自动化生命周期闭环管理

同方期刊数据库博看期刊评论

在线全文

学校读者我要写书评

暂无评论

智能合约安全漏洞研究现状

信息安全研究 2023年第12期9卷 1166-1172页

作者：沈传年国家计算机网络应急技术处理协调中心上海分中心上海201315

区块链技术凭借其独有的去中心化、不可篡改、可追溯等特点,为社会发展中的信任问题、存证问题、数据治理问题等提供了全新的解决思路.而智能合约作为区块链的核心支撑技术,通过编写去中心化应用将区块链的应用范围从单一数字货币领域... 详细信息

区块链技术凭借其独有的去中心化、不可篡改、可追溯等特点,为社会发展中的信任问题、存证问题、数据治理问题等提供了全新的解决思路.而智能合约作为区块链的核心支撑技术,通过编写去中心化应用将区块链的应用范围从单一数字货币领域扩展至其他泛金融领域.但随着智能合约在区块链中应用的不断发展,其面临的安全问题也正日益突出,因此对智能合约的安全漏洞问题进行研究尤为重要.首先介绍了整数溢出漏洞、重入攻击漏洞等11种智能合约安全漏洞问题及其防范策略;然后讨论了形式化验证、符号执行、模糊测试、污点分析4种漏洞检测方法及其对应的检测工具;最后在总结现有漏洞检测工作不足的基础上对未来研究方向进行了展望。

关键词：区块链智能合约以太坊漏洞安全