安全缺陷

摘要： 由于非接触逻辑加密(IC)卡存在严重的安全缺陷,我国交通、安防等行业已经普遍采用非接触CPU卡取而代之。其中以搭载FMCOS的FM1208系列非接触CPU卡较为常见。尽管FM1208集成了诸多安全功能,但由于安全机制使用不当,CPU卡内存储的数据仍有被窃取或篡改的风险,导致整个智能卡系统受到威胁。本文通过对几种典型的攻击方法进行分析,解释了安全漏洞产生的原因,并给出相应的缓解对策。

摘要： 随着智能家居技术的广泛应用,智能家居作为物联网技术在家居领域的典型应用得到了迅速的发展。然而,智能家居设备中存在的安全缺陷将直接威胁用户的隐私安全甚至是生命财产安全,因此,针对智能家居的安全分析技术逐渐成为当前研究热点。在介绍了智能家居概念及其系统组成的基础上,分析了智能家居系统安全需求、安全风险以及风险来源,从固件获取及解析、静态分析、动态分析以及同源性分析等方面介绍了智能家居设备安全分析常规的流程及方法。

摘要： 我国每年有超过20万的儿童遭遇意外伤害,其中与儿童玩具及用品有关的就有上万起,不少人身伤害就是由于玩具的安全缺陷造成的。国家市场监督管理总局缺陷产品管理中心曾公布消费预警,曝光了一批存在安全隐患的儿童玩具。这些玩具产品在小零件、锐利尖端、危险夹缝、突出物等方面不符合我国儿童玩具产品安全标准的要求,当上述玩具产品暴露在儿童面前时,有可能危及儿童健康和安全,存在严重安全隐患。

摘要： ARP欺骗是一种常见的网络欺骗行为。利用ARP协议的安全缺陷,攻击者能够对校园网进行各种攻击,因此校园网面临严重威胁。本文在分析ARP协议工作原理和攻击方式的基础上,详细讨论了几种基于ARP协议的校园网防御策略,以期为校园网的安全建设提供参考。校园网是为学校师生提供教学、科研等服务的网络。校园网的安全直接影响到师生的工作和生活。基于ARP的攻击是校园网中一种危害较大、技术较简单的攻击方式。本文研究了基于ARP欺骗的校园网攻击与防御方法,希望能给广大的师生一个提醒,防止自己的计算机系统受到攻击。

摘要： 随着电能现货网上交易的快速发展,计量系统新业务功能不断投运,为了避免系统版本更新升级后出现源代码质量问题,导致网上业务中断所带来的经济损失和社会影响,设计一个电能计量系统智能安全测试平台,依据此平台,系统运维人员只需动动手指,获取由软件开发团队上传的源代码,执行可运行指令,就可自动完成代码的安全漏洞扫描测试和生成可视化代码安全等级分析报告,从而实现对计量系统版本更新升级前的代码安全漏洞测试和质量控制.

摘要： 网页设计工作作为搭建一个网站的核心内容之一,对网站的整体建设来说具有重要意义.网页设计强调网站的安全性能和结构的合理化,倘若网站建设中网页设计的内容或技术存在问题,网页设计的安全性能也会存在很多漏洞,进而给企业带来重大的损失.基于此,本文对网页建设中的网页设计存在的一些安全漏洞进行了分析,并对此提出了一系列的应对措施.

摘要： 随着网络技术的不断更新,受到外来黑客攻击的事件也是屡见不鲜,影响了正常网络的使用,造成严重的经济损失.近年来,甘肃省无线电管理部门在应急指挥、重大活动中做了大量无线电安全保障工作,随着甘肃省经济的飞速发展,突发事件和重大活动无线电安全保障工作日益增多,需要建设一个高效、稳定、安全的网络系统,以便随时应对可能发生的情况.现有计算机网络存在缺陷,黑客攻击、病毒入侵等情况屡见不鲜,与此同时,计算机网络安全新技术的发展及投入使用,使网络系统稳定性和安全性得到极大的保证.本文以威胁计算机网络安全的主要影响因素为基础,分析了计算机网络存在的安全隐患,并讨论了甘肃省无线电监测站(以下简称“我单位”)目前的网络安全防范策略.

摘要： 针对软件系统安全缺陷与漏洞问题,提出一种基于激活漏洞条件的自动漏洞分类框架.从文本报告和漏洞代码修复中提取特征,采用不同的机器学习算法(随机森林、用C4.5决策树、Logistic回归和朴素贝叶斯)构建静态模型,选择具有最高F值的模型识别不可见漏洞的类别.通过分析Firefox项目的580项软件安全缺陷来评估分类的有效性.实验结果表明:在所构建框架下,C4.5决策树在几种分类器中具有最优F值来识别不可见漏洞类别.在Redhat Bugzilla数据集上将本算法与其他算法进行比较,结果表明本算法对软件漏洞缺陷的分类性能更优,证明了算法的有效性.

摘要： 针对软件开发过程中的静态源代码安全缺陷,本文提出一种基于贝叶斯网络(bayesian network,BN)的静态源代码安全缺陷评价方法.首先根据CWE、OWASP 国际权威机构对源代码缺陷的定义,并结合行业特点建立源代码安全缺陷特征库,以构成层次化评价体系,在此基础上建立基于贝叶斯网络的源代码安全缺陷评价模型,以确定软件的安全风险.最后通过实际电力企业信息化软件数据测试实验,验证了该评价方法的有效性.

摘要： 针对移动终端Android应用程序的组件间通信存在使用隐式Intent有可能引发组件劫持和信息泄露,而公开组件又存在权限泄露的安全风险问题,提出了一种Android组件间通信的安全缺陷静态检测方法.首先,静态分析应用程序,获得其控制流程图(CFG)、函数调用图(FCG)和组件调用图(CCG);然后,检测出潜在的危险组件、隐式Intent以及隐私泄露路径;最后,用该方法对20款流行的Android应用软件进行检测.结果显示:这些应用软件全部使用了隐式Intent,25％使用了动态代码,80％存在危险组件,40％存在隐私泄露。

摘要： 针对近期本地区户内终端型110kV变电站,高压侧采用扩大内桥接线,配置高压备用电源自动投切装置.实际应用中,由于其建设规模及备自投与主变保护CT配置技术方案的不同,导致主变保护闭锁高压侧备自投的结果存在一定差异,其中部分不合理配置方式将会导致局部失去保护或备自投误动作等安全缺陷,为此,侧重详细分析、比较不同建设规模条件下高压侧备自投和主变保护的CT配置技术方案,以保护完整和备自投准确动作为目标,兼顾远景扩建减少二次接线调整,推出不同规模时CT配置优化方案图,便于设计应用推广.

摘要： 可信软件技术的不断发展，迫切需要合理的可信评价体系来考量这些技术在提高可信性方面的贡献和效果．同时，可信性评价也为用户从众多软件中选取符合自己需求的软件提供重要参考．本文将可信定位在六个关键要素上，并在此基础上提出一种基于软件缺陷的可信性评价方法．以缺陷评价为基础实现对软件整体可信性的评价．本方法综合考虑了软件开发过程及成品中的主，客观因素，对完善可信软件理论和技术体系有重要的研究价值和应用价值．

摘要： 分析了一种双因素匿名无线漫游协议，指出该方案不满足强双因素安全,存在多米诺效应、特权内部人员攻击、用户无法更新口令等缺陷．提出了一种改进协议，实现了强双因素安全．与原协议相比，改进协议弥补了原协议的安全缺陷，同时提高了安全性，仅在计算量上略有增加．

摘要： 介绍ARP协议的地位、作用及工作原理，分析ARP协议的安全缺陷和攻击方式，详细论述各种ARP病毒的防范方法。

摘要： 计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。本文分析了计算机网络中的安全缺陷及产生的原因，并结合网络攻击和入侵的主要途径，就其防范对策进行浅谈。

摘要： 本文分析了2006年Das等人提出的基于双线性对的远程用户认证方案，指出了该方案对假冒身份攻击和离线口令猜测攻击是不安全的。基于BCDHP(Bilinear Computational Diffie-Hellman Problem)和单向哈希函数，提出了一种改进的基于双线性对的远程用户认证方案，修补了Das方案存在的安全缺陷。

摘要： 线性同余发生器是使用很广的一类随机数发生器.为克服这类发生器的缺陷,可组合多个发生器得到组合线性同余发生器.不可预测性是度量序列安全性的一个重要指标,一些应用必须满足不可预测.为了评估某类组合线性同余发生器的不可预测性,该文利用代数法对这类组合线性同余发生器的不可预测性进行了研究,给出了对这类组合线性同余发生器进行预测的数据复杂度与时间复杂度;并以3篇重要文献中的5个组合线性同余发生器为例,给出预测的分析结果与建议。结果显示,这类组合线性同余发生器在一些推荐参数下可以预测,不适合作密码应用。

摘要： 线性同余发生器是使用很广的一类随机数发生器.为克服这类发生器的缺陷,可组合多个发生器得到组合线性同余发生器.不可预测性是度量序列安全性的一个重要指标,一些应用必须满足不可预测.为了评估某类组合线性同余发生器的不可预测性,该文利用代数法对这类组合线性同余发生器的不可预测性进行了研究,给出了对这类组合线性同余发生器进行预测的数据复杂度与时间复杂度;并以3篇重要文献中的5个组合线性同余发生器为例,给出预测的分析结果与建议。结果显示,这类组合线性同余发生器在一些推荐参数下可以预测,不适合作密码应用。

摘要： 本发明公开了一种基于分安全系数的含缺陷奥氏体不锈钢压力容器的安全评定方法，包括以下步骤：(1)确定该设备失效后果等级、(2)确定目标可靠度等级、(3)确定应力变异系数、(4)确定分安全系数、(5)含平面缺陷压力容器安全评定。

摘要： 本发明公开了一种核电站双层安全壳环廊区域缺陷检查系统和缺陷检查方法，其中，缺陷检查系统包括：无人机系统，包括无人机和搭载在无人机上的三维激光扫描仪、激光测距仪以及高清相机，其中，三维激光扫描仪用于对无人机所处位置周围空间进行扫描，绘制周围的三维图像；激光测距仪用于精确测量无人机到内层安全壳外表面的距离；高清相机用于拍摄被检测混凝土表面的照片；以及地面计算机系统，用于控制无人机的位置、根据三维激光扫描仪的三维图像确定无人机的准确位置、确定高清相机拍摄的照片在安全壳上的准确位置，以及处理高清相机拍摄的照片并提取缺陷特征，若为缺陷，则将照片、缺陷信息、缺陷位置存储到数据库中。

摘要： 本发明公开了一种基于分安全系数的含缺陷奥氏体不锈钢压力容器的安全评定方法，包括以下步骤：(1)确定该设备失效后果等级、(2)确定目标可靠度等级、(3)确定应力变异系数、(4)确定分安全系数、(5)含平面缺陷压力容器安全评定。

摘要： 提供了一种用于缺陷分析的计算机实现的方法。计算机实现的方法包括：关于在制造周期期间出现的缺陷，分别针对多个装置操作，计算多个证据权重(WOE)分数，较高的WOE分数指示缺陷和装置操作之间的较高的相关性；以及将所述多个WOE分数排序，以获得与在所述制造周期期间出现的所述缺陷高度相关的所选择的装置操作的列表，所选择的装置操作的列表中的装置操作具有大于第一阈值分数的WOE分数。多个装置操作中的各个装置操作是由相应装置执行相应操作所处在的相应操作站点定义的相应装置。

摘要： 本发明的表面缺陷检测方法是光学地检测钢材的表面缺陷的表面缺陷检测方法，其中，包括：照射步骤，利用2个以上的能够辨别的光源从不同的方向向同一检查对象部位照射照明光；及检测步骤，基于从由各照明光的反射光形成的2个以上的图像提取出的明部的重叠程度来检测所述检查对象部位处的表面缺陷。

摘要： 一种配线缺陷检查方法，进行半导体基板的配线短路部的检测，其特征在于，进行如下工序：预短路工序，使检查对象的配线的端子间短路；以及电阻值测量工序，在上述预短路工序之后，测量上述检查对象的配线的电阻值，由此判断有无上述配线短路部。

摘要： 本发明公开一种基于关键语义特征的安全检查缺陷检测方法，涉及程序分析领域，针对操作系统等开源大规模软件中安全检查缺陷难以通过现有的方法进行检测和定位的问题，通过在源代码以及源代码转换后得到的中间表示上进行分析，通过对安全检查缺陷所在的函数，以及其补丁所在函数中的代码特征的提取，与待检测的目标软件中的函数代码特征的逐一比对，最终判断目标软件中是否存在具有相似安全检查缺陷的函数。

摘要： 本发明涉及一种大容积缠绕气瓶缺陷安全评价方法及系统，所述方法包括：获取工作压力和试验压力；根据所述工作压力和所述试验压力控制增压泵分步加压至工作压力阶段和试验压力阶段；所述工作压力阶段包括工作压力升压阶段和工作压力保持阶段；所述试验压力阶段包括试验压力升压阶段和试验压力保持阶段；分别获取所述工作压力阶段的声发射信号和所述试验压力阶段的声发射信号；所述声发射信号的特征参数包括声发射信号幅度、计数率和能量；根据所述工作压力阶段的声发射信号和所述试验压力阶段的声发射信号对大容积缠绕气瓶的缺陷的安全进行评估。本发明能够保证气瓶安全运行又能降低运行成本。

摘要： 本申请公开了一种网站应用安全缺陷检测模型建模方法及缺陷检测方法，本申请通过利用预设的访问信息流样本进行访问得到的访问日志样本和告警日志样本得到的访问安全缺陷样本集，再通过深度学习算法训练得到安全缺陷检测模型。检测时，输入访问信息流数据和访问日志信息，根据安全缺陷检测模型的输出结果，判断当前访问行为是否触发安全缺陷的异常访问行为，以将无法通过源码比对检测出的未知安全缺陷暴露出来，解决了现有的网络安全缺陷检测方式只能检测已知的安全缺陷的技术问题。

摘要： 本申请公开了一种网站应用安全缺陷检测模型建模方法及缺陷检测方法，本申请通过利用预设的访问信息流样本进行访问得到的访问日志样本和告警日志样本得到的访问安全缺陷样本集，再通过深度学习算法训练得到安全缺陷检测模型。检测时，输入访问信息流数据和访问日志信息，根据安全缺陷检测模型的输出结果，判断当前访问行为是否触发安全缺陷的异常访问行为，以将无法通过源码比对检测出的未知安全缺陷暴露出来，解决了现有的网络安全缺陷检测方式只能检测已知的安全缺陷的技术问题。