漏洞分析

摘要： 由于相对特殊的研发和使用环境,内网软件系统在开发时,更多重视系统的功能实现,缺乏对功能安全性的关注,导致内网软件系统在安全性测试方面,缺乏统一的规范及流程,技术积累较少。对内网软件系统的各类安全功能进行模型构建,通过提取设计细节进行安全功能的威胁分析,对内网软件系统的安全功能漏洞和脆弱性进行评估,形成一套内网软件系统功能安全性分析思路及测试方法,完善当前内网软件系统安全性测试手段,从而提升内网软件系统应对风险和威胁的能力。

摘要： 计算机网络的发展为人们的生活以及工作都带来了极大的便利,与此同时,各种安全风险也随之而来,黑客攻击就是其中之一。漏洞扫描技术是当下解决安全风险的比较有效的技术,对该技术的有效应用有利于提升计算机网络的安全性,能够使得计算机网络在我们的生活中带来更多的便利与帮助。该文就计算机网络的安全问题展开讨论,探讨计算机安全网络信息安全漏洞信息扫描分析技术的具体实际应用。

摘要： 为了应对疫情对医院医疗资源、诊疗模式的冲击,互联网医院系统需要得到推广与普及。在提供就医问诊便利的同时,其业务连续性与数据安全性保障问题日益突出。本文针对使用SaaS云服务模式的互联网医院系统如何开展网络安全等级测评工作,从互联网医院系统网络结构、测评指标的选择与判定方法、综合得分计算和测试与漏洞分析等几个方面详细论述了具体实施方法。评测实践结果表明,对互联网医院系统网络安全等级测评有助于提升医院的安全防范意识和防范措施,可以有效预防风险发生。

摘要： 信息安全已成为国家安全的关键环节,强化信息安全、保护用户数据安全的重要性不言而喻。由于开发语言和程序设计的缺陷以及相关组件存在风险,Web应用中的信息安全漏洞问题时有发生,使得信息安全以及用户隐私和数据安全遭受到严重的威胁。随着Web技术和Java语言的发展愈加成熟,JavaWeb的使用也越来越广泛,针对JavaWeb的网络攻击手段也变得层出不穷。文章分析了JavaWeb反序列化漏洞的基本成因,从漏洞挖掘的角度出发,分析了漏洞利用链的重要节点,并构造复现了漏洞挖掘和利用的过程,对于如何快速、有效检测出JavaWeb反序列化漏洞,保障Web信息安全具有重要参考价值与意义。

摘要： Web应用的网络安全漏洞层出不穷,用户的隐私和数据等信息安全问题面临着严重威胁。反序列化漏洞因其利用门槛低、影响范围广的特点,已成影响Java Web网络安全重要因素之一。文章结合实例分析了Java Web反序列漏洞的特点,阐述了Java Web反序列化网络安全漏洞分析、代码审计的基本思路,对于有效识别和修复反序列化漏洞,保障网络安全具有参考意义。

摘要： 网络信息安全是企业必须维护的一个重要方面,由于受到客观因素的影响,在选择安全对策来维护网络和运行系统会产生一些问题,管理员需要大量的专业知识并依靠劳动密集型流程来跟踪网络配置和系统漏洞,容易出错。网络漏洞相互依赖且复杂多变,传统的漏洞分析方法无法满足需要。因此,本文提出了一种加强计算机网络安全的方法,让分析师在安全性和可用性之间取得平衡,并展示如何最好地利用有限的安全资源。

摘要： OpenSSL是一个广泛应用的开源库。2021年8月26日OpenSSL修补了一个缓冲区溢出漏洞,造成该漏洞的原因是SM2算法解密函数计算出的缓冲区可能小于实际的明文大小。文章首先结合OpenSSL源码,对缓冲区溢出的原理进行深入分析;然后根据溢出原理,对溢出攻击的可行性进行分析;最后设计实验对溢出攻击进行验证。由于SM2解密函数计算用于容纳明文的缓冲区大小时,没有考虑椭圆曲线上点的编码问题,当编码长度小于计算函数中的预设值时,就会导致缓冲区小于实际明文大小。攻击者根据这一特性可以快速穷举计算获取合适的椭圆曲线点,进而构造合适的密文进行缓冲区溢出攻击;并且能够使用同一个椭圆曲线点对持有不同公私钥对的SM2解密方进行缓冲区溢出攻击。

摘要： 本文从《软件漏洞分析》课程的建设目标、设计思路、内容设置、实验环境建设和教学模式等多方面对课程建设进行了探索,重点培养学生软件漏洞分析、漏洞利用和漏洞挖掘的能力.

摘要： 针对网络空间中攻防博弈不对称的问题,拟态防御技术通过将动态性、随机性和多样性引入系统,从内生安全的角度构建安全可靠的系统.多模裁决机制是拟态防御系统中的关键机制之一,最常采用的裁决算法为大数判决,但由于算法的简单性,无法应对复杂场景.针对复杂环境下的多模裁决问题,提出了一种基于执行体安全性的智能仲裁算法,考虑了执行体自身的安全性度量及输出空间,使拟态防御系统能够应对更加复杂或威胁性更高的防御场景.仿真结果表明,相对于大数判决与基于最优安全度的判决算法,该算法能够显著提升多模裁决结果的准确性,有效提升拟态系统的安全性.

摘要： 智能合约是代码和数据的集合,一旦部署便无法更改,且其自身持有金融属性,若出现安全漏洞问题将会造成巨大损失,可见编写出安全可靠的智能合约是至关重要的.为此,基于Ethereum平台研究并分析智能合约的安全漏洞,总结了几种易见的安全漏洞,包括可重入漏洞、整数溢出漏洞、拒绝服务(denial of service,DoS)漏洞、时间戳依赖漏洞、交易序列依赖漏洞等;针对上述合约的漏洞进行详细的原理分析和场景复现,提出了相应的预防安全策略并通过实验进行有效性验证;最后分析并比较了几种主流的智能合约安全漏洞检测工具.

摘要： 自主可控计算机软件的漏洞分析问题不容忽视,开展这方面的研究能够为自主可控信息系统部署奠定一个安全基础。主要研究和总结了软件漏洞分析技术,然后针对自主可控计算机异构性的特点,提出了2种自主可控计算机软件漏洞分析环境的构建思路,并进行了实验尝试.

摘要： 我国金融行业是关系国计民生的行业,也是信息安全等级要求最高、防护能力最强的行业之一,所以对金融行业的安全问题进行深入研究,更有利于了解国内信息安全的技术要求水平、具体实践水平和技术水平的高低.阐述了金融行业的安全现状和问题的根源所在，以及现有的安全解决方案所面临的五大难题，分别是防火墙、全自动扫描器、安全监测服务、不可预知的风险、技术局限0day。据此，提出了金融行业app“三位—体”的漏洞分析方法，包括主动式(全自动)漏洞分析，半自动式漏洞分析和全被动式漏洞分析。结合一开始介绍的金融行业的安全现状以及安全隐患的根源所在，还有当下所面临的难题，希望大家能共同努力，建立—套系统、全面的漏洞扫描和漏洞分析方法。

摘要： 现有的软件漏洞分析技术中,关于定位软件关键节点的方法大都需要巨大的工作量,为分析、检测软件漏洞带来许多不必要的麻烦.传播域是从信息传播角度对节点重要性的衡量,将节点的信息传播能力显著性进行放大,考虑了节点对网络全局的影响能力,因此可以选取该指标为标准从软件网络中筛选得出关键节点.本文对多个不同规模的软件系统的传播域分布进行了研究,发现节点的传播域分布层次化明显,并且与节点可影响包社团数存在显著正相关性.基于此规律,本文提出了快速定位关键节点方法,该方法首先利用合理的样本节点快速获得了关键传播域阈值作为筛选标准,并依照传播域与可影响包社团的显著相关性对筛选标准进行调整,设置了以可影响包数为阈值的关键节点筛选方法.经过多个实验验证,本文所提方法能够有效减少定位关键节点的遍历工作量.

摘要： 在软件开发过程中出现的不安全因素称为缺陷,当缺陷能被利用时就成了漏洞.漏洞被恶意主体利用时,会对系统的安全性造成严重损害.为了使信息系统尽可能少受到安全攻击从而保障其安全,一般采用漏洞分析的手段来减少漏洞的危害.通过对缺陷进行分类能对漏洞分析起指导作用.通用缺陷枚举是一种代表性的分类方法.本文对通用缺陷枚举的背景和发展历程进行全面介绍,并对其构建过程、评价机制以及改善机制进行分析和研究.最后对其影响和未来趋势进行展望.

摘要： 针对智能电网自动化系统的通信网络拓扑进行了漏洞分析、影响分析,以及安全和工业自动化领域建模技术的全面研究,提出智能电网自动化安全风险分析的方法,并通过中胝压配电网故障的案例,对故障定位、故障隔离和供电恢复加以分析和证明.仿真结果及分析阐述了配电网中存在的安全漏洞,以及漏洞造成的影响,符合智能电网自动化的安全需求.

摘要： 无线射频识别(RFID)技术给信息技术基础设施带来了巨大的变化,它采用非接触的方式,利用射频信号自动识别物体.身份认证是RFID系统最重要的应用之一,RFID认证协议是为了保证读写器和标签的之间的身份认证而设计的一套安全协议.然而,目前已提出的RFID认证协议中存在不同程度的安全问题和隐私漏洞.本文首先对RFID系统的威胁模型进行了深入分析,对RFID系统中面临的主要安全威胁进行了总结;由于目前对RFID认证协议漏洞缺乏统一的分类标准,本文对RFID认证协议中存在的漏洞进行了详细分类,对每一种类型的漏洞的产生原理进行了剖析,并提出了修补漏洞的方法;最后,本文对RFID认证协议中存在漏洞的安全性证明进行了讨论,并采用OSK协议进行了范例分析。

摘要： 恶意攻击者往往利用漏洞完成系统或软件的入侵,为解决漏洞曝光所导致的安全问题,安全研究员通常通过漏洞补丁开发的方式对系统组件或应用程序进行安全加固.而迫于补丁生成的时效性和多样性,近年来的漏洞补丁通常是通过一个累积补丁包的方式对多个漏洞完成封堵,使得面向单个漏洞的分析或研究变得非常困难.为解决这一难题,本文提出了一种基于背景语义解析的漏洞累积补丁包分离方法,首先从补丁前后的差异比对入手,通过静态结构化关联对差异函数及差异代码块进行模糊聚类;将补丁对应漏洞的背景语义解析为组件相关的入口函数及漏洞模式特征,以此为指导规则对结构化关联聚类进行去模糊化,获得精确的漏洞与补丁差异点的对应结果.最终通过函数之间以及代码块之间的调用传递关系描述补丁包中每个漏洞的数据约束条件,为后继的单个漏洞分析提供参考和支持.实验通过若干个累积补丁包的分离结果验证算法的有效性.

摘要： 随着通信技术和互联网技术的深度融合,移动互联网快速发展,无疑已成为业界和学术界共同关注的热点.但伴随着智能移动终端的普及和移动互联网业务的不断创新,移动互联网也面临着新的安全威胁.本文总结了移动互联网给终端用户、业务服务器、网络基础设施和国家信息安全监管带来的安全威胁,并从入网方式、移动操作系统、移动应用和终端用户四个方面分析移动互联网目前存在的信息安全漏洞,强调整个产业链必须共同努力来维护移动互联网的信息安全.

摘要： 移动互联网作为融合互联网业务和移动通信业务的新兴产业,为广大移动终端用户提供更为便捷、时尚、全面的移动网络业务服务,引领着当今社会网络发展潮流.伴随着移动终端的迅速普及和多样化发展,移动网络应用平台的不断创新特别是云平台技术的不断开发,以及移动互联网网络运营模式的不断更新,移动互联网各层面的安全问题也不断突显.针对移动互联网的整体构架模式,介绍了我国移动互联网的发展状况,从移动终端、应用平台、移动网络三个层面分析了当前移动互联网面临的主要安全威胁和漏洞,并针对移动互联网的特点阐述了如何更好的对移动互联网安全问题进行综合治理.

摘要： 移动互联网作为融合互联网业务和移动通信业务的新兴产业,为广大移动终端用户提供更为便捷、时尚、全面的移动网络业务服务,引领着当今社会网络发展潮流.伴随着移动终端的迅速普及和多样化发展,移动网络应用平台的不断创新特别是云平台技术的不断开发,以及移动互联网网络运营模式的不断更新,移动互联网各层面的安全问题也不断突显.针对移动互联网的整体构架模式,介绍了我国移动互联网的发展状况,从移动终端、应用平台、移动网络三个层面分析了当前移动互联网面临的主要安全威胁和漏洞,并针对移动互联网的特点阐述了如何更好的对移动互联网安全问题进行综合治理.

摘要： 本发明示例性实施例提供一种基于关联分析的车联网漏洞分析方法，包括：获取漏洞及各所述漏洞对应的漏洞效果，构建第一模型，所述漏洞为车联网各组成部分的漏洞或车联网相关漏洞；获取车联网的漏洞效果及各所述漏洞效果对应的业务，构建第二模型；根据所述第一模型和所述第二模型，构建关联分析模型，所述关联分析模型包括漏洞－漏洞效果－业务三者的关联关系；基于所述关联分析模型对输入的元素进行关联分析，得到关联分析结果，所述元素为所述漏洞、所述漏洞效果以及所述业务中的至少一种的组合。本发明的关联分析模型能够对车联网信息交互过程中的潜在漏洞进行分析，并及时消除潜在漏洞造成的影响，实现跨系统、全方位的漏洞分析检测。

摘要： 本申请实施例提供一种基于大数据漏洞分析的漏洞补充修复分析方法及系统，可以在对线上微服务应用进行软件服务升级后进一步分析漏洞修复情况，由此进行漏洞补充修复数据的生成，以便于后续开发人员在进行漏洞补充修复后进一步进行运行稳定性评价，并不断分析检测漏洞补充修复后的应用运行数据是否存在运行改善指标，以实现针对漏洞补充修复的闭环反馈机制。

摘要： 本发明提供一种漏洞坐标系建立方法、漏洞分析方法、装置及相关设备，漏洞坐标系建立方法包括根据漏洞的展示需求和应用场景确定漏洞维度特征；根据漏洞的度量需求和应用场景确定漏洞尺度特征；根据漏洞维度特征和漏洞尺度特征建立漏洞坐标系，可为漏洞研究人员提供直观的研究分析工具，以漏洞坐标值的方式标识每个漏洞，便于多个漏洞之间的比较分析，为后续漏洞评估、恢复提供数据支撑。

摘要： 本申请公开了一种采用大数据分析的云服务漏洞分析方法及人工智能系统，依据对多种触发路径得到的候选上线云服务的云服务崩溃事件数据簇的云服务漏洞分析，对候选上线云服务的云服务崩溃事件数据簇的分析效果更佳，使得云服务漏洞分析流程可以关联多种触发路径的场景。此外，在获取候选上线云服务的云服务崩溃事件数据簇的流程中，结合了云服务漏洞的触发路径信息和云服务漏洞的漏洞标签信息，相较于传统方案中仅考虑云服务漏洞的漏洞标签信息而言，可以提高后续的云服务漏洞分析精度，由此对提取的云服务崩溃事件数据簇进行云服务漏洞分析，可以获得更为精确的云服务漏洞分析结果。

摘要： 本发明实施例提供一种基于漏洞分析模型开发的业务错误分析方法及云端AI系统，依据第一示例运行崩溃日志生成得到的第一推定前端业务错误和第一推定后端业务错误，并依据第一示例运行崩溃日志和第二示例运行崩溃日志的对抗生成开发训练，对第一示例漏洞分析模型进行模型开发，获得第一目标示例漏洞分析模型，并依据第二示例运行崩溃日志生成得到的模糊示例前端业务错误、模糊示例后端业务错误、第二推定前端业务错误和第二推定后端业务错误对第一目标示例漏洞分析模型进行模型开发获得第二目标示例漏洞分析模型，提高了对深度学习模型的训练可靠性和收敛性，从而提高了对示例运行崩溃日志中示例业务运行崩溃数据段进行解析的准确度。

摘要： 本发明示例性实施例提供一种基于关联分析的车联网漏洞分析方法，包括：获取漏洞及各所述漏洞对应的漏洞效果，构建第一模型，所述漏洞为车联网各组成部分的漏洞或车联网相关漏洞；获取车联网的漏洞效果及各所述漏洞效果对应的业务，构建第二模型；根据所述第一模型和所述第二模型，构建关联分析模型，所述关联分析模型包括漏洞－漏洞效果－业务三者的关联关系；基于所述关联分析模型对输入的元素进行关联分析，得到关联分析结果，所述元素为所述漏洞、所述漏洞效果以及所述业务中的至少一种的组合。本发明的关联分析模型能够对车联网信息交互过程中的潜在漏洞进行分析，并及时消除潜在漏洞造成的影响，实现跨系统、全方位的漏洞分析检测。

摘要： 本申请实施例提供一种基于大数据的云服务漏洞分析方法及人工智能分析系统，可以对云服务攻击日志数据进行处理，得到云服务攻击日志数据的业务运行崩溃信息团，其中，业务运行崩溃信息团包括所述云服务攻击日志数据中目标云服务会话应用的会话运行崩溃对象的崩溃节点信息。然后，根据云服务攻击日志数据的业务运行崩溃信息团即可确定云服务攻击日志数据的云服务漏洞分析信息。相比于手动搜寻目标云服务线上产品的典型云服务攻击日志数据，本申请无需手动搜寻目标云服务线上产品的典型云服务攻击日志数据，并可以自动生成云服务攻击日志数据的云服务漏洞分析信息，从而提高了云服务漏洞分析的实时性和准确性。

摘要： 本申请涉及云计算及APP安全分析技术领域，具体而言，涉及一种基于云计算的APP安全漏洞分析方法及服务器，本申请通过若干互动服务事项在不同程序运行状态下的互动服务事项风险描述可以确定若干互动服务事项在不同程序运行状态下的上下游影响情况，基于上下游影响情况能够有利于更加全面及精准地确定出互动服务事项风险描述，此外，通过事先生成的服务事项上下游影响记录可以指示互动服务事项之间的上下游影响情况，使得确定出的互动服务事项风险描述更加全面及精确，进而能够提高全局性安全漏洞分析结果的准确性及可信度。

摘要： 本申请实施例提供一种基于大数据漏洞分析的软件服务升级方法及互联网AI系统，在分析目标应用异常漏洞的过程中是根据漏洞字段向量来进一步决策的，这样使得决策的目标应用异常漏洞与应用决策漏洞之间的漏洞关联性更强。通过该目标应用异常漏洞实现了针对应用异常运行数据的漏洞分析的已知标注联系，由此依据所述目标应用异常漏洞对所述线上微服务应用进行软件服务升级，可以提高软件服务升级过程中对于漏洞修复的可靠性，提高软件服务运行的稳定性。

摘要： 本发明提出了一种基于软件无线电的LTE网络控制面漏洞分析方法及系统，选取可用性和隐私性作为判定LTE控制面安全属性的指标；构建隐私性攻击模型和可用性攻击模型；选取用于漏洞分析的移动设备测试SIM卡和核心网侧的用户服务器，并写入测试数据；模拟攻击过程，对移动设备、仿真基站和仿真核心网进行信息采集，获取移动设备的状态信息和核心网侧的信令信息；进行异常状态判断，确定可用性和隐私性是否受到攻击。本发明可以对LTE网络控制面协议栈中的潜在安全漏洞进行全面的检测测试。