漏洞检测
漏洞检测的相关文献在2001年到2023年内共计1721篇,主要集中在自动化技术、计算机技术、无线电电子学、电信技术、法律
等领域,其中期刊论文345篇、会议论文52篇、专利文献1106178篇;相关期刊168种,包括信息安全与通信保密、信息网络安全、电脑编程技巧与维护等;
相关会议37种,包括第五届全国信息安全等级保护技术大会、第二十六届全国信息保密学术会议(IS2016)、第九届全国信号和智能信息处理与应用学术会议等;漏洞检测的相关文献由3337位作者贡献,包括万振华、范渊、王颉等。
漏洞检测—发文量
专利文献>
论文:1106178篇
占比:99.96%
总计:1106575篇
漏洞检测
-研究学者
- 万振华
- 范渊
- 王颉
- 李华
- 翁家才
- 董燕
- 邹德清
- 郑兴
- 胡昌振
- 胡珀
- 金海
- 王丹
- 何双宁
- 单纯
- 曾庆凯
- 杨勇
- 张强
- 李珍
- 王金锭
- 罗嘉飞
- 陈晋福
- 张涛
- 李斌
- 唐文韬
- 易平
- 王放
- 王鑫
- 范宇河
- 赵文兵
- 郭晶
- 陆余良
- 刘海涛
- 刘鹏
- 吴昊
- 张何钫
- 涂腾飞
- 薛静锋
- 马杰
- 刘振广
- 吴卓群
- 李琦
- 杨牧天
- 罗天悦
- 苏璞睿
- 许静
- 郑子彬
- 黄富兴
- 黄晖
- 伍惠宇
- 刘磊
-
-
任家祥;
宋礼鹏;
朱宇辉
-
-
摘要:
针对当前覆盖率导向的灰盒模糊测试路径覆盖不均衡问题,提出了一种融合种间热度的灰盒模糊测试方法.首先利用路径覆盖反馈信息度量了种间热度.进一步借鉴热传导思想,设计了一种融合种间热度的能量调控算法,动态计算变异阶段分配给每个种子的能量.最终使得各路径被执行次数趋于均衡,从而提高灰盒模糊测试的代码覆盖率.基于5个真实应用程序与LAVA-M数据集对比了该方法与现有灰盒模糊测试方法,实验结果表明:该方法对目标程序路径覆盖更为均衡,在24 h内发现的路径总数较之AFL提高28.24%,较之其他先进模糊测试方法平均提高20.25%.
-
-
印桂生;
高乐;
庄园;
李俊
-
-
摘要:
目前智能合约漏洞检测技术手段单一,多数方法只针对合约的源代码,鲜有面向智能合约其他类型的安全检测。本文在仅给定智能合约二进制代码的情况下,针对最高频的可重入漏洞、委托调用漏洞和时间戳依赖漏洞,设计并实现了一种基于关键路径的智能合约漏洞检测方法。基于合约字节码构建智能合约执行控制流图;根据智能合约漏洞特点定义关键指令及规则,生成关键路径;最后采用规则匹配实现漏洞检测。通过对以太坊网络上8000个智能合约进行实验测试,结果表明:该方法可有效检测上述3类漏洞,准确度高达93.75%。
-
-
杨宏宇;
应乐意;
张良
-
-
摘要:
目前的源代码漏洞检测方法大多仅依靠单一特征进行检测,表征的维度单一导致方法效率低.针对上述问题提出一种基于结构化文本及代码度量的漏洞检测方法,在函数级粒度进行漏洞检测.利用源代码结构化文本信息及代码度量结果作为特征,通过构造基于自注意力机制的神经网络捕获结构化文本信息中的长期依赖关系,以拟合结构化文本和漏洞存在之间的联系并转化为漏洞存在的概率.采用深度神经网络对代码度量的结果进行特征学习以拟合代码度量值与漏洞存在的关系,并将其拟合的结果转化为漏洞存在的概率.采用支持向量机对由上述两种表征方式获得的漏洞存在概率做进一步的决策分类并获得漏洞检测的最终结果.为验证该方法的漏洞检测性能,针对存在不同类型漏洞的11种源代码样本进行漏洞检测实验,该方法对每种漏洞的平均检测准确率为97.96%,与现有基于单一表征的漏洞检测方法相比,该方法的检测准确率提高了4.89%~12.21%,同时,该方法的漏报率和误报率均保持在10%以内.
-
-
于银菠;
刘家佳;
慕德俊
-
-
摘要:
软件验证一直是确保软件正确性和安全性的热点研究问题.然而,由于程序语言复杂的语法语义特性,应用形式化方法验证程序的正确性存在准确度低和效率差的问题.其中,由指针操作带来的地址空间的状态变化使得现有模型检测方法的检测准确度难以得到保证.为此,通过结合模型检测与稀疏值流分析方法,设计了一种空间流模型,实现了对C程序在符号变量层面和地址空间层面的状态行为的有效描述,并提出了一种反例引导的抽象细化和稀疏值流强更新算法(CEGAS),实现了C程序指向信息敏感的形式化验证.建立了包含多种指针操作的C代码基准库,并基于该基准库进行了对比实验.实验结果表明:所提出的模型检测算法CEGAS在分析含有多种C代码特性的任务中,与现有模型检测工具相比均能取得突出的结果,其检测准确度为92.9%,每行代码的平均检测时间为2.58 ms,优于现有检测工具.
-
-
邓土亮
-
-
摘要:
为了进一步解决当前网络安全漏洞检测问题,在区块链技术的基础上设计的网络安全漏洞检测系统,以多种类型检测模块作为核心,且定义了区块信息的具体交易格式,这样能够有助于针对既有的漏洞进行精准定位和分析。通过对比实验显示,与原有的C/S型网络漏洞检测系统进行比较,区块链技术检测体系的安全性以及稳定性更高,能够有效提升当前的网络承载能力。
-
-
马艺新;
唐时博;
谭静;
李雪霏;
胡伟
-
-
摘要:
密码算法核是保障信息机密性和完整性的关键部件。由于密码算法实现的安全性与算法在数学上的安全性是2个完全不同的问题,密码算法核可能隐含设计缺陷和旁路信道等安全隐患。基于功能验证的安全性分析方法严重依赖于测试向量的质量,覆盖率低,难以满足密码算法核这一安全关键部件的安全验证需求。从信息流安全的角度研究密码算法核安全验证与漏洞检测方法。该方法能够对密码算法核中全部逻辑信息流进行精确度量,实现对机密性和完整性等安全属性的形式化验证,可通过捕捉有害信息流动来检测密码算法核设计中潜在的安全隐患。实验结果表明信息流安全验证方法对密码算法核中的设计缺陷和旁路信道导致的敏感信息泄漏有很好的检测效果。
-
-
赵波;
上官晨晗;
彭小燕;
安扬;
童俊成;
袁安琪
-
-
摘要:
针对传统智能合约漏洞检测方法检测精度较低、误报率较高,以及基于神经网络的方法对字节码级智能合约特征挖掘不足的问题,提出了一种基于语义感知图神经网络的智能合约字节码漏洞检测方法。首先,以智能合约字节码划分基本块作为节点,并从字节码中提取基本块间的调用关系作为边,以此生成控制流图(control flow graph,CFG),传入图卷积神经网络(graph convolutional network,GCN)中进行训练得到图节点的特征表示;其次,对合约字节码指令序列进行分词,再转化为词向量嵌入到低维空间,传入长短期记忆(long short-term memory,LSTM)网络进行训练,得到字节码语义信息的向量表示;最后,将生成的节点特征和语义特征进行拼接后传入全连接层进行降维,结合语义信息和节点特征对智能合约进行漏洞检测。利用公开数据集中的真实智能合约进行训练和测试,在通过传统方法和人工标签的两类漏洞分类数据集中进行验证。使用本文提出的方法与3种传统智能合约漏洞检测工具及1种基于神经网络的智能合约漏洞检测方法进行对比。实验结果表明本文提出的基于语义感知图神经网络智能合约字节码漏洞检测方法在各类指标上均有较大提升,能够检测出其余4种方法未检测出的具有漏洞的合约,说明在图神经网络中加入字节码语义信息能够有效提升检测精度,降低误报率。
-
-
颜天佑;
卢灏
-
-
摘要:
随着与互联网技术的深度融合,电力系统自动化、智能化建设愈加完善.智能变配电系统的应用不仅能对整个电力网络进行实时监测管理,更能及时发现故障并作出相应决策和处理.但是这也诱发了层出不穷的隐私泄露、恶意攻击等问题,变电站主机的漏洞检测成为整个电网系统的重中之重.为此,设计并实现了一个基于端口扫描的变电站主机漏洞检测系统.该系统能够利用TCP/UDP连接来检测端口的开放状态,借助第三方工具检测处于开放的端口服务中是否会存在潜在或已有的漏洞.通过模拟攻击的方式测试端口的响应,然后与已有的漏洞库进行匹配,最后生成1份HTML格式的漏洞扫描报告供使用者阅读.最后经过实验验证了该系统的可用性和健壮性.
-
-
陈传涛;
潘丽敏;
龚俊;
马勇;
罗森林
-
-
摘要:
针对基于抽象语法树的源代码漏洞检测方法难以从大规模语法树中充分提取语法和结构特征,导致漏洞表征能力不足、检测准确率低的问题,提出了一种基于抽象语法树压缩编码(abstract syntax tree compressed coding,ASTCC)的源代码漏洞检测方法.该方法首先将程序抽象语法树以代码语句为单元分割成1组子树;然后通过递归神经网络对子树进行编码以提取代码语句内语法信息;再将原始语法树中的子树替换为其编码节点,从而在保留结构特征的同时减小原始语法树的深度并减少了叶子节点数量;最后,通过带注意力机制的树卷积神经网络实现源代码漏洞检测.在NVD和SARD公开数据集上的实验结果表明,ASTCC方法能够降低抽象语法树的规模,增强模型对源代码漏洞的表征能力,有效提升漏洞检测的准确率.
-
-
刘宇航;
刘军杰;
文伟平
-
-
摘要:
针对智能合约中出现的新型代币买卖后门漏洞以及owner权限转移漏洞难以全面检测和验证的问题,基于静态语义分析和符号执行技术,提出了一种在源代码和字节码层面可以全面有效挖掘代币买卖漏洞和权限转移漏洞的检测和验证方法.该方法首先通过合约收集和预处理,将合约源代码转换为字节码;其次通过静态语义分析,对全局敏感变量“balance”以及“owner”进行定位;然后通过符号化变量构建状态空间,模拟交易序列,对合约进行符号执行;最后通过漏洞模型特征建立约束条件,使用约束求解器对约束进行求解.在以太坊、币安智能链主网上以及部分智能合约CVE漏洞集上进行测试,实验结果表明,提出的方法可以有效检测出新的代币买卖后门漏洞以及owner权限转移漏洞.
-
-
钟伟军;
倪皖京;
李秦华
- 《中国电子学会可靠性分会第二十届可靠性物理年会》
| 2018年
-
摘要:
针对CPU缓存安全漏洞的开展检测技术研究.通过分析当前CPU芯片中缓存的安全漏洞问题,研究采用缓存侧信道攻击方式获取目标信息的原理,提出检测CPU缓存安全漏洞的思路与方法.构造面向CPU缓存安全漏洞检测的试验环境,通过实验验证方法的有效性.实验结果表明,基于该方法能够检测出存在的缓存安全漏洞.本文提出的缓存安全漏洞方法可以作为信息系统安全常规检测的重要补充.
-
-
SHEN Wei-Jun;
沈维军;
TANG En-Yi;
汤恩义;
CHEN Zhen-Yu;
陈振宇;
CHEN Xin;
陈鑫;
LI Bin;
李彬;
ZHAI Juan;
翟娟
- 《第十六届全国软件与应用学术会议》
| 2017年
-
摘要:
安全漏洞检测是保障软件安全性的重要手段.随着互联网的发展,黑客的攻击手段日趋多样化,且攻击技术不断翻新,使软件安全受到了新的威胁.本文描述了当前软件中实际存在的一种新类型的安全漏洞隐患,称之为数值稳定性相关的安全漏洞隐患.由于黑客可以利用该类漏洞绕过现有的防护措施,且已有的数值稳定性分析方法很难检测到该类漏洞的存在,因而这一新类型的漏洞隐患十分危险.面对这一挑战,本文首先从数值稳定性引起软件行为改变的角度定义了数值稳定性相关的安全漏洞隐患,并给出了对应的自动化检测方法.该方法基于动静态相结合的程序分析与符号执行技术,通过数值变量符号式提取、静态攻击流程分析、以及高精度动态攻击验证三个步骤,来检测和分析软件中可能存在的数值稳定性相关安全漏洞.在业界多个著名开源软件上进行了实例研究,实验结果表明,本文方法能够有效检测到实际软件中真实存在的数值稳定性相关漏洞隐患.
-
-
Liu Gao;
刘高;
Hao Long;
郝龙;
Zhao Dongdong;
赵东东
- 《2021年国家网络安全宣传周网络安全产业发展论坛》
| 2021年
-
摘要:
近年来,新应用、新业态不断涌现,网络安全风险不断升级,主动防御逐渐成为网络安全的重要手段之一.盛邦安全网络安全单兵侦测系统基于“ATT&CK”技术框架,采用网络空间资产测绘、多引擎结合的暴露面检测和全场景渗透链式处理等创新技术,融合资产识别、漏洞检测和攻防实战等实践经验,能够自动化地完成“目标侦查、暴露面检测、渗透利用”完整攻击链流程和事件调查的溯源取证,致力于将攻防对抗能力标准化、系统化、流程化.该产品有利于解决网络安全专业人才匮乏及内部人员能力不足等问题,适用于攻防对抗、攻防演练、安全测试、内部实训等多种应用场景.
-
-
LI Zan;
李赞;
BIAN Pan;
边攀;
SHI Wen-Chang;
石文昌;
LIANG Bin;
梁彬
- 《第十六届全国软件与应用学术会议》
| 2017年
-
摘要:
软件代码中的漏洞(Vulnerability)是导致软件出现故障和错误的重要原因,因此漏洞检测一直是软件安全领域的一个研究热点.近年来,利用含有已知漏洞的函数作为准则,通过查找相似代码实现来检测未知漏洞的方法已经被证明是有效的.但是,一个含有漏洞的函数通常也包含一些与已知漏洞无关的语句,严重影响相似度计算的结果,从而引发误报和漏报.提出了一种利用补丁来提高这种相似性检测准确性的漏洞发现新方法.结合漏洞的补丁信息,引入程序切片技术去除原来含有漏洞的函数中与漏洞无关的语句,利用获得的切片生成去噪的漏洞特征来进行潜在未知漏洞检测.该方法已经在一些真实的代码集中实施,并且实验结果证明该方法确实能够有效减弱漏洞无关语句的干扰,达到提高检测准确性的目的.该方法还成功检测到了3个新的未知漏洞且已经得到确认.
-
-
-
KaiSong
- 《2018年中国网络安全大会》
| 2018年
-
摘要:
Chakra vulnerability,Bypass ASLR&DEP,Bypass CFG,Bypass CIG,Bypass ACG,Exploit,Q&A. Chakra vulnerability The vulnerability was discovered on May31,2016.The vulnerability was fixed in February2017.Two general ways load malicious native code into memory, Load malicious DLL/EXE from disk Dynamic generate code.CIG block the first way, Only properly signed DLLs are allowed to load by a process, Child process can not be created (Windows 10 1607).ACG block the second way, Code pagesare immutable, New, unsigned code cannot be created.
-
-
KaiSong
- 《2018年中国网络安全大会》
| 2018年
-
摘要:
Chakra vulnerability,Bypass ASLR&DEP,Bypass CFG,Bypass CIG,Bypass ACG,Exploit,Q&A. Chakra vulnerability The vulnerability was discovered on May31,2016.The vulnerability was fixed in February2017.Two general ways load malicious native code into memory, Load malicious DLL/EXE from disk Dynamic generate code.CIG block the first way, Only properly signed DLLs are allowed to load by a process, Child process can not be created (Windows 10 1607).ACG block the second way, Code pagesare immutable, New, unsigned code cannot be created.
-
-
KaiSong
- 《2018年中国网络安全大会》
| 2018年
-
摘要:
Chakra vulnerability,Bypass ASLR&DEP,Bypass CFG,Bypass CIG,Bypass ACG,Exploit,Q&A. Chakra vulnerability The vulnerability was discovered on May31,2016.The vulnerability was fixed in February2017.Two general ways load malicious native code into memory, Load malicious DLL/EXE from disk Dynamic generate code.CIG block the first way, Only properly signed DLLs are allowed to load by a process, Child process can not be created (Windows 10 1607).ACG block the second way, Code pagesare immutable, New, unsigned code cannot be created.
-
-
- 《2018年高校网络信息安全研讨会》
| 2018年
-
摘要:
中国教育和科研计算机网承担高校招生网上录取的网络安全和传输保障工作,随着招生高校的增加和高校网络接入渠道多样化,网上招生录取的安全风险日益突出.在教育部学生司的指导下,CERNET于2017年、2018年连续两年开展"高考信息服务网站安全检查工作".2018年度5月17日至7月16日,CERNET NOC安全小组对全国1976所高校的2232个招生信息发布网站进行了安全检查.
-
-
- 《2018年高校网络信息安全研讨会》
| 2018年
-
摘要:
中国教育和科研计算机网承担高校招生网上录取的网络安全和传输保障工作,随着招生高校的增加和高校网络接入渠道多样化,网上招生录取的安全风险日益突出.在教育部学生司的指导下,CERNET于2017年、2018年连续两年开展"高考信息服务网站安全检查工作".2018年度5月17日至7月16日,CERNET NOC安全小组对全国1976所高校的2232个招生信息发布网站进行了安全检查.