软件漏洞
软件漏洞的相关文献在2000年到2022年内共计289篇,主要集中在自动化技术、计算机技术、无线电电子学、电信技术、信息产业经济(总论)
等领域,其中期刊论文159篇、会议论文21篇、专利文献41367篇;相关期刊101种,包括中国教育网络、信息安全与通信保密、电脑编程技巧与维护等;
相关会议15种,包括第八届信息安全漏洞分析与风险评估大会、第六届信息安全漏洞分析与风险评估大会、第五届信息安全漏洞分析与风险评估大会等;软件漏洞的相关文献由585位作者贡献,包括胡昌振、曾庆凯、任家东等。
软件漏洞—发文量
专利文献>
论文:41367篇
占比:99.57%
总计:41547篇
软件漏洞
-研究学者
- 胡昌振
- 曾庆凯
- 任家东
- 单纯
- 王倩
- 邹德清
- 金海
- 刘臻
- 吴明杰
- 周侃
- 常承伟
- 张若愚
- 李亚洲
- 李珍
- 熊玲
- 王卓
- 王可惟
- 王崑声
- 韦韬
- 黄实秋
- 傅建明
- 刘梅
- 吴敬征
- 崔宝江
- 张鑫
- 施雪成
- 杨牧天
- 江建慧
- 温泉
- 王丽敏
- 王斌
- 罗天悦
- 茅兵
- 谢立
- 谷大武
- 赵磊
- 邹维
- 陈平
- 万明
- 严祎明
- 任帅敏
- 余龙飞
- 侯瓒
- 倪康奇
- 冯登国
- 刘勇
- 刘嘉华
- 刘坤
- 刘明
- 刘杰
-
-
贵重;
何鹏;
何瑛;
刘畅;
李云翔;
杜鹃;
杜雅端;
周宇飞
-
-
摘要:
一、美英澳三国联合发布《2021年勒索软件全球化威胁升级》【内容简介】2月9日,美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)、国家安全局(NSA)、澳大利亚网络安全中心(ACSC)以及英国国家网络安全中心(NCSC-UK)联合发布了《2021年勒索软件全球化威胁升级》。报告包括以下3个部分。一是途径与方式。网络钓鱼电子邮件、远程桌面协议(RDP)和软件漏洞是实施勒索软件攻击的三大突破口。攻击者大多采用3种方式进行勒索,即威胁公开发布受害者的敏感信息,破坏受害者的互联网访问功能,将攻击事件通报给受害者的合作伙伴、股东或供应商。
-
-
谢比特
-
-
摘要:
文章针对软件工程中应用数据挖掘技术的意义进行分析和讨论,并在此基础上,提出数据挖掘技术在软件工程中的应用路径,包括有:挖掘信息,挖掘漏洞,挖掘执行记录以及开源软件代码等等。希望通过相关技术应用人员对应用数据挖掘技术的高效应用,确保软件工程更加合理和高效,并能够使软件工程获得进一步发展。
-
-
赵文博
-
-
摘要:
2021年,工信部印发《关于加强智能网联汽车生产企业及产品准入管理的意见》,明确软件升级、功能安全和预期功能安全等管理要求,强化汽车数据安全、网络安全监管,迈出了智能网联汽车准入管理的"第一步"。据报道,德国安全研究人员大卫·科伦坡近日在特斯拉的系统中发现一处软件漏洞,他通过该漏洞远程入侵了13个国家的25辆特斯拉汽车。他表示,该软件漏洞允许他远程打开车门车窗,无需钥匙就能启动汽车,而且还能远程关闭车辆的安全系统。
-
-
冯光升;
张熠哲;
孙嘉钰;
吕宏武
-
-
摘要:
网络空间的安全形势日趋复杂,随着软件迭代的速度加快,安全漏洞的数量也呈爆炸式增长。过去依靠安全专家进行评估的方式在面对隐蔽且数量众多的漏洞时需要耗费巨大的人力物力,因此,如何高效地自动寻找软件漏洞、生成对应的漏洞报告并进行后续利用成为当今的一个热点研究方向。文章旨在对漏洞自动化利用的最新进展进行综述,首先提炼漏洞自动化利用的相关技术,然后介绍主流的漏洞自动化利用系统,最后分析总结了目前存在的问题并对未来的研究进行了展望。
-
-
林若钦;
罗琼
-
-
摘要:
软件应用持续升级换代,漏洞形式也更加变化多端,为进一步提升漏洞检测有效性,保障软件应用与系统安全,以可变形卷积神经网络为技术支持,构建一种软件漏洞检测算法.采用卷积层、全连接层等架构用于输入软件漏洞特征的子网络,利用网格生成器将空间变换参数变为一个参数化采样网格,完成输入特征映射采样;求取权值与采样值的所有乘积和,根据神经元输出形式界定,推导出软件漏洞特征点在可变形卷积神经网络下表达形式,通过添加与输入层大小相同的偏移量,挖掘双线性插值核中含有的运算规则,结合可变形卷积的池化变形形式,发现软件漏洞特征,实现漏洞检测.选取不同数据集作为漏洞检测对象,根据递增卷积核尺寸对应的不同网络层数指标数据与感受野尺寸变化,验证所提算法的检测性能具有较好的有效性与稳定性,可抑制过拟合现象发生.
-
-
彭碧涛;
王常吉;
罗海蛟
-
-
摘要:
针对软件漏洞分析课程的特点,提出了该课程实验建设面临的困难和挑战,阐述了该课程实验建设的思路,然后从常用软件安全工具、栈溢出和堆溢出、Shellcode编写、其他内存攻击技术、其他类型软件漏洞、Windows安全机制、漏洞挖掘以及CVE分析和利用等知识点设计了实验内容,最后对整个实验教学内容进行了总结,指出后续的改进和建设方向.
-
-
梁俊毅;
陈静
-
-
摘要:
传统软件漏洞自动识别方法的识别结果不够理想,为此提出基于双向LSTM的软件漏洞自动识别方法.该方法利用开源工具ANTLR4建立抽象语法树获取软件源代码特征,作为软件漏洞的识别依据;利用双向LSTM技术对特征数据进行训练分析,检测到软件运行中存在的漏洞,以此实现基于双向LSTM的软件漏洞自动识别.实验结果证明,设计方法的相似度高于传统方法.
-
-
邓嘉兴
-
-
摘要:
随着互联网应用领域的不断拓宽,丰富的应用场景下暴露的网络安全风险和问题越来越多.基于此,介绍了渗透攻击技术、网络攻击检测技术和入侵防御技术,对涉及的关键技术展开原理性研究,将网络攻击分为前期、中期、后期.选取攻击者发起网络渗透攻击时几个关键节点步骤进行网络攻击技术反制研究.希望能够提升网络安全管理者对抗网络攻击的能力.
-
-
彭碧涛;
王常吉;
罗海蛟
-
-
摘要:
针对软件漏洞分析课程的特点,提出了该课程实验建设面临的困难和挑战,阐述了该课程实验建设的思路,然后从常用软件安全工具、栈溢出和堆溢出、Shellcode编写、其他内存攻击技术、其他类型软件漏洞、Windows安全机制、漏洞挖掘以及CVE分析和利用等知识点设计了实验内容,最后对整个实验教学内容进行了总结,指出后续的改进和建设方向。
-
-
李沛南
-
-
摘要:
描述了现有计算机系统中存在的安全风险,归类了攻击场景与目标,并分析了现有的软硬件漏洞及相应的基本原理。针对软硬件攻击,提出了可行的防御策略以及在安全机制实施时面临的挑战。以软件中常见的控制流劫持漏洞以及硬件中最为危险的推测执行漏洞为例,讲述了防御策略的应用方法,并进一步展望了未来安全处理器的研究方向。
-
-
肖奇学
- 《第四届中国互联网安全大会》
| 2016年
-
摘要:
软件漏洞是软件安全问题的根源之一,自从Aleph One首次在phrack杂志上公开了栈溢出漏洞的利用攻击方法,软件安全漏洞的挖掘和分析逐渐成为了学术界和工业界研究的重要方向.尤其近年来随着全球信息化的深入、"互联网+"经济模式的广泛推行、以及人工智能、物联网技术的快速发展,计算机软件已经成为世界经济、科技、军事和社会发展的重要引擎,计算机软件安全将影响到各个领域的发展.基于执行生成测试技术是动态符号执行的一种,本文对其进行了详细的介绍,并对执行生成测试和concol is测试进行了比较和分析。同时,本文基于state-of-art的执行生成测试工具KLEE进行了扩展,基于KLEE设计并实现了循环限界和concolic文件环境模型,可以有效地缓解动态符号执行在进行程序路径遍历和漏洞检测时产生的路径爆炸,并在实验中取得了较好的效果,发现了多个未公开漏洞。
-
-
赵晓斌;
郑方;
陶生聪
- 《第七届全国网络安全等级保护技术大会》
| 2018年
-
摘要:
ROP已经成为软件漏洞攻击的常用技术,当前抵抗ROP攻击的一个主要方法是控制流完整性(CFI).CFI能够有效地防止ROP,但是存在运行时间开销大、实现复杂、易被绕过的缺点.针对这些缺点,提出了一种基于API(Application Programming Interface)调用行为特征的ROP检测机制,该机制通过对敏感API函数的调用过程进行合法性检测,从而避免传统的针对大量间接分支的检测,有效地降低运行时开销;通过对攻击者可用的Gadgets进行提取、检测,从而避免CFG构建,降低实现复杂度;通过对API调用特征信息和API调用上下文信息检测,保证程序的安全性.
-
-
马金鑫;
邹权臣
- 《2018中国互联网安全大会》
| 2018年
-
摘要:
模糊测试通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞,但对于具有高结构化输入的应用程序,传统的模糊测试技术存在生成样本合法性弱和严重依赖人工参与的劣势.目前,深度学习作为一项能够从大数据中自动学习数据特征的技术,可被应用于样本生成方面,并能够有效解决传统模糊测试技术的缺陷.利用深度学习,通过对大量PDF样本中的文件格式进行学习训练,可产生较合规且具有一定变异性的新样本.通过实验表明,该方法能产生较高质量的测试样本.
-
-
-
LUO Ping;
罗平;
YAO Yao;
姚尧;
LI Junjie;
李俊杰;
ZHANG Xin;
张新;
RAO Fei;
饶飞
- 《第六届信息安全漏洞分析与风险评估大会》
| 2013年
-
摘要:
随着计算机技术和网络技术的发展,软件系统的安全性正面临软件漏洞带来的越来越严重的威胁,理论界提出了很多基于不同度量准则的预测漏洞的方法.但是,当考虑到漏洞对软件安全性及可信性的影响时,这些方法很难与可信性的其它子属性整合起来,其中最重要的原因是可信性的子属性间没有统一的量纲.本文分析了度量漏洞的各个指标,发现传统的指标都无法实现可信子属性的整合,只有损失量可以做到这一点,而使用损失量度量和预测漏洞是前人没有做过的.为此,首先给出损失量出现规律和漏洞数量发现规律之间的相似性,提出了使用预测软件缺陷的模型来预测损失量.同时,提出了全新的强安全性的概念.本文借鉴经典的M-O模型建立了新的M-O漏洞预测模型,并给出强安全性的数学定义.使用实际漏洞库中的数据检验新模型的准确性,取得了较理想的改进效果。
-
-
LIANG Yu;
梁玉;
FU Jianming;
傅建明;
PENG Bichen;
彭碧琛
- 《第六届信息安全漏洞分析与风险评估大会》
| 2013年
-
摘要:
Shellcode是软件漏洞攻击过程中的一个关键要素,也是检测漏洞攻击的基础.根据shellcode的API函数和系统调用对栈帧的影响,定义了EBP异常、Ret异常和长度异常.接着,提出了一种基于栈异常的shellcode检测方法.该方法遍历指定API函数的栈帧链,检测异常、定位漏洞函数和Shellcode代码,并采用栈帧重构解决了栈帧中的EBP缺失或破坏的问题.其实验结果表明,该方法能有效检测到普通shellcode、纯ROP的shellcode以及混合型shellcode,基本具备追踪shellcode位置和EIP跳转函数的功能,且其性能开销较小、没有误报。此外,与EMET工具相比,该方法对纯ROP编程的shellcode更加有效。
-
-
CHEN Libo;
陈力波;
ZHUGE Jianwei;
诸葛建伟;
TIAN Fan;
田繁;
BAO Youzhi;
鲍由之;
LU Xun;
陆恂
- 《第五届信息安全漏洞分析与风险评估大会》
| 2012年
-
摘要:
动态污点分析技术是目前一种主要的软件漏洞分析技术,但在二进制代码分析中由于缺少类型支持,目前只能工作在内存地址与寄存器粒度上,为漏洞机理语义分析带来了较大困难.本文提出了基于类型的动态污点分析技术,定义外部输入变量为污点变量,并添加变量的类型信息与符号值作为污点属性,利用函数、指令的类型信息来跟踪污点变量传播过程,进行类型感知的污点传播以及面向类型变量的符号执行,从而获得污点变量传播图与程序执行路径条件,求解出输入变量的约束条件,支持全面了解输入变量在数据流中的传递和对控制流的影响,最终达到更好的安全漏洞语义理解.本文以分析浏览器安全漏洞为例应用该技术,运用动态二进制代码插装技术将分析代码插入目标进程,动态执行污点分析,设定策略规则检测进程是否非法使用污点数据,结合符号执行,解出输入变量约束条件.从数据依赖和控制依赖两方面,获得含有外部输入类型信息的安全漏洞特征.实验结果验证,基于类型的动态污点分析方法可以有效提升安全漏洞机理分析的语义,能够输出更易理解与使用的安全漏洞特征.
-
-
唐青昊
- 《第四届中国互联网安全大会》
| 2016年
-
摘要:
在2015年的ISC中,360云安全研究部在云计算的分论坛中全球首次分享了如何在虚拟化中进行漏洞挖掘的框架.经过一年的技术沉淀,惊喜地发现有更多的公司,比如像阿里、腾讯也投入大批安全人员进入对虚拟机和虚拟化系统的安全性研究的工作当中.现在,看到这个领域已经从2015年的新生事物进入现在百舸争流的状态.云生态作为IT领域中未来的发展趋势,会进人到更多互联网公司、传统公司,甚至政府部门业务当中。对云生态安全的研究是必要的,尤其是安全公司,更应持续投入资源在技术和产品层面保证云系统这种未来的IT基础设施的安全性。只有了解了常用云虚拟化系统和软件工具的运行特性与安全机制,才能有效预防和规避相关的风险。
-
-
唐青昊
- 《第四届中国互联网安全大会》
| 2016年
-
摘要:
在2015年的ISC中,360云安全研究部在云计算的分论坛中全球首次分享了如何在虚拟化中进行漏洞挖掘的框架.经过一年的技术沉淀,惊喜地发现有更多的公司,比如像阿里、腾讯也投入大批安全人员进入对虚拟机和虚拟化系统的安全性研究的工作当中.现在,看到这个领域已经从2015年的新生事物进入现在百舸争流的状态.云生态作为IT领域中未来的发展趋势,会进人到更多互联网公司、传统公司,甚至政府部门业务当中。对云生态安全的研究是必要的,尤其是安全公司,更应持续投入资源在技术和产品层面保证云系统这种未来的IT基础设施的安全性。只有了解了常用云虚拟化系统和软件工具的运行特性与安全机制,才能有效预防和规避相关的风险。
-
-
唐青昊
- 《第四届中国互联网安全大会》
| 2016年
-
摘要:
在2015年的ISC中,360云安全研究部在云计算的分论坛中全球首次分享了如何在虚拟化中进行漏洞挖掘的框架.经过一年的技术沉淀,惊喜地发现有更多的公司,比如像阿里、腾讯也投入大批安全人员进入对虚拟机和虚拟化系统的安全性研究的工作当中.现在,看到这个领域已经从2015年的新生事物进入现在百舸争流的状态.云生态作为IT领域中未来的发展趋势,会进人到更多互联网公司、传统公司,甚至政府部门业务当中。对云生态安全的研究是必要的,尤其是安全公司,更应持续投入资源在技术和产品层面保证云系统这种未来的IT基础设施的安全性。只有了解了常用云虚拟化系统和软件工具的运行特性与安全机制,才能有效预防和规避相关的风险。