检索结果-内蒙古大学图书馆

作者：赵伟西安电子科技大学

学位级别：硕士

在当今的信息时代,人们的衣食住行已经离不开互联网。网络世界中,各种各样的Web应用为用户提供着丰富多彩的内容。在人们与互联网络联系越来越密切的同时,Web应用潜在的安全问题也严重地威胁着网络用户的个人信息安全、企业的正常发展... 详细信息

在当今的信息时代,人们的衣食住行已经离不开互联网。网络世界中,各种各样的Web应用为用户提供着丰富多彩的内容。在人们与互联网络联系越来越密切的同时,Web应用潜在的安全问题也严重地威胁着网络用户的个人信息安全、企业的正常发展以及国家的网络空间安全。为此如何有效地发现Web应用的潜在漏洞已然成为了软件工程及网络安全领域的一个重点研究方向。在众多的Web应用中,以PHP作为后台开发语言的占比接近80%。但由于PHP语言的自身特性极易在开发过程中造成各种各样的安全漏洞,为此多年来学术界及工业界一直致力于PHP语言开发的Web应用程序漏洞挖掘技术的研究与创新。近年来随着机器学习在各个领域中的成功应用,结合Web应用的历史漏洞样例及机器学习算法训练漏洞挖掘模型成为了漏洞的自动化挖掘的一种新兴方法。考虑到传统的基于机器学习的漏洞挖掘方法无法对PHP代码进行有效表示。本文将PHP语言漏洞挖掘问题转化为PHP语言代码向量化表示问题。通过有效的代码向量化表示方法将PHP代码转化为充分包含代码语法、语义及上下文信息的向量,并在此向量的基础上结合简单的分类算法即可实现有效的针对PHP语言的自动化漏洞挖掘模型,本文主要工作如下所示:(1)分析并总结了PHP语言的执行原理以及常见的Web应用的漏洞,深入研究了基于PHP语言的Web应用漏洞的形成原因。据此从抽象语法树及操作码序列两个层次出发结合机器学习算法构建了PHP代码向量化表示模型,并在此基础上实现了针对PHP语言的漏洞挖掘模型。(2)提出了一种基于抽象语法树的PHP漏洞挖掘模型ASTEncoder。考虑到现有方法对抽象语法树分析维度单一以及将抽象语法树转化为二叉树而造成的代码信息损失的问题。此模型首先将抽象语法树划分为表达式子树;其次,通过聚集表达式子树的路径信息获得代码的语法及过程间信息,通过聚集节点信息保留了代码的过程内语义及过程内信息;最后,通过在此模型中引入注意力机制以使其能够提供准确的漏洞定位能力。(3)提出了一种基于opcode序列的PHP漏洞挖掘模型Opcode2Vec。考虑到传统的基于opcode序列的模型将序列视为维度单一的文本进行处理以及忽略序列中的变量信息而造成的信息损失问题,此模型根据opcode序列的跳转语句将其划分为多个单一维度的子序列,并以此为处理对象构建代码向量化模型。除此之外,此模型提出了变量名向量随着数据流动态更新的方法,以对操作码序列中的变量名进行合理表示。(4)基于SARD-testsuite-103数据集设计了四组实验以比较基于ASTEncoder、Opcode2Vec的PHP代码漏洞挖掘模型与传统模型的性能差异,实验结果表明基于ASTEncoder的模型准确率、召回率及F1值平均达到了98.42%、96.69%及98.03%;基于Opcode2Vec的模型准确率、召回率及F1值平均达到了88.27%、84.43%及83.88%,均高于传统方法。此外,还设计了一组实验比较了与工业界普遍使用的PHP代码审计工具Seay、RIPS之间性能差异。实验结果表明基于ASTEncoder的模型准确率高于98%;基于Opcode2Vec的模型准确率接近于50%,两者均高于Seay与RIPS的准确率。

关键词：代码审计代码向量化表示抽象语法树操作码序列注意力机制

来源：评论

学校读者我要写书评

暂无评论

灰盒代码审计在Web安全检测中的应用研究与实现

灰盒代码审计在Web安全检测中的应用研究与实现

引用

作者：陈昊北京邮电大学

学位级别：硕士

随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测... 详细信息

随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测需求越来越大。传统的Web安全检测技术已经满足不了需求的变化。为了提高Web安全检测的全面性和准确性,将代码审计也应用到Web安全检测中,使得Web安全检测更加的全面准确。本课题正是基于这样一个背景,通过对Web系统中的Java字节码进行分析,利用Findbugs提出了一种全新的灰盒代码审计方案来检测Web安全,给Web的安全检测增加了新的方案,提高了检测结果的全面性。本文首先说明了课题的研究背景,介绍了Web安全和代码审计相关的技术基础知识,如Findbugs、自定义规则的编写等,同时对目前常用代码审计软件进行了对比分析。然后对灰盒代码审计工具进行一系列的功能性扩展,并且重点分析了审计前文件处理、审计结果的污染扩散和审计后的结果重定位这些扩展功能,实现了利用灰盒代码审计对Web工程进行安全检测。最后提出了一种新的Web安全检测方法,分别利用灰盒代码审计和渗透测试对同一个Web工程进行安全检测,对两款工具的检测结果进行对比分析,查找两个结果的关联性,根据关联性对这连个结果进行整合,从而实现全面准确的Web安全检测。

关键词： Web安全代码审计灰盒 Findbugs 重定位渗透测试结果整合

来源：评论

学校读者我要写书评

暂无评论

基于静态检测的代码审计技术研究

基于静态检测的代码审计技术研究

引用

作者：罗琴灵贵州大学

学位级别：硕士

随着应用软件的不断丰富,信息安全面临的挑战也日益严峻。一般来说,软件安全问题大都由代码缺陷引起。因代码缺陷产生的安全漏洞,很可能被攻击者利用,进而达到窃取信息、控制系统等目的。按检测过程中是否需要执行程序,软件安全缺陷检... 详细信息

随着应用软件的不断丰富,信息安全面临的挑战也日益严峻。一般来说,软件安全问题大都由代码缺陷引起。因代码缺陷产生的安全漏洞,很可能被攻击者利用,进而达到窃取信息、控制系统等目的。按检测过程中是否需要执行程序,软件安全缺陷检测可分为静态检测和动态检测两大类。然而,无论是静态检测技术还是动态检测技术都存在误报率和漏报率较高的问题,不能满足当前软件代码的安全需求。因此,如何实现高效准确的代码审计已成为当今国内外学者致力研究的一个热点问题。静态检测相对来说效率较高,但对常用的静态源代码扫描工具Its4、Rats、Flawfinder、Splint、Cppcheck进行实验,发现它们的误报率都非常高,导致单独使用某一个工具并不合适,然而不同工具的检测结果可以在不同程度和不同方面反映源代码存在的安全问题。在单个工具检测结果的误报率较高的情况下,如果能将采用不同静态分析原理的源代码扫描工具的检测结果进行综合利用,得到的结论将比只利用单个工具进行检测更具说服力。本文在对数据融合技术进行研究之后,将一种改进的D-S证据理论应用于静态代码审计技术当中,为基于静态检测的代码审计技术提供了一种新思路。首先,采用不同的静态源代码扫描工具对检测对象进行综合扫描,并对各个工具的检测结果进行标准化处理;然后,利用各工具的误报率和漏报率计算它们的可信度值,并把可信度值当作权值对原始证据进行加权平均;接着,对证据进行n-1次Dempster规则合成;最后,利用新的m函数值进行漏洞判决。实验表明,相比于单个工具,新方法在保证正确率的同时显著降低了误报率;相比于传统D-S证据理论,新方法的正确率更高且误报率的改善也更加明显,是一种性能更好的代码审计方法。

关键词：代码审计安全漏洞静态检测技术数据融合技术 D-S证据理论

来源：评论

学校读者我要写书评

暂无评论

基于代码审计以及Fuzz技术的OpenSSL的脆弱性分析

基于代码审计以及Fuzz技术的OpenSSL的脆弱性分析

引用

作者：罗权重庆邮电大学

学位级别：硕士

SSL协议作为标准传输层加密通信协议,影响力极其巨大,OpenSSL作为SSL协议的实现,在国际范围内广泛应用。一旦OpenSSL的0day漏洞在国际网络黑市流传,将对全世界造成巨大影响,而作为软件,OpenSSL必定存在漏洞。随着信息技术的广泛应用,Ope... 详细信息

SSL协议作为标准传输层加密通信协议,影响力极其巨大,OpenSSL作为SSL协议的实现,在国际范围内广泛应用。一旦OpenSSL的0day漏洞在国际网络黑市流传,将对全世界造成巨大影响,而作为软件,OpenSSL必定存在漏洞。随着信息技术的广泛应用,OpenSSL的未被披露漏洞已经是我国整个社会的安全隐患。抢在黑客挖掘出OpenSSL的漏洞之前,对OpenSSL进行脆弱性分析,提前挖掘出OpenSSL的漏洞十分有必要。本文在研究漏洞挖掘与利用技术基础上,对OpenSSL进行脆弱性分析,在挖掘出一枚0day漏洞后,系统研究现有形式化漏洞挖掘技术,对现有的形式化漏洞挖掘技术提出改进,提出基于底层行为的安全属性定义方法用以提升定理证明工具的自动化程度。并编写工具使之支持相关改进,尝试对xen虚拟机项目进行脆弱性分析,测试改进方案的可行性。具体工作如下:1.对OpenSSL进行了一次完整的脆弱性分析,最终使用代码审计技术挖掘出OpenSSL的0day漏洞一枚,提交官方并获取漏洞编号CVE-2016-2179。2.总结对OpenSSL脆弱性分析的完整过程,系统学习现有形式化漏洞挖掘技术,结合自身漏洞挖掘经历,大量分析历史漏洞。对代码审计技术的定理证明技术提出改进方案,提升使用现有证明方法的代码审计工具的自动化程度,并使用现有开源代码,在其上进行修改拼接,使之支持改进方案。3.使用改进后的代码审计工具对xen4.7进行代码审计,挖掘出Bug一枚,已提交官方。

关键词：代码审计形式化 OpenSSL 漏洞挖掘

来源：评论

学校读者我要写书评

暂无评论

代码审计系统的误报率成因和优化

引用

电信科学 2020年第12期36卷 155-162页

作者：肖芫莹游耀东向黎希中国电信股份有限公司研究院上海200122

目前,代码审计已经成为网络安全建设中举足轻重的环节,基于自动化源代码检测的代码审计系统已经得到了广泛的应用,但仍存在诸多缺点。总结了当前代码审计系统的不足之处,简述了不同静态源代码检测算法的原理,并分析检测报告中出现误报... 详细信息

目前,代码审计已经成为网络安全建设中举足轻重的环节,基于自动化源代码检测的代码审计系统已经得到了广泛的应用,但仍存在诸多缺点。总结了当前代码审计系统的不足之处,简述了不同静态源代码检测算法的原理,并分析检测报告中出现误报的原因,提出了相应的优化思路,描述了优化方案的技术原理及其应用场景。

关键词：代码审计静态检测技术网络安全

来源：评论

学校读者我要写书评

暂无评论

代码审计技术方案

引用

信息技术与信息化 2015年第9期 61-62页

作者：梁宇文何庆许敬伟周乐坤魏丽丽中国移动通信集团广东有限公司广东广州510000

代码安全审计工作通过分析当前应用系统的源代码,在熟悉业务系统的情况下,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规... 详细信息

代码安全审计工作通过分析当前应用系统的源代码,在熟悉业务系统的情况下,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。通过实施代码安全审计,以较小成本快速发现系统中的代码安全漏洞、快速评估系统代码安全风险,有助于增强系统安全性,抵御黑客恶意攻击,保护信息系统资产。

关键词：代码审计代码扫描人工分析

来源：评论

学校读者我要写书评

暂无评论

代码审计工作在整个安全保障体系中的重要价值

引用

计算机安全 2013年第12期 32-35页

作者：梁业裕徐坦宁建创杨明中国移动通信集团广西有限公司广西南宁530022

首先就通信运营商的系统安全问题和代码现状进行了阐述,之后以通信运营商代码审计遵循目标原则进行展开。给出了具体代码审计方法,引出代码审计成功的要素以及代码审计工作具体过程,最后给出了代码审计工作的重要价值与意义。

关键词：系统源代码代码审计代码安全

来源：评论

学校读者我要写书评

暂无评论

黑客漏洞发掘技术内幕系列之十一：最有效的漏洞发掘技术：代码审计

引用

黑客防线 2008年第12期 52-59页

作者：爱无言

通过前面不断的学习，你一定一次次被那些出色的漏洞发掘技术所震撼，觉得它们一个比一个好用，仿佛学会它们就会指哪打哪．无坚不摧。你是正确的．前面那些出色的技术都是一个个杰出的黑客，在自己辛苦发掘漏洞中的经验总结，学会这些... 详细信息

通过前面不断的学习，你一定一次次被那些出色的漏洞发掘技术所震撼，觉得它们一个比一个好用，仿佛学会它们就会指哪打哪．无坚不摧。你是正确的．前面那些出色的技术都是一个个杰出的黑客，在自己辛苦发掘漏洞中的经验总结，学会这些技术．就如同站在巨人的肩膀上，可以看得更远，发现更多的漏洞。

关键词：漏洞代码审计溢出漏洞计算机安全漏洞发掘技术

来源：评论

学校读者我要写书评

暂无评论

源代码审计综述

引用

保密科学技术 2015年第12期 36-41页

作者：向灵孜信息安全共性技术国家工程研究中心

本文阐述了源代码审计原则,概述了源代码审计的方法和技术,对比了源代码审计工具,表明了源代码审计的价值和意义,最后对源代码审计技术的发展趋势做出预估。

关键词：代码审计安全编码信息安全

来源：评论

学校读者我要写书评

暂无评论

基于代码审计技术的OpenSSL脆弱性分析

引用

计算机系统应用 2017年第9期26卷 253-258页

作者：杜江罗权重庆邮电大学网络与信息安全技术重庆市工程实验室重庆400065

本文讨论应用代码审计技术,分析OpenSSL源代码,进行脆弱性分析,并作出针对性修补建议.在进行源码级分析时,主要采用数据流分析技术,动态污点分析技术,定理证明等.各类代码审计技术由于都主要采用形式化手段分析软件构架的安全需求,通常... 详细信息

本文讨论应用代码审计技术,分析OpenSSL源代码,进行脆弱性分析,并作出针对性修补建议.在进行源码级分析时,主要采用数据流分析技术,动态污点分析技术,定理证明等.各类代码审计技术由于都主要采用形式化手段分析软件构架的安全需求,通常都对某种特定场景有较好效果,但实用性较差.在审计linux,xen等大型成熟软件项目时,存在效率低下,误报率高等缺陷,甚至可能根本无法挖掘出有效漏洞.为此通过采用搭配使用各种不同代码审计技术,同时使用一种新的安全属性定义手法,从底层角度定义安全属性,以提升其对软件安全需求描述的准确度,避免其审计缺陷.在保留代码审计技术自动化程度高的优点同时提升其审计效率以及降低误报率,深层次发掘代码脆弱性.

关键词：漏洞挖掘代码审计形式化 OpenSSL

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：