二进制程序安全缺陷静态分析方法的研究综述

对现有二进制程序安全缺陷静态分析方法进行了综述和分析,提出了整个程序分析过程中的关键问题以及二进制程序安全分析的主要研究方向.通过对二进制程序缺陷静态分析流程的总结,发现二进制程序信息恢复是整个分析过程的关键,构造内容丰富的、通用的中间表示是二进制程序缺陷分析的重要研究方向.     

软件缺陷分类和分析研究

缺陷是软件产品的固有成分,如何管理、减少和预防缺陷,对于提高软件质量、降低软件成本具有重要的意义.从缺陷分类和缺陷分析两个方面介绍了软件缺陷研究的现状,对比、分析了各种缺陷分类方法的优势和不足,总结了缺陷分析的主要研究方向及其研究方法,最后对缺陷研究方法的选择进行了讨论.     

Web应用程序安全性缺陷检测

撇开语言和平台来讲,Web应用程序的源代码是入侵缺陷的主要来源。CSI (计算机安全协会)有关安全缺陷来源分布的一项调查显示,64%的缺陷来源于程序错误,其他36%则与配置有关。在本文里,作者将说明如何对一个用ASP．NET编写的Web例子应用程序做自动化审查,并制作了一个Python脚本工具用于做源代码分析。     

基于不变量的程序运行保护方法

程序不变量反映了程序在特定点上的安全属性,可以作为运行保护时的监控对象.提出了一种程序运行保护方法,通过动态监控程序不变量,保护程序安全运行.该方法根据检测出的程序不变量,配置程序保护策略.运行环境支持对程序插装保护代码,执行保护策略.实验表明方法是有效的且使用方便,保护带来的性能损失不大.     

程序缺陷自动修复研究进展及关键问题

程序缺陷自动修复是指针对程序中存在的缺陷,自动生成相应的程序补丁,进而使程序恢复正常运行.首先,根据补丁生成方式的不同,将程序缺陷自动修复方法划分为4类,分别为基于搜索的、基于语义的、基于机器学习的以及基于错误报告驱动的程序缺陷自动修复方法.基于搜索的程序缺陷自动修复方法运用启发式算法在搜索空间内通过搜索生成程序补丁;基于语义的程序缺陷自动修复方法将修复约束作为合成程序补丁的规约,最后通过约束求解器生成程序补丁;基于机器学习的程序缺陷自动修复方法使用数据集训练并生成修复模型,通过修复模型生成程序补丁;基于错误报告驱动的程序缺陷自动修复方法通过利用程序执行以及用户反馈的错误信息生成程序补丁.本文对以上4类程序缺陷自动修复方法进行了详细阐述;其次,总结了检验程序缺陷自动修复方法及工具修复效果所用到的缺陷库;最后,分析了程序缺陷自动修复在工业界的应用现状并总结了该领域面临的关键问题及未来研究的方向.     

C源代码静态安全检查技术

对源代码进行安全检查就是在程序运行之前通过分析源程序发现潜在的安全缺陷。该文分析了C语言源程序中可能发现的安全问题，介绍了目前静态代码安全检查的技术和方法以及面临的困难，最后，给出了一些提高程序安全性的建议。     

软件安全缺陷发掘模型研究进展*

软件安全缺陷发掘模型在评估软件安全等级、预测软件剩余安全缺陷数量、确定为保证软件安全所需投入的资源等方面有着重要的意义。本文综述了软件安全缺陷发掘模型研究的进展状况,详细介绍了主要软件安全缺陷发掘模型的内容和原理,并对这些模型的特点和性能进行了比较和分析,最后提出了几个软件安全缺陷发掘模型研究领域需要进一步研究的问题。     

查漏补缺——企业网络补丁轻松打 NO．1企业网络补丁管理基础

一．什么是安全修补程序?首先来了解一下什么是安全修补程序，安全修补程序简称“补丁”，大家知道软件都是人编写的，不可能十全十美。每款软件都存在些潜在漏洞或缺陷．这些软件的漏洞和缺陷会随着时间的推移．慢慢地被人们发现，而软件开发者或者厂商为了让这些漏洞和缺陷不影响到用户的使用就针对它们专门开发一种安全修补程序。     

用数据流分析方法检查程序信息流安全

程序信息流安全是信息安全的一个重要研究方向.基于类型的分析虽然是检查程序信息流安全的一种有效方法,但过于保守.本文尝试将传统的数据流分析方法用于程序信息流安全的检查,即利用数据流分析来跟踪程序数据间的安全依赖关系,达到检查程序信息流安全的目的.和基于类型的方法相比,数据流分析方法能更加精确地分析程序,具有更大的宽容性.最后,本文对数据流分析方法的可靠性进行了证明.     

基于程序频谱的动态缺陷定位方法研究

基于程序频谱的动态缺陷定位是软件自动化调试研究中的一个热点问题,通过搜集测试用例的程序频谱和执行结果,基于特定模型以定位缺陷语句在被测程序内的可能位置.对近些年来国内外学者在该研究领域取得的成果进行系统总结:首先,给出预备知识和基本假设;随后,提出缺陷定位研究框架并识别出框架内一系列可影响缺陷定位效果的内在影响因素,包括程序频谱构造方式、测试套件构成和维护、内在缺陷数量、测试用例预言设置、用户反馈和缺陷修复开销等;接着,对实证研究中采用的评测指标和评测程序进行总结和分析;然后,对缺陷定位方法在一些特定测试领域中的应用进行总结;最后,对该领域未来值得关注的研究方向进行了展望.     

程序正确性测试的相关技术进展

本文介绍了程序正确性测试的基本原理,并讨论了有关的测试技术,包括以程序规约为基准的黑箱测试和以程序实现结构为基准的白箱测试两个方面。随后探讨了相关技术向分布式程序的拓展问题。     

嵌入式系统下数据通信安全保护技术研究

现有的IPsec/SSL VPN和数据空中加密等数据通信安全保护技术主要依赖密钥和其他的安全参数。而如何保护密钥等的安全,成为数据通信保护的技术突破点。本文结合在实际的工作中的嵌入式系统常见的被攻击类型,提出在嵌入式系统中运用安全引导技术、敏感安全参数(SSP)和数据存储技术以及边界接口保护技术加强对数据通信安全的保护,以此提高通信运营商的服务质量。     

企业级网络安全方案设计与部署

随着企业规模的不断扩大,其分支机构的不断扩展,企业网络架构也变得更加复杂,面对着各种安全威胁问题。本文首先介绍了当前企业网络环境的基本情况,从企业信息系统需求入手,介绍了当前企业网络安全防护技术,进而提出了网络安全防护方案设计与部署,希望能为相关工作提供一定的参考。     

嵌入式系统安全防护方案比较与应用案例分析

伴随着物联网技术的发展,嵌入式系统安全防护问题已经成为当前亟需考虑并尝试解决的系统性难题.在比较多种嵌入式系统安全防护手段的基础上,深入剖析了基于硬件虚拟化技术的ARM TrustZone安全防护方案的系统组成、工作原理及设计实现要点.详细描述了TrustZone-A和Trust-Zone-M 2种技术的区别,并给出了...     

基于可信计算的结构性安全模型设计与实现

鉴于可信计算可以弥补传统安全防护技术在构架设计和防护强度上存在的安全风险,提出一种可信计算安全模型,从信任链着手,将嵌入式可信安全模块、智能卡等模块引入可信计算平台,对关键技术的实现进行介绍,包括以J3210为核心的可信硬件平台、嵌入式操作系统JetOS、BIOS安全增强、操作系统的安全增强以及基于智能卡的用户身份认证.     

云平台信息安全整体保护技术研究

目前云计算发展迅速,云平台的安全问题也应引起足够重视。本文根据云平台的结构特点,结合信息系统整体保护要求,提出了一种针对云平台的信息安全整体保护技术方案。该方案将云平台分为云计算环境,云区域边界,云通信网络以及云安全管理中心四个部分,分别对这四部分做了安全性分析,并提出了每一部分的安全保障技术设计要求。     

电子商务安全体系的探讨

随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。建立一个安全便捷的电子商务环境，对信息提供足够的保护十分重要。针对这个问题，介绍了电子商务面临的安全威胁，论证了电子商务体系的控制要求，探讨了电子商务安全体系的法律法规和安全技术问题。     

网络安全评估方法的研究与实践

网络安全评估技术和方法的研究对网络安全防护体系的建设具有重要意义。该文结合实际工作经验和研究成果，在分析安全评估技术发展现状的基础上，提出了一种定性分析与定量计算相结合的风险评估模型，给出了具体算法及基于该算法的风险评估流程，并加以实际应用。实践结果证明，应用该算法和模型实施的风险评估对被评估单位的网络安全防护和管理工作起到了良好的指导作用。     

边缘计算安全综述

针对当前边缘计算广泛应用面临的安全问题,主要结合边缘计算的典型应用,对边缘计算实际应用中的安全威胁和风险因素进行了分析总结,依据边缘计算安全参考架构,重点从边缘用户和边缘节点两个角度对当前采用的安全防护技术进行了分析研究,并就相关安全技术的优势和未来趋势进行了阐述。     

防火墙的安全性分析

防火墙作为最广泛采用的安全产品为网络安全的不同方面提供了不同程度的防护功能。该文从防火墙的安全技术分析入手,对其安全防护性能进行评估,剖析了常见的防火墙攻击手段,深入阐述了四类防火墙技术的原理、特点以及实现方法,同时针对防火墙不同的安全性能,归纳并总结了防火墙所采用的常用安全措施,最后指出了目前防火墙技术存在的弱点。