软件安全论文(12篇)
1.软件安全论文 篇一
一. 软件安全的基本概念
安全的基本概念:
1.计算环境内的软件安全
2.安全是相对的,安全是一种平衡 【软件的概念
与一系统(尤指计算机系统)有关的程序、步骤和有关文件编制的完整集合。特指特定类型的计算机所使用的程序的总称,连同与计算机或程序相关的资料,例如手册、图表和操作指令。【什么是信息
所谓信息,就是客观世界中各种事物的变化和特征的最新反映,是客观事物之间联系的表征,也是客观事物状态经过传递后的再现。【什么是信息安全
一类是指具体的信息技术系统的安全。
而另一类则是指某一特定信息体系的安全。
但是有人认为这两种定义失之于过窄,而应定义为:一个国家的社会信息化状态不受外来的威胁与侵害,一个国家的信息技术体系不受外来的威胁与侵害。【信息安全的5个基本属性
安全性 可用性 保密性 可控性 可靠性 【软件的安全性
软件安全性是指软件不被恶意使用或者攻击进而造成用户信息资产损失的属性。 软件安全:软件在恶意攻击下能够正确地完成其功能。【软件安全的属性3个
软件的可信性,软件的完整性,软件的可用性,【软件安全研究范畴
软件安全研究:如何设计、构造、验证和维护软件以保证其是安全的。 包括:改进和实现软件安全的架构或结构
改进和实现软件安全的工具
改进或实现软件安全的方法
【漏洞和脆弱性
安全漏洞:计算机系统具有的某种可能被入侵者恶意利用的属性;
有时安全漏洞也成为脆弱性;漏洞是软件的属性 【漏洞的本质
漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未经授权访问,或者对系统造成损害。【安全的的代码 vs 安全性的代码
安全的代码:能够抵抗恶意攻击的代码;安全的代码同时也是健壮的代码;
安全性代码:实现安全功能的代码; 二. 典型的安全问题及分析
【安全问题来源
安全问题的根本来源:1漏洞(漏洞是软件的属性);2攻击者;3软件存在的攻击路径-攻击面问题; 【产生漏洞的原因
(1)软件或协议设计时的瑕疵(2)软件或协议实现中的弱点(3)软件本身的瑕疵(4)系统和网络的错误配置
【意外行为和缺陷
意外行为(Unexpected Behavior):也称程序安全缺陷,是由于程序脆弱性引起的不适当的程序行为。
缺陷(Flaw):缺陷可以是故障(Fault),或者失效(Failure)
程序安全缺陷可能来源于任何种类的软件错误:无意或疏忽的,故意或有意
【缺陷类型
有意的缺陷(1)恶意的(Malicious)(2)非恶意的(Nonmalicious 无意中的缺陷(1)确认错误(2)域的错误(3)顺序化和混淆现象(4)不完全的身份识别和认证(5)边界条件违反(6)其它可利用的逻辑错误 【漏洞的两种类型
设计漏洞:设计错误,往往发现于软件的安全功能特性中。 实现漏洞:来源于软件实际编码中的安全缺陷。
【常见安全设计问题
1缓冲区溢出 2未校验输入3资源竞争4访问控制问题5认证、授权、加密缺陷
【Owasp top 10 1注入2失效的身份认证3跨站脚本4不安全的直接对象引用5安全配置错误6敏感信息泄露7功能级访问控制缺失8跨站请求伪造9使用含有已知漏洞的组件10未验证的重定向和转发 三. 安全工程
【Sse-cmm 5级
能力级别1――非正式执行
公共特征:执行基本实施 能力级别2――计划与跟踪
公共特征:1计划执行2规范化执行3验证执行4跟踪执行 能力级别3――充分定义
公共特征:1定义标准过程2执行已定义的过程3协调安全实施 能力级别4――定量控制
公共特征:1建立可测的质量目标2客观地管理过程的执行 能力级别5――连续改进
公共特征:1改进组织能力2改进过程的有效性
【安全工程的三个基本过程
安全工程分三个基本过程:风险、工程和保证
– 风险过程是要确定产品或者系统的危险性,并对这些危险性进行优先级排序
– 工程过程是针对面临的危险性,安全工程过程与相关工程过程一起来确定并实施解决方案
– 保证过程是建立起对解决方案的信任,并把这种信任传达给顾客
【受攻击面分析
受攻击面分析:枚举所有接口、协议以及可执行代码的过程。 软件的受攻击面:代码
接口
服务
协议
其他
【隐私影响分级 3级
隐私分级1:满足以下任何一项,具有最高隐私分级
– 该软件储存PII或传输PII – 该软件目标是针对儿童或对儿童产生吸引力,或包含任何可以了解年龄的用户体验(按美国法案要求,收集PII需要成人权限,必须保护13岁以下儿童)
– 该软件不间断监控用户行为
– 该软件安装新的软件或改变用户文件类型的关联(如改变JPEG解码程序)
隐私分级2:该软件传输匿名数据给开发人员或第三方
隐私分级3:如果软件不包含隐私分级1、2中任何一种行为,则被划分为隐私分级3 四. 测试
【安全漏洞分级
DREAD模型:进行威胁程度级别分析的有效技术。
DREAD:1潜在的破坏2再现性3可利用性4受影响用户5可发现性
TRAP模型:
基于可利用性提出。
TRAP包括因素:1时间2可靠性/再现性3访问4定位
【安全的常规测试方法
1.基于风险的安全测试3个步骤:1信息搜集2威胁(风险)建模3可用性分析 在一个威胁路径上的9个高风险活动:
1数据解析 2文件访问 3数据库访问 4生成子进程 5身份鉴别 6授权
7同步或会话管理
8处理私密数据
9网络访问
2.白盒,黑盒,灰盒测试
白盒测试:也称明盒测试、开盒测试或信息充分测试。白盒测试可以看作是内部的攻击。测试人员可以访问源代码和设计文档,可以进行威胁建模或逐行的代码检查。白盒测试是找出漏洞最为有效的方法。
黑盒测试:以局外人的身份对系统进行攻击,使用工具检查系统的攻击面,并探查系统的内部信息。黑盒测试是白盒测试的补充。方向工程团队利用黑盒测试验证隐蔽式安全方法的强度。
灰盒测试:组合使用白盒测和黑盒测试。白盒测试用于发现在设计和开发中详细说明
的功能中的缺陷;黑盒测试在无法了解程序内部信息的时候找出缺陷。程序开发中的调 试运行是典型的灰盒测试方法。
五 SDL的3原则
安全的设计
缺省安全 安全提交 六 信息系统的主要特征:
1一定是依赖于计算机的; 2涉及了计算机的软件和硬件;
3实现数据的采集、传递、加工、处理功能。
安全模型
业务数据用户界面逻辑业务逻辑登录控制网络数据服务用户数据访问日志数据信息主管权限管理日志审计系统管理员异常探测机 ISO 7498 五种
1身份鉴别2访问控制3数据保密4数据完整性5抗抵赖 七
WEB应用及其安全问题
WEB应用可以理解为利用HTTP与用户或者其他系统实现交互的C/S程序。而用户所使用的CLIENT一般是类似于IE等的浏览器或者是专门开发的HTTP代理。WEB SERVICE是一个打包在一起的功能集合,作为一个实体,发布至网络被其他程序所使用。
威胁建模的五个步骤
步骤 1 :确定安全目标。步骤 2 :创建应用程序概述。步骤 3 :分解应用程序。步骤 4 :确定威胁。步骤 5 :确定漏洞。主要WEB应用协议
HTTP FTP MAIL协议 SSL 附加
微软安全工具使用相关知识 CWE,OWP OWASP是一个非盈利组织,其主要目标是致力于web 应用的安全问题。
2.软件安全论文 篇二
在家用电器的安全防护方面一般分为0类、0Ⅰ类、Ⅰ类、Ⅱ类、Ⅲ类器具。0类、Ⅱ类、Ⅲ类器具无安全的接地保护措施。但必须满足对触及带电部件的防护。而0Ⅰ类、Ⅰ类电器应永久并可靠地连接到器具内的一个接地端子, 或器具输入插口的接地触点。
如何满足接地装置的充分牢固, 以防止意外松动, 用提供足够的回弹性能可以满足此要求。对于提供接地连续连接, 则至少使用两个以上的螺钉或螺母。另一考核要求就是测试接地电阻。接地电阻试验是在器具的接地端子或器具输入插口的接地触点与易触及金属部件测量电压降。由电流和该电压降计算出电阻, 该电阻值不应超过0.1Ω。如果电器带有保护性电子电路, 则对保护性电子电路要进行电器软件评估试验。
2 接地电阻准确性测试方法
2.1 测试方法选用
采用四端测量法是比较准确的一种方法。由于接地电阻较小, 在测量小电阻时, 要考虑引线电阻和测试电极接触电阻的影响。为了消除这些影响, 达到精确测量, 采用四端测量即:“电压回路等电位、电流回路等电流”。
2.2 测量电流的要求
电器一般都限定空载电压不超过12V, 电流等于器具额定电流1.5倍或25A取较大值。该电流轮流在接地端子或接地触点与每一个易触及金属部件之间通过。
为了防止电器产品万一绝缘失效引起易触及金属部件带电伤人。当易触及金属作为导体时, 能保证接地端子、接地触点和接地连续性端子在接地回路中成为一体, 通过供电线路中过流保护装置动作来切断外电源, 使人触及这类电器的金属部件时不产生电击的危险。这就对测量设备的输出电流恒定要求很高。大部分家电标准所要求的25A下测试并且维持1min, 换言之, 在过流保护装置未动作的这段恶劣时期, 应通过可靠的接地连续性来保证使用者的安全。由此可见, 接地电阻测试设备不仅仅需要测出准确的阻值, 而且应该能够真正提供大电流, 这样才能完成考核出被测样品的接地连续性。测量设备的横流输出一般为±5%。
2.3 接地电阻仪的有效控制
(1) 接地电阻仪是用于安全检测属强制检定的器具。
根据《中华人民共和国计量法》和《中华人民共和国强制检定的工作计量器具明细目录》应实施强制检定。检定周期一般不超过一年。检定规程按《JJG984-2004》要求进行。
(2) 在两次检定期间增加期间核查, 四线制测试方式见图1。
可选电阻值为10、20、50、75、100、200、300、500mΩ的电阻进行校验。电阻的温度系数<250×10-6/℃。每个电阻值测量3次取平均值。如果测量结果的误差在±5%以内, 则视为满足要求。
(3) 不同设备和不同方法的比对。
用不同的仪器对同一电阻值进行测量, 将测得结果进行比对。或者用同一电阻, 先用伏安法或电桥法测量电阻值, 再用接地电阻仪测量其电阻值, 将测得结果进行比对。如果测试结果的偏差在±5%以内, 则视为满足测试要求。
3 安全保护电路的软件评估
随着科技的不断发展, 家电智能化产品已进入家庭。越来越多的家用电器使用含有软件的控制器。如何对安全软件进行评估是摆在我们面前必须解决的问题, 下面谈谈家用电器软件评估的认识与了解。
(1) GB4706.1-2005附录R增加了软件评估内容。附录Q为软件评估的程序。这就说明家用电器软件评估只适用于家用和类似用途器具中使用软件的电子控制器的软件评估, 不适用于其他计算机系统中使用的系统软件的软件评估。
(2) 由于涉及到B级软件和C级软件, 加之保护电子电路中的一部分也可以起到功能作用。因此, 评估的重点就放在产品安全方面的可靠性。软件系统所控制的整机、环境安全和软件自身故障而引起的危险。GB4706第19章对电器产品进行非正常试验中, 除了整机外还对电子电路有特殊要求试验。但这些都不够, 如果含有软件保护性的电子电器产品只进行GB4706系列标准的非正常试验而不进行软件评估是不完整的, 是漏掉安全检测项目, 存在很大的安全隐患。
(3) 既然软件评估很重要, 是不是所有的电子控制器的家用电器产品都要进行软件评估。这要看电器产品是否具有保护性电子电路, 保护性电子电路是否使用了软件。电器产品没有保护性电子电路, 在非正常工作情况下保护是依靠传统的机械式的保护 (如:热断路器、各种熔断器等) , 即使家电产品带有软件的控制器, 也不需要进行软件评估。电器产品带有保护性电子电路, 但在进行GB4706.1第19章的试验中, 发生危险性的安全保护时, 最终依靠的保护任然是传统的机械式的保护, 而软件控制器只是起到了一定的功能作用, 这种情况也不需要进行软件评估。电器产品带有保护性电子电路, 在进行GB4706.1第19章规定的双重故障情况下, 保护性电子电路动作从而起到进一步保护, 这就要判断是软件起作用还是硬件起作用。如果是软件起作用, 那就要进行GB4706.1附录R的软件评估。如果是硬件电路起作用则不需要进行软件评估。
摘要:给出了家用电器安全防护分类, 从测试方法选用、测量电源要求、接地电阻仪控制等方面探讨了接地电阻的准确性测试方法, 并对安全保护软件进行了评估。
关键词:家用电器,电阻,准确性,安全保护软件
参考文献
[1]中华人民共和国国家质量监督检疫检验总局.GB 4706.1家用和类似用途的安全[S].北京:中国标准出版社, 2005.
3.软件定义安全 篇三
大数据安全
大数据的出现和应用给信息安全带来了新的挑战,大数据的安全需要用更多的软件定义的方法来实现。单靠之前部署的入侵检测系统(英文缩写为IDS)、入侵防御系统(英文缩写为IPS)、防火墙等设备已不能有效地分析和检测入侵行为,更加不能确切地知道网络是否被高级持续性威胁攻击(英文缩写为APT),大数据时代需要将所有安全设备的数据结合起来,挖掘出我们保护的核心区域的有效参数,并依据相应的参数范围判断整个网络安全的态势。
大数据的网络安全采用Hadoop架构,对大的数据进行分块,采用分布式的处理方法,加快关联日志的反应速度,同时,需要引入机器学习的方法去处理现有的庞大的日志信息,从而及时地发现攻击痕迹并及时阻断入侵,让损失降到最低。
云计算安全
4.软件安全中混合加密算法 篇四
但是怎样才能达到使信息系统的机密信息不能够被泄漏,或者即使被窃取了也很难被识别,以及即使被识别了也极难修改,这一系列的要求已经成为IT业界的热点研究课题。
加密技术就是目前电子商务采取的基本安全技术手段。
采用信息加密技术不仅可以满足信息保密性的安全需求,而且还可以避免重要信息泄漏的安全威胁。
5.网站安全监测系统软件平台分享 篇五
软件产品网最近收到不少咨询关于网站安全检测相关的信息。网站安全检测也称网站安全评估、网站漏洞测试、Web安全检测等,通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,提醒网站管理员及时修复和加固,保障web网站的安全运行。对此,软件产品网在平台整理了几份关于网站安全检测的软件,分享给大家。
一、杭州安恒信息技术有限公司网站安全监测平台
网站安全监测平台是一套软硬件一体化监测平台,采用远程监测技术对WEB应用提供7*24小时实时安全监测服务。该产品通过对网站安全风险(漏洞)与安全事件(网页木马、关键字、篡改、可用性等)的全方位监测,形成集检测、安全考核、通告报表为一体的监管平台,为监管单位、网站负责单位提供了可行的技术手段,切实提高网站安全水平。
事前安全风险扫描:未雨绸缪:可扫描网站存在的安全风险,即各类漏洞,有助于漏洞被利用前进行整改加固,降低发生安全事件的概率。
事后安全事件监测:亡羊补牢:在网站发生了安全事件后,即被挂入网页木马、暗链、后门程序、被篡改、发布敏感言论等情况,第一时间发现问题,进行应急处理,降低影响。
安全监管工作落地
采用实时告警、网站安全评分、网站安全趋势、负责人处理问题情况统计、通告报表等方法,促进安全监管工作落地,提高网站安全水平。
二、西安交大捷普网络科技有限公司捷普网站安全监测系统
网站可用性监测:捷普网站安全监控系统可对网站的可用性进行实时的监控,包括HTTP、DS、PIG等。通过对网站从不同线路来访问得速度情况、网站响应时间,从而判断是否能达到最优、最安全的服务质量,一旦发现网站无法访问,第一时间通知用户。
WEB漏洞监测:捷普网站安全监控系统为用户提供WEB漏洞监测功能,依托捷普积累多年的WEB漏洞扫描技术,对常见的SQL注入、跨站脚本XSS、跨站请求伪造(CSRF)、敏感关键字、信息泄漏等漏洞进行深度监测。
网站挂马监测:捷普网站安全监控系统能够对用户网站上的页面进行爬取,使用捷普木马特征库中的特征在页面中匹配,确认网页木马传播的病毒、木马程序所在位置,从而解决网络木马的准确定位,为管理者清除有害程序,上网用户提供安全的网络环境。
DS劫持监测:捷普网站安全监控系统可以预先让管理员在添加站点时对站点域名对应的IP进行配置,平时实时与域名解析出的IP进行比对,比对不上则判定域名被篡改,记录事件发送告警,预防DS劫持。
三、北京中嘉华诚网络安全技术有限公司网站安全监测遥控管理系统
“政务公开”、“网上办事”和“公众参与”是政务网站信息内容三大定位。除此之外,网站系统的安全性和稳定性是必不可少的支撑功能。网站信息安全和信息保障的管理工作是网站运维的核心。
为了避免计算机病毒和黑客攻击的风险,各党政机关网站管理者需提高安全意识,加强安全监管措施,以保障政务网站的严肃性和权威性,使得政务网站更好地为社会服务。网站安全监测遥控管理系统是您工作的“好帮手”。
国家重大会议和活动期间;七天放长假;夜间机房无人值班;高考、中考期间……出现各种紧急情况,这些都是工作中长期困扰的实际问题,是否能够快速、准确、负责地进行处理?“好帮手”能帮您排忧解难。
网站安全监测遥控管理系统能提供GKR安全控制防止黑客篡改、WEB服务器启动、信道换路、动态停机、故障语音报警、切断电源等操作命令,随时可对网站重要情况进行应急处理。
6.网络安全高级软件编程技术 篇六
作
者:吴功宜 主编,张建忠 等编著 出 版 社:清华大学出版社 出版时间:2010-4-1 目录
第1章 网络安全课程内容、编程训练要求与教学指导 1.1 网络安全技术的特点 1.2 网络安全形势的演变
1.3 网络安全技术研究的基本内容
1.4 网络安全技术领域自主培养人才的重要性 1.5 网络安全软件编程课题训练的基本内容与目的
1.5.1 基于DES加密的TCP聊天程序编程训练的基本内容与目的
1.5.2 基于RSA算法自动分配密钥的加密聊天程序编程训练的基本内容与目的 1.5.3 基于MD5算法的文件完整性校验程序编程训练的基本内容与目的 1.5.4 基于Raw Socket的Snifier设计与编程训练的基本内容与目的 1.5.5 基于OpenSSL的安全Web服务器设计与编程训练的基本内容与目的 1.5.6 网络端口扫描器设计与编程训练的基本内容与目的 1.5.7 网络诱骗系统设计与编程训练的基本内容与目的 1.5.8 入侵检测系统设计与编程训练的基本内容与目的
1.5.9 基于Netfilter和IPTables防火墙系统设计与编程训练的基本内容与目的 1.5.10 Linux内核网络协议栈加固编程训练的基本内容与目的
1.5.11 利用Sendmail收发和过滤邮件系统设计与编程训练的基本内容与目的 1.5.12 基于特征码的恶意代码检测系统的设计与编程训练的基本内容与目的 1.6 网络安全软件编程课题训练教学指导 第2章 Linux网络协议栈简介
第3章 基于DES加密的TCP聊天程序
第4章 基于RSA算法自动分配密钥的加密聊天程序 第5章 基于MD5算法的文件完整性校验程序 第6章 基于Raw Socket的网络嗅探器程序 第7章 基于OpenSSL的安全Web服务器程序 第8章 网络端口扫描器的设计与编程 第9章 网络诱骗系统设计与实现 第10章 入侵检测模型的设计与实现
第11章 基于Netfilter防火墙的设计与实现 第12章 Linux内核网络协议栈加固
第13章 利用Sendmail实现垃圾邮件过滤的软件编程 第14章 基于特征码的恶意代码检测系统的设计与实现 参考文献
计算机网络高级软件编程技术(配光盘)
作
者:吴功宜 等编著 出 版 社:清华大学出版社 出版时间:2008-1-1 目录
第一部分 计算机网络软件编程训练要求与教学指导
第1章 计算机网络课程内容、编程训练目的与教学指导
1.1 计算机网络课程特点与网络软件人才需求的形势
1.2 计算机网络技术的研究与发展
1.3 《计算机网络高级教程》的相关内容安排
1.3.11 网络安全与网络管理技术的研究
1.3.12 网络性能分析、网络模拟与开源工具包
1.4 网络软件编程课题训练目的与基本内容
1.4.1 基础类网络软件编程课题训练目的与基本内容
1.4.2 综合类网络软件编程课题训练目的与基本内容
1.4.3 提高类网络软件编程课题训练目的与基本内容
1.4.4 网络软件编程训练选题指导 第二部分 基础训练篇
第2章 Ethernet帧结构解析程序
第3章 使用ARP协议获取局域网内活动主机物理地址
第4章 计算校验和程序
第5章 IP包流量分析程序
第6章 Tracert程序
第7章 IPv6报文封装及地址生成程序
第8章 TCP和UDP数据包发送程序
第9章 基于C/S接的套接字程序设计
第10章 滑动窗口协议模拟程序
第11章 Web Server程序
第12章 无线局域网802.11协议CSMA/CA算法模拟程序
第13章 公钥密码实现程序 第三部分 综合训练篇
第14章 路由器基本功能实现程序
第15章 FTP协议实现程序
第16章 协议分析器程序
第17章 综合扫描器程序 第四部分 提高训练篇
第18章 基于SNMP协议的网络拓补发现程序
第19章 利用OpenSSL实现安全的Web Server程序
第20章 简单防火墙程序
第21章 防火墙扩展功能程序
第22章 NS-2简单有线网络模拟程序
第23章 使用NS-2模拟无线Ad hoc网络 附录A Winpcap简介与使用说明 附录B Windows Driver Module简介
7.论软件安全漏洞挖掘技术 篇七
随着社会的发展,黑客的技术水平越来越高,而在软件方面,漏洞属于一个不可避免的问题,这会导致黑客有机可趁,使数据信息受到破坏。在这种背景下,如何更快地发现软件安全漏洞,并做好修复工作,是保证数据信息安全的一个有效手段。
2 软件安全漏洞挖掘技术概述
2.1 漏洞概念
在任何软件运行的过程中,都会根据安全策略进行一个安全域假定,也就是说这一域内所有的操作都是可控且安全的,但是如果违反了安全策略或者超出了这一安全域,软件运行则会变为未知且不可控的,而安全域在切换为非安全域的过程中,其触发点就是漏洞。通俗点说,漏洞就是指由于安全域设计不合理所形成的软件及系统破坏。正是由于这种漏洞的存在,使得计算机在未授权的情况下会被攻击者访问或破坏。一般来说,漏洞多数是被动的、静态的、可触发的。
如果根据产生漏洞的原因来分类,则漏洞可以分为:输入验证错误、边界条件错误、缓冲区溢出错误、访问验证错误、意外条件错误、配置错误、竞争条件错误等其他错误。之所以出现漏洞,从根本上说是因为安全机制实现的过程中出现了一些非正常问题,比如软件编程出错、安全机制规划不完善。由于信息系统中存在潜在错误这一问题是不可避免的,因此漏洞在信息系统中也是必然存在的。
2.2 漏洞挖掘技术
在通过漏洞攻击的过程中,主要可以分为三个步骤:漏洞挖掘、漏洞分析以及漏洞利用,由此可见漏洞挖掘属于后两个步骤的基础及前提,对网络攻防有着非常重要的意义。所谓漏洞挖掘,主要是找寻漏洞,详细点说就是该领域专业人士使用各种综合应用工具以及技术尽最大可能找出软件中存在的潜在漏洞,要想做好这一工作并不容易,这对于个人经验有很大的依赖性。在实际的工作中,根据不同的分析对象,漏洞挖掘技术又可以分为基于源代码漏洞挖掘技术以及基于目标代码漏洞挖掘技术。
对于基于源码漏洞挖掘技术来说,获得源代码是我们工作的前提。一般针对一些开源项目,对其公布的源代码进行分析就能够获得漏洞,比如在Limix系统中,漏洞挖掘所采用的技术就是使用的这一技术。具体来说,在应用这一技术的过程中,我们还通过源代码审核技术,扫描软件源代码,并对一些不安全的内存操作以及安全函数使用进行语义检查,进而挖掘出其中存在的漏洞。其中,静态分析技术属于一种比较典型的机遇源代码漏洞挖掘技术。
但是在实际的工作中,由于很多商业软件源代码的获取比较困难,所以基于源代码漏洞挖掘技术往往难以起到应有的作用,在这种情况下,我们则可以使用基于目标代码漏洞挖掘技术。这一技术是依靠分析目标码来实现的,其过程往往涉及到指令系统、编译器以及文件格式等很多方面,所以难度比较大。具体的步骤是先反汇编需要分析的二进制目标代码,在获取汇编代码之后再对其切面,也就是将一些关联密切而且有意义的代码汇聚在一起,使其复杂性降低,最后利用分析功能模块对其是否存在漏洞进行判断。
3 当前漏洞挖掘技术分析
当前漏洞挖掘技术主要包括已知漏洞检测以及位置漏洞补救这两种,其中前者主要的作用在于发现系统中可能存在但是还没有被发现的漏洞,在这方面主要又包括静态分析、动态检测、安全扫描以及手工分析这几种技术。其中,手工分析要求比较高,不仅需要安全分析人员对软件漏洞原理有充分的了解,还要对软件结构及功能有比较深入的认识,而且即使满足了这两点要求,其依然会耗费很多的精力和时间,基于此,以下将主要对静态分析以及动态检测进行分析。
3.1 静态分析
这种漏洞检测技术不需要对程序进行运行,而且在没有输入的条件下就可以发现程序中存在的安全漏洞,因此在程序编写阶段,通过静态漏洞挖掘技术就可以发现其中存在的问题,并在开发早期就消灭掉漏洞。不过人们在运用静态分析的过程中,往往会出现误报。这一技术从本质上说是建立程序的一个状态模型,然后对程序如何完成状态转换进行分析,但是一个程序的状态空间是很大的,因此难以对所有的状态同时进行考虑,针对这种情况,对状态空间进行抽象是必不可免的,这就导致了程序部分信息的丢失。而我们为了提升分析结果的正确性,则会损失一部分分析精度,一般来说,近似假设地方越多,则精度的损失也会越大,而误报也越容易发生。实际的工作中,分析工具可能会使用一些不稳妥的分析策略,这也会导致出现一些安全漏洞,为日后的软件运行埋下隐患。
3.2 动态检测
所谓动态检测,主要是在程序动态运行的时候对软件中存在的漏洞进行检测,这不仅要求被测试目标编译为可执行程序,而且在检测的过程中还要提供相应的输入。具体来说,动态检测技术主要是利用操作系统所提供的雕饰接口以及资源监视接口,来获得目标程序运行过程中所需的运行数据及运行状态。在当前的动态检测技术中,比较常用的有数据流分析法以及环境错误注入法。
这里首先分析环境错误注入法,它主要是故意将人为错误注入到软件运行环境中,然后利用程序的反应进行验证。一般情况下,编程的过程中程序员总是会假定其程序能够正常地运行于环境中,如果这种假定成立,那么其程序自然会正确的运行。不过由于程序运行的环境并不是独立的,而是会受到很多主体的影响,比如一些恶意用户之类的,这会使程序员假定出现错误,也正因为此,环境中的错误会给程序造成多大地的影响,是判断程序健壮性的一个重要标准,而环境错误注入法正是对软件系统可靠性及容错性进行判断的有效方法。
至于数据流分析法,它在实现检测的时候需要数据流、执行流等信息,主要的原理是对各种参数、序列以及返回值等进行跟踪,然后经过对比分析,对系统是否存在安全漏洞进行判断。
3.3 动态检测以及静态分析的对比
客观来说,静态分析以及动态检测都是我们经常使用的检测方法,其中,静态分析由于在运行过程中的数据比较缺乏,因此难以实现动态测试细粒度的安全评估,无法对所有的安全漏洞都进行确定,所以存在很多不足之处,不过其优势在于比较容易在开发过程中集成。至于动态检测,虽然其可信性以及精确性非常高,但是对于源代码的需求也非常高,而且不能够对漏洞及漏洞原因进行准确的定位,加之不容易保证代码覆盖率,因此它也存在一定的不足。通过表1我们可以比较系统的对二者进行对比。
4 软件安全漏洞挖掘流程分析
通过上文的分析我们可以看出,每种检测方法都是存在缺陷的,我们要想真正地做好漏洞挖掘工作,就必须要在漏洞挖掘的不同环节使用不同的检测方法,并根据具体的情况采取相应的策略及方法,这样才能将各种方法的优势发挥出来,并弥补其存在的不足。一般来说,漏洞挖掘的流程可以分为几个环节。
首先,初始化,这主要是将软件类型分类,将开源和非开源软件所使用的静态分析方法确定下来。
其次,反汇编,这主要是载入需要分析的程序,然后通过反汇编操作,实现对二进制代码的反汇编,并确定代码中哪些属于可执行指令以及哪些属于数据。
第三,过程抽象,能够识别可执行指令之后,可以把其分为表示函数或者过程的组。
第四,特征模式扫描,对于开软软件,我们通过编译技术在编译期间或者代码扫描期间确定一些信息,根据这些信息检查漏洞模型。至于非开源软件的静态分析,则可以通过之下而上的分析方法对调用二进制文件的库函数等进行检查,得到漏洞验证代码。
第五,验证漏洞特性,这主要是比较漏洞特征库以及疑似漏洞验证代码,并对其中是否含有恶意行为进行判断,得到检测报告。
第六,注入错误环境,对需要注入的错误环境数据进行构造,并利用其干扰程序运行。
第七,动态检测,系统自动地对程序所有函数序列以及特定函数序列进行分析,并对可能存在的漏洞数目进行估算,得到检测报告。
第八,检测评估,根据所得报告信息,确认它们共同提出的疑似漏洞,并对其他疑似漏洞进行下一步分析。
最后,进入下一轮静态及动态检测环节。
5 软件安全漏洞挖掘技术的发展方向
首先,测试平台的可扩展性以及通用性将越来越强,这是因为伴随着测试对象的增多,一个可扩展性及通用性比较强的平台对这一技术的发展有非常重要的提升效果。具体来说,这种平台要具备以下几个方面的特点:首先,能够产生多种格式并最好是有效的畸形测试数据;具有可定制以及独立的数据产生变异功能;具有可操作跟踪调试功能;能够对多模块之间的自动化运行进行很好的协调。
其次,以fuzzing测试技术为例,由于在fuzzing测试过程中,很大一部分时间都用在输入数据格式、程序状态转换的人工分析上。因此提高知识获取自动化程度对于提升测试效率非常有利,是未来的发展方向。
第三,多维测试用例生成技术。当前很多测试用例生成技术都是一维的,这容易使很多安全漏洞不能够被有效地检测出来。而如果使用多为测试用例生成技术虽然会拓宽其测试范围,但也容易导致状态爆炸问题,因此,多维测试用例生成技术的研究是未来的一个重点。同样,智能测试用例生成技术也是未来的一个重点。
第四,测试效果评估技术,当前的很多测试使用代码覆盖率对测试效果进行评估,这存在着很大的不合理性。因此未来测试效果将从程序状态的覆盖率、测试数据的有效性以及输入边界测试的充分性等多个方面对测试效果进行评估。
6 结束语
软件安全漏洞挖掘技术的研究是一个很宽泛的研究,本文限于篇幅,很多地方难以涉及并深入。因此,在我们的日常工作中应加强这方面的探索和研究,只有不断提升我们的技术水平,才能真正为信息数据的安全起到保障作用。
摘要:软件安全漏洞测试技术属于信息安全领域中一个非常重要的内容,本文对其概念进行了分析,并在此基础上探讨了当前的软件安全漏洞挖掘技术以及其流程,最终总结了其发展方向,希望给我们的工作起到一定的指导和促进作用。
关键词:软件,安全漏洞,漏洞挖掘
参考文献
[1]文伟平.软件安全漏洞挖掘的研究思路及发展趋势[J].信息网络安全.2009(10).
[2]迟强.漏洞挖掘分析技术综述[J].计算机与信息技术.2009(Z2).
[3]徐有福.基于漏洞模型检测的安全漏洞挖掘方法研究[J].信息网络安全.2011(08).
8.软件定义向安全领域蔓延 篇八
通过SDS,未来安全控制会变得与网络分段、入侵检测和访问控制等一样简单,通过软件就可以实现全面的自动化和可视化。
市场研究机构Gartner将SDS视为2014年IT安全领域十大技术之一,这足以说明其将对安全产业造成的影响。“SDS并不意味着企业不再需要专用的安全设备。”该公司说,“恰恰相反,就像软件定义网络一样,SDS只是将更多的操作和管理转移到了软件层面。”
虽然目前SDS属于相对比较新颖的话题,各厂商对于SDS的见解也不尽相同。但是考虑到近些年软件定义的发展势头,SDS的发展普及可以说已是必然。
究竟SDS能够带来哪些好处?通过采访行业分析师和安全管理人员,他们给出了以下建议。
更简单
通过使网络层和安全层分离,SDS能够使安全环境变得更加简单,西捷航空公司IT安全部门解决方案架构师Richard Sillito表示,“我们公司已经启动了一系列信息安全改造项目,其中包括实施SDS,这将帮助公司IT架构进一步实现更大规模的自动化和最终的自服务。”
据悉,西捷航空已经在其一个数据中心部署了VMware的NSX网络虚拟化和安全平台,目前该数据中心的第一个应用程序也正在实施当中。
“我们的IT团队正在学习与VMware NSX配套API接口的相关开发工作,包括如何自动化地创建逻辑交换机、构建安全组织、应用安全策略等。”Sillito说,“目前,该团队正在使用相关工具创建和策划今后的工作流程。”
“这意味着安全配置将成为工作流程的一个部分,从而确保安全并不会因为急于生产而被忽略。”Sillito说。未来,该团队还会使用其他工具来发布服务,向自助式服务的目标更进一步。
“SDS允许我们将网络层和安全层剥离。”Sillito补充说,“因此,我们没有必要再将数据包单独路由到防火墙过滤,流量过滤将统一在网络层之上进行。这意味着企业不再需要购买多个防火墙并在不同的数据中心进行部署。”
网络层和安全层分离会减少互相之间的依赖,Sillito说,对企业而言这意味着更少的变化和更低的总体成本支出。“简单是实现自动化的第一步,越简单的东西越容易实现自动化。任何能够帮助简化IT和安全的技术都是有益的。”
“当前,我们的计算环境已经非常复杂。不过,随着智能终端数量及种类的不断增加,IT环境的复杂性还会愈演愈烈。”Kusnetzky集团创始人兼杰出分析师Dan Kusnetzky说。
“有如此多可移动的设备,企业必须能够做到时刻锁定所有的访问设备,即便他们是虚拟化的设备。”Kusnetzky说。“使用传统方法保障安全需要绑定所有的设备。但面对日益复杂的IT环境,这显然已经不适用。如今的安全工具必须变得足够敏捷,以应对愈发复杂的IT环境。”
网络更可信
SDS将能够使零信任(Zero Trust)网络变得更加安全。零信任的本质是企业不信任全部的网络流量,而这就需要企业使用先进技术密切监测企业内部和外部的所有网络流量,Forrester副总裁兼首席分析师John Kindervag说,“Zero Trust”是必要的,因为现有的基于信任机制的安全方法并不起效。Forrester说,不过组织机构需要摆脱内部网络可信,外部网络不可信的想法。
“SDS技术能够帮助用户更简便地构建部署Zero Trust网络安全。”Kindervag说。“在组织机构中通过软件管理安全,使得用户能够为网络环境建立更细致的安全策略,而且安全策略的设定也将变得更加简单。网络同时变得更加灵活、更加安全。”
除了灵活性,SDS还能使安全系统更便捷地与多个网络系统相集成。“通过第三方接口,用户可以更方便地将两套不同的网络系统集成在一起。”Kindervag说。
加强管控
软件定义安全不仅能够帮助组织机构消除现有单个安全产品漏洞可能产生的影响,而且能使用户对基础设施的安全控制更为直接,独立安全与研究咨询公司Securosis CEO兼分析师Rich Mogull说。“举例而言,通过SDS,你可以瞬间识别所有脱离管理的服务器,然后自动隔离、识别服务器的所有者,并引导进入管理软件,或采取其他措施来进行安全保障。”
这使得安全工作流程的建立变得更加简便。在大幅减少手动操作和运营成本的同时,也有助于改善安全灵活性以满足新兴业务的需求,Mogull说,“听起来有些不可思议,但目前确实已有真实的应用案例,而非供应商的虚假承诺,我们已经看到了用户自身所发生的变革。”
随需而动
如今,围绕IT的所有部分都在发生变革,安全同样也不例外。组织机构信息安全负责人应该认真考虑每一种能够保护资产并满足业务目标的技术,数据存储技术提供商Iron Mountain副总裁兼首席信息安全官Lorna Koppel说,“软件定义安全就是一个值得考虑的技术。”
这对于不再想构建传统物理边界的组织机构而言十分重要,Koppel说,“传统安全工具通过获取具体的路由路径,并通过物理隔离来保障数据安全。但面对日益复杂的环境时,这些远远不够,因为一个组织机构没法掌控所有的基础设施。”
SDS能够以灵活的方式提高组织对云服务或虚拟化系统的保护,Koppel说,“因为即便运行在相同设备上、相同的虚拟环境中的不同应用仍有着不同的安全需求。因此,考虑到所有资源是处于动态环境中的,用户想要实现对资源的安全保护,且不增加更多的人力成本,就必须参与到每一个变化之中,随需而动。”
这其中的关键在于用户是否能够把握运营支持的每一个环节,包括数据处理、安全漏洞及威胁分析等,Koppel说,“在这方面,软件定义安全通过简化管理能为企业节约更多的精力和资源,这对企业而言无疑是个巨大的帮助。”(编译/刘贝贝)
9.软件安全论文 篇九
360安全卫士默认软件设置在哪?
1、如果你的电脑中安装的360安全卫士最新版本,在主界面会有一个安全防护中心,如下图所示:
2、我们点击进入安全防护中心,然后安全实验室第二个选择默认软件设置,点击进入。如下图所示:
3、接下来会弹出默认软件设置窗口,在这里可以查看到你电脑中一些默认的视频、音乐、输入法、浏览器的当前默认的软件,你完全可以根据自己的需要进行默认软件的设置。
设置完成之后,360安全卫士会自动保存你的设置。下面就以默认浏览器为例,看360安全卫士如何设置浏览器?
360安全卫士怎么设置默认浏览器
1、进入到默认软件设置之后,拉到最下面,可以看到默认浏览器设置选项,如下图,点击设置默认浏览器。
2、进入到浏览器防护设置,在这里可以设置上网首页、默认搜索引擎以及默认浏览器防护设置。
10.软件安全论文 篇十
2.下面就到了该对SERV-U进行安全设置的时候了,首先建立一个WINDOWS账号(例如ftptest,密码设置复杂些)
点击开始-所有程序-管理工具-计算机管理-本地用户和组
3.建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。
4.在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键,选择属性继续。
然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置,
5.找到serv-u的安装目录(C:Program FilesRhinoSoft.comServ-U)设置serv-u安装目录的权限
添加所有权限除了(完全控制,删除,更改权限,取得所有权限)
现在,在服务里重启Serv-U FTP Server服务就可以正常启动了。当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限
7.假设你有一个WEB目录,路径是d:web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入ftptest账号,切记SYSTEM账号也删除掉。为什么要这样设置呢?因为现在已经是用ftptest账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用ftptest,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限。另外,WEB目录所在盘的根目录还要设置允许ftptest账号的浏览和读取权限(除了完全控制,更改权限,取得所有权限,遍历文件夹/运行文件),并确认在高级里设置只有该文件夹
11.手机安全软件3G时代新蛋糕 篇十一
随着于机上网功能越来越多样,手机安全开始受到人们的重视,专门用于手机杀毒的安全软件投资热度持续升温。
全球顶级风险投资商红杉资本的合伙人周逵表示,未来仍然看好手机安全软件的发展前景。
网络安全软件商奇虎360公司副总裁刘峻则表示,顺应这一潮流,奇虎也看好用于查杀手机木马的软件,下一步将扩大此类软件的力度。
手机移植网络安全
据中国移动研究院预测,到2010年中国大约会有8亿手机用户,而智能手机将达到28亿~3亿部。巨大的手机用户群体,巨大的手机安全需求,敦促中国手机安全产业必须加快发展。
近两年,一些知名投资机构,如IDG、创联策源、李嘉诚基金会等风投在国内移动应用领域发生的投资收购案近50件,金额超过1.43亿美元,其中一个重要的投向即是手机安全软件。
2007年呂月,正是周逵的慧眼看中了国内第一家手机安全软件研发企业网秦科技,由红杉资本和金沙江创投联合投资120万美元,其中,红杉资本投资80万美元,占股25%。而周逵认为,现在手机安个这一势头并没有“热过”。
而奇虎360则是红杉资本早年在国内的另一成功投资案例,在其两轮融资中均有红杉资本的介入。作为一家具有多元业务的互联网企业,奇虎最早以社区论坛闻名,2006年7月,奇虎360推出了专门查杀流氓软件“360安全卫士”。
现在,当人们逐渐将网络上的使用习惯“整体搬迁”到可以高速上网的手机上的时候,手机安全软件的应用潮流也应运而生。
在评价无线安全软件的发展前景时,周逵认为,随着中国无线上网人数的快速增长,以及无线网络的应用成熟度进一步提高,无线网络安全意识更加深入人心,安装网络安全软件将成为人们上网的一种基本需求,因此未来将有很广阔的市场需求。
奇虎董事长周鸿神祎认为,包括有线与无线在内的网络安全实际上已经变成一种基础服务。“2009年,奇虎360不仅要倣到及时向用户通报木马病毒疫情,第一时间发布专杀工具,更重要的是真正为网民提供有效、便捷、低价甚至免费的安全服务。”
赢利模式值得探讨
目前市场上的智能手机基本上采用几大主流操作系统:诺基亚的Symbian,摩托罗拉的Linux,一些国产品牌使用的WindowsMobile系统以及PPC系统。其开放的操作系统给间谍软件留下了可乘之机。
业内人士指出,手机安全软件市场目前发展缓慢的原因之一就是,和绝大多数运行Windows操作系统的电脑不同,手机操作平台目前还没有统一。因此手机操作平台对黑客的吸引力较低,黑客不愿意开发多种代码來攻击多种手机操作系统。
手机型号繁多、操作系统多样,这不仅是黑客们的技术难题,也是于机安全软件研发面临的最大问题。另外,缺乏成熟的盈利模式是制约手机安个软件厂商发展的最大桎梏。
从2005年就开始做手机安全软件的网奏公司,无疑是国产手机安全软件的先行者。网秦的主要盈利模式是通过和运营商以及手机厂商合作来做增值业务,但这种SP模式遭到了很大的争议——2008年,网秦被很多人认为足下机里的“流氓软件”,因为其在卸载的过程中,不断循环要求用户定制新的服务。
另一家提供手机安全解决方案的公司信安易,也主要靠在国外卖软件来维持收支平衡。
虽然手机安全软件布赢利模式上还存有争议,但是与网络安全软件相比,手机安全软件有一项明显的优势,即拥有既定的收费渠道。安装一款安全软件如下载一首歌曲一样,只需要支付一定的费用,支付方式灵活多样。
目前,江民、金山河瑞星已投入力量进入手机杀毒软件领域。
市场潜力毋庸置疑
赛门铁克(SYmantec)首席运营官恩立克·塞伦(EnriqueSalem)表示,预计目前的手机安全软件市场规模已经达到了每年数亿美元,并且这个市场还在不断地增长之中。考虑到不断增长的手机销量,尤其是不断增长的智能手机销量,那么手机安全软件市场的增长幅度将会更大。
与赛门铁克一样,全球入侵防护和风险管理解决方案的领先供应商迈克菲(McAfee)公司也在研发和销售手机安全产品。迈克菲首席执行官兼总DaveDeWalt表示:“我们看到了巨大的商机。”
安全软件厂商Sophos高级分析师Mike Haron示,手机安全软件过去被看作是电脑安全软件的一项额外功能设计,但是现在情况正在逐渐地改变。用户已经开始关注智能手机安全策略。
日本市场已经出现了一些最尖端的手机安全产品,日本用户只需每月支付一定的费用,就可以享受NTT DoCoMo(日本最大的移动通信运营商)等运营商提供的手机安全软件服务,还可以将软件下载到手机上。
Dave DeWalt表示:“市场上将会出现越来越多的手机安全软件。这些软件不仅可以为软件开发商带来丰厚的利益,而且更重要的是可以保护手机的安全。”
市场研究公司Yankee Group的安全分析师安德鲁,雅奎斯(AndrewJaquith)表示:“如果一个心术不正的人想要寻找赚钱的门路,那么他当然希望找到最快捷和最简单的方法。因此黑客攻击手机操作软件的可能性不大,反而是手机丢失带来的安全隐患更为严重。我们谈论的智能手机安全,指的是数据加密和远程销毀数据。”
12.软件安全漏洞检测技术初探 篇十二
1 软件安全漏洞的含义
随着信息技术和软件技术的发展, 现在的软件所包含的功能越来越丰富, 为保证这些功能正常运行, 软件规模也随之扩大, 为保证软件的通用性和可移植性, 软件提供商不得不增加其内部的逻辑功能, 进而导致软件逻辑越来越复杂, 软件代码越来越庞大。在这种情况下, 为确保软件可靠性和稳定性, 软件开发商不得不在软件测试环节投入越来越多的人力和物力;就软件工程角度而言, 软件安全测试环节已超过软件生命周期中的其他环节。即使这样, 也无法避免软件中存在这样那样的安全缺陷, 而在各种各样的软件逻辑缺陷中, 有一部分逻辑缺陷能够引起非常严重的后果。在信息安全领域, 通常把能够引起严重后果, 导致软件完成“超出设计范围的事情”的软件逻辑缺陷称为漏洞 (Vulnerability) 。
2 软件安全漏洞的检测
2.1 传统文件格式漏洞检测
手工测试和模糊测试是传统测试方法的主要手段。手工测试虽然具有定位准确, 漏洞信息获取直接的优势, 但手工测试所用的测试样本必须人工构造, 目前文件格式相当复杂, 使得其样本构造花费的工作量很大, 且需要人工逐一分析代码, 导致测试周期很长, 且不能保证不出现遗漏。2004年出现了第一款用于文件格式漏洞挖掘的工具。此后, 相关工具不断被开发和应用, 主要有File Fuzz、ffuzzer、fuzzer、SPIKEFile和not SPIKEfile等工具。
2.2 简单文件格式漏洞检测
该方法测试样本的构造过程中文件格式分析结果所占比重较大, 其工作重点主要集中在测试样本的构造上。
测试样本构造在详细分析文件格式标准文档的基础上, 生成测试用例, 并构造测试样本集。测试样本集的构造方法有三种:利用生成技术的样本构造方法、利用基因变异技术的样本构造方法以及综合生成技术和基因变异技术的构造方法。和传统文件格式漏洞检测技术一样, 简单文件格式漏洞测试也采用模糊测试的方法。文献列出了字符串数据模糊列表。
2.3 高级文件格式漏洞检测
为提高所构造测试样本的针对性, 高级文件格式漏洞检测技术测试样本构造过程中对文件格式分析更加深入, 综合已发现漏洞信息和漏洞修补信息, 提高测试样本触发漏洞的效率。高级文件格式漏洞检测试目前的研究热点。
2.4 文件格式漏洞检测技术比较
根据对已有文件格式漏洞检测技术的研究, 发现其各有优缺点, 为综合利用其优势为本文漏洞检测模型构造提供参考, 对它们的优缺点进行比较, 如表1所示。
3 软件安全漏洞检测的意义
随着Windows系统在各行各业的广泛应用, 运行在Windows平台下的软件得到了极大的丰富和完善。软件在提供给人们方便快捷的工作生活方式的同时, 也带来了铺天盖地的软件安全漏洞。从Windows系统本身的安全漏洞到运行于其上的应用软件安全漏洞, 不胜枚举。日益增多的安全漏洞不仅影响了普通用户和企业的正常生产生活, 也威胁到了全社会的信息安全。
Windows平台更加易于受到文件格式漏洞的影响, 这是因为它具有用户友好的特性, 即运行在Windows平台下的各类文件对Windows应用程序具有严重的依赖性。
Internet网络设计初衷是为了促进信息的共享。随着物联网、云计算[23]以及Web计算的发展, Web站点上充满了影视、图像、音乐以及文档, 这使它变成了信息和娱乐的一个巨大的资源库。所有这些资源在为终端用户提供便利的同时, 也为网络攻击行为提供了丰富的目标和载体。文件格式漏洞造成的风险具有其独特性, 尽管这些漏洞并不会使它们自己变成快速增长的蠕虫或直接危及网络的安全, 但是它们在很多方面是难以被防护的。
参考文献
[1]岳彩松.MS Office漏洞挖掘与利用技术研究[D].上海:上海交通大学, 2008.
[2]迟强, 罗红, 乔向东.漏洞挖掘分析技术综述[J].计算机与信息技术, 2009, (Z2) :90-92.
【软件安全论文】推荐阅读:
软件安全总结07-20
WIN技巧:软件限制策略保证脚本安全06-23
会计软件论文09-13
计算机软件自考论文08-08
计算机软件工程论文07-31
北京邮电大学软件学院关于软件工程硕士研究生学位论文格式的要求07-18
辅修专业管理系统软件的开发与应用论文07-30
移动应用软件开发实践教学改革分析论文08-02
自动气象站下的软件技术研究论文07-24
基于P2P的局域网多线程共享软件设计论文08-27