导读:本文包含了漏洞挖掘技术论文开题报告文献综述及选题提纲参考文献,主要关键词:SQL注入,漏洞挖掘,机器学习,支持向量机
漏洞挖掘技术论文文献综述
胡建伟,赵伟,闫峥,章芮[1](2019)在《基于机器学习的SQL注入漏洞挖掘技术的分析与实现》一文中研究指出随着Web2.0时代的到来,Web应用的表现能力有了突破性的提高,支持的功能显着增加,Web应用也渗透到了人们生活的方方面面。Web2.0时代的最大特点是普通的用户也参与到互联网内容的创造过程中,其身份由原来单纯的信息获得者变成了信息的贡献者与获得者,因此Web应用程序所保存的数据在数量上更加庞大,在结构上更加复杂,这就导致了各种Web应用程序都需要维护自己的数据库来存储这些数据。数据库中存储的数据是一个Web应用程序中最有价值的部分,然而攻击者可以通过SQL注入漏洞获取数据甚至修改数据库数据,这种攻击严重影响了数据库中数据的完整性及保密性,是Web应用程序需要应对的安全问题之一。通过漏洞挖掘技术可以在产品上线之前确定SQL注入漏洞的存在并对其进行修复。文章不仅介绍了传统的SQL注入漏洞挖掘技术及其不足,还介绍了在当今机器学习与大数据环境下SQL注入漏洞挖掘技术的发展方向及存在的困难。(本文来源于《信息网络安全》期刊2019年11期)
郑尧文,文辉,程凯,宋站威,朱红松[2](2019)在《物联网设备漏洞挖掘技术研究综述》一文中研究指出随着物联网设备的迅速发展和广泛应用,物联网设备的安全也受到了严峻的考验。安全漏洞大量存在于物联网设备中,而通用漏洞挖掘技术不再完全适用于物联网设备。近几年,针对物联网设备漏洞的挖掘技术逐渐成为热点。本文将分析物联网设备漏洞挖掘技术面临的挑战与机遇,然后从静态分析,动态模糊测试,以及同源性分析叁个方面来介绍物联网设备漏洞挖掘技术的研究进展。最后本文将对今后该领域的研究重点和方向进行讨论和展望。(本文来源于《信息安全学报》期刊2019年05期)
黄敏,王方立,李之云[3](2019)在《基于智能Fuzzing技术的工控漏洞挖掘平台》一文中研究指出面对日益严峻的网络安全形势以及当前漏洞发现手段的局限性,构建了工控协议Fuzzing测试的通用技术架构,创新提出了基于范式语法、分词、聚类技术的测试用例生成方法,重点解决了用例生成和异常检测等关键技术问题,显着提高了测试效率,有效支撑我国工业控制系统安全审查体系的建立。(本文来源于《信息技术与标准化》期刊2019年09期)
梅国浚[4](2019)在《基于遗传算法和模型约束的漏洞挖掘技术研究与实现》一文中研究指出当前模糊测试技术已成为二进制漏洞挖掘领域的主流技术。随着该技术的发展,目前已有多种智能化技术引入到传统的模糊测试中,以提高测试效率。其中基于模型约束的模糊测试技术能够大大提高生成有效测试样本的概率,但其变异过程缺乏指导,数据变异目标不明确,导致测试效率低下;基于路径反馈的模糊测试技术能够使样本变异具有方向性,但对于具有复杂逻辑校验的目标程序,该方法的代码穿透能力弱。除此之外,以上两种方法均存在代码覆盖率过度依赖初始样本的缺陷,换言之如果初始样本中不存在某些特定的文件结构类型组合,则测试过程中覆盖到相应处理代码块的可能性将会很低。基于以上背景,本文提出一种基于遗传算法和模型约束的漏洞挖掘方法。本方法通过模型约束技术产生有效测试样本,结合基于路径反馈信息的模糊测试技术对数据变异的方向进行指导,并利用遗传算法的优势,不断丰富测试样本中文件结构组合类型的多样性,不断迭代生成高质量测试样本,以提升模糊测试的效率。本文设计并实现了一套基于遗传算法和模型约束的模糊测试框架MogeFuzzer,通过对多款PNG文件格式解析软件的测试表明,相比于传统的基于模型约束的模糊测试方法,本文提出的方法在代码覆盖率和模糊测试效率方面均有明显的提高。截止目前,该框架已经发现了多个二进制高危漏洞,其中有两个已被证明是可进行远程命令执行的超高危漏洞。(本文来源于《北京邮电大学》期刊2019-05-08)
谭兴邦[5](2019)在《基于模糊测试的漏洞挖掘技术研究》一文中研究指出近些年漏洞发现的数量与速度都远远超过往年,全球披露漏洞数量的爆发式增长在某种程度上是由于自动化漏洞挖掘技术的应用,自动化漏洞挖掘已经成为手动漏洞挖掘的有力补充。模糊测试作为自动化漏洞挖掘技术中的典型代表,为漏洞的自动化挖掘做出了巨大贡献。但现有的许多漏洞挖掘方案都是针对白盒模式的,在没有程序源代码的情况下这些方案不能达到预期目的。尽管黑盒模式的漏洞挖掘可以在不依赖源代码的情况下完成,但其漏洞挖掘的效果并不理想。为了解决在没有源代码情况下的自动漏洞挖掘问题,同时兼顾漏洞挖掘的效率,本文提出了一个针对二进制程序的灰盒漏洞挖掘模型GVDM。该模型通过跟踪路径覆盖与在程序运行时应用动态二进制插桩技术来辅助推断应用程序的内部结构。在样本选择阶段利用模拟退火和遗传算法来优先选择那些可以更多地执行低频路径的样本。这些被选择的样本相较于传统方案生成的样本在漏洞挖掘时可以有更好的表现,可以提高漏洞挖掘的效率。本文基于所提出的针对二进制程序的灰盒漏洞挖掘模型,实现了一个灰盒漏洞挖掘工具的原型系统Owl。LAVA-M是一个用于比较漏洞挖掘效果的基准数据集,在LAVA-M上的最终实验结果表明:Owl总计发现了一百个LAVA-M数据集预置注入的漏洞,相较对比的其他漏洞挖掘工具更多,Owl具有更好的漏洞挖掘效果。相比于其他漏洞挖掘工具,Owl不但具有更高的预置漏洞发现比例,还发现了在LAVA-M数据集中的非预置漏洞,这也从侧面证明了所提出的针对二进制程序的灰盒漏洞挖掘模型的有效性。(本文来源于《北方工业大学》期刊2019-05-06)
邹圳,周安民[6](2019)在《Android系统服务漏洞挖掘技术研究》一文中研究指出针对Android系统服务的安全性问题,提出一种基于模糊测试的漏洞挖掘技术方案。该方案利用反射机制获取系统服务的相关信息,并在此基础上构造相应的测试用例,通过Binder通信的方式将测试用例发送给目标系统服务进行模糊测试。实验结果表明,该方案能够有效地检测出Android系统服务中可能存在的漏洞。(本文来源于《现代计算机》期刊2019年13期)
李志辉[7](2019)在《基于对抗学习的工业控制协议漏洞挖掘技术研究》一文中研究指出金融危机后,在制造业的发展出现了一些新动向,各国政府纷纷提出战略计划兴建下一代制造业,如工业互联网,中国制造2025等,这种战略意在通过信息技术赋能工业,使其流程优化,降低成本,提高效率,从而释放更大的生产力。由于工业互联网往往存在安全攸关行业,确保工业互联网的安全具有特别重要的意义。为了方便工业系统中子系统之间的协作,工业互联网中的不同子系统之间互联程度越来越高。系统将面临更多的外来安全威胁。在工控系统投入实际运行前,运用有效的测试技术及时发现整个系统可能存在的漏洞,提前修补预防,避免实际运行中的风险意义重大。当前,将传统的模糊测试技术运用于工控系统漏洞的发现是一种有效的方法;但存在一些限制之处:(1)对测试人员要求较高,需要测试人员根据系统中运行的通讯协议规范设计恰当的测试用例,来实施测试。(2)测试周期较长,从测试用例的设计到测试结束,需要花费较长的时间,在面临比较亟待投入运行的系统时,无法高效的完成测试任务。(3)不具有普适性;传统方法每次都需要根据特定的测试目标设计相应的测试用例,不能达到一次设计多处使用的效果。本文基于深度对抗学习提出一种打破上述限制的模糊测试用例生成方法。首先从待测试的系统中抓取大量的通讯数据,对数据进行预处理作为方法中所建立的深度对抗学习模型的训练数据。其次,设计建立生成对抗网络中的生成模型和判别模型,用所获得的数据对模型进行训练得到特定的模型。用生成模型生成大量的测试用例数据。再次,用生成的数据对系统进行压力测试,引发系统异常。最后,根据系统的异常,找到系统异常的原因,进行修补改进。实际环境中的实验结果证明该方法表现出了较好的性能,在不同的工控系统测试中均能获得较高的测试效果,达到测试目的,能有效引发系统异常行为。在测试效率上和测试目标无关性上都达到预期的结果。(本文来源于《华东师范大学》期刊2019-05-01)
郭强[8](2019)在《风场工控系统安全漏洞自动化挖掘与检测技术的应用研究》一文中研究指出面向电力系统的信息安全事件和攻击,近年来越来越多地被报道披露。在震网病毒利用西门子工控软件漏洞破坏伊朗核设施事件之后,全球独立安全监测机构NSSLasbs又爆出西门子SCADA新的安全漏洞,黑客可以利用漏洞编写恶意软件进行攻击。近年来,针对能源电力行业工控系统进行攻击的恶意程序Havex(最新发现其变种多达近百种),对全球一千多家能源企业进行了攻击。除了以上针对电力行业工控安全的事件外,2015年12月乌克兰大量变电站被攻击,造成上百万用户停电,造成了严重的社会影响和巨大的经济损失。笔者对风场工控系统安全进行漏洞检测技术研究,形成技术成果,以响应国家政策指导以及应对工业网络安全新形势,达到保护电力传输系统安全的目的。(本文来源于《应用能源技术》期刊2019年04期)
邓其贵,韦彬贵[9](2019)在《基于污点分析的工控系统漏洞挖掘技术研究》一文中研究指出针对工控系统漏洞挖掘中如何快速引导Fuzzy测试过程,采用基于污点分析的工控系统漏洞挖掘方法对工控系统的程序特征进行了分析,明确了基于数据判断和数据拷贝需作为污点传播的记录重点并设计了一种改进型的污点传播记录模型。该模型能够记录程序执行过程中的显性和隐性污点传播过程。通过包含4个已公开漏洞的工控程序测试表明,传统的污点分析技术只发现了其中的1个漏洞,改进后的污点分析程序模型发现了全部4个漏洞。(本文来源于《大众科技》期刊2019年04期)
戎宇[10](2019)在《基于机器学习的二进制软件漏洞挖掘技术研究》一文中研究指出随着代码量和代码复杂度的不断提高,存在越来越多容易被攻击者所利用而导致原始程序逻辑错误的漏洞。为了能尽早发现并修补软件中存在的漏洞,二进制软件漏洞挖掘技术成为了安全研究领域的热点课题之一。使用机器学习的二进制漏洞检测模型有着能批量处理大规模数据,检测速度快,检测成本低的优势。但是因为二进制级别的软件不能直接表达程序信息,无法从中提取有效的特征集,导致现有的基于机器学习的二进制漏洞挖掘方法往往具有较高的漏报率和误报率。在此情形下,本文结合机器学习和自然语言处理技术,提出一种二进制特征提取的方法并在Android平台上设计和实现了一个漏洞检测系统。本文的主要工作及成果如下:1、通过对二进制文件预处理和词嵌入技术的研究,提出一种基于底层语言的特征向量化模型,使用这种模型可以从二进制文件中初步构建出包含汇编指令内上下文关系的特征向量。2、通过对深度神经网络的研究,提出Att-BLSTM特征提取模型,该模型的核心是双向长短期记忆网络(BLSTM)及注意力(Attention)机制,通过这种模型可以从二进制文件中提取出包含丰富程序语义信息的二进制特征向量。3、经过研究,本文并未在网上和其他论文中找到可用的Android平台二进制软件的漏洞数据集。为了完成本文的实验工作,本文通过从漏洞信息发布平台收集到了从2000年到2018的漏洞信息,并建立了一个Android平台二进制软件(动态链接库文件)的数据集。4、基于所提的两个模型,本文在Android平台上设计并实现了一套二进制漏洞检测系统。测试结果表明,相较于现有的基于机器学习的二进制漏洞挖掘方法,本文所提出的模型能够更好地学习二进制文件的程序语义信息,基于该模型所设计的漏洞检测系统的精确度最高能够达到93.86%。(本文来源于《北京邮电大学》期刊2019-04-03)
漏洞挖掘技术论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
随着物联网设备的迅速发展和广泛应用,物联网设备的安全也受到了严峻的考验。安全漏洞大量存在于物联网设备中,而通用漏洞挖掘技术不再完全适用于物联网设备。近几年,针对物联网设备漏洞的挖掘技术逐渐成为热点。本文将分析物联网设备漏洞挖掘技术面临的挑战与机遇,然后从静态分析,动态模糊测试,以及同源性分析叁个方面来介绍物联网设备漏洞挖掘技术的研究进展。最后本文将对今后该领域的研究重点和方向进行讨论和展望。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
漏洞挖掘技术论文参考文献
[1].胡建伟,赵伟,闫峥,章芮.基于机器学习的SQL注入漏洞挖掘技术的分析与实现[J].信息网络安全.2019
[2].郑尧文,文辉,程凯,宋站威,朱红松.物联网设备漏洞挖掘技术研究综述[J].信息安全学报.2019
[3].黄敏,王方立,李之云.基于智能Fuzzing技术的工控漏洞挖掘平台[J].信息技术与标准化.2019
[4].梅国浚.基于遗传算法和模型约束的漏洞挖掘技术研究与实现[D].北京邮电大学.2019
[5].谭兴邦.基于模糊测试的漏洞挖掘技术研究[D].北方工业大学.2019
[6].邹圳,周安民.Android系统服务漏洞挖掘技术研究[J].现代计算机.2019
[7].李志辉.基于对抗学习的工业控制协议漏洞挖掘技术研究[D].华东师范大学.2019
[8].郭强.风场工控系统安全漏洞自动化挖掘与检测技术的应用研究[J].应用能源技术.2019
[9].邓其贵,韦彬贵.基于污点分析的工控系统漏洞挖掘技术研究[J].大众科技.2019
[10].戎宇.基于机器学习的二进制软件漏洞挖掘技术研究[D].北京邮电大学.2019