呼市发改委政务云漏洞分析系统的设计与实现
这是一篇关于软件漏洞分析,政务云,漏洞检测,网络安全的论文, 主要内容为为实现我市各单位信息化项目的集约化建设与管理,呼市发改委积极采用云计算、大数据、互联网+等新一代信息技术建立了呼市政务云,初步实现全市各单位应用系统的集中管理。但在管理的过程中如何利用好已部署的漏洞扫描工具确保各单位应用系统的安全运行成为了管理部门关注的重点。所以有必要开发设计一款政务云漏洞分析系统,实现准确高效的收集整理所发现的各类漏洞信息。本文首先进行需求分析,通过和有关部门领导、工作人员以及管理人员进行深入交流,对当前系统漏洞检测情况以及主要的维护管理工作进行了摸底,明确了在日常维护管理工作所需要具备的系统功能,并且对各大功能模块展开用例分析和功能描述,确保系统开发符合实际管理工作需要。并对系统进行详细的设计,以软件系统开发技术为依托,对该漏洞分析系统展开了设计工作。以软件技术为依托,详细设计了系统的开发结果以及功能组成,对系统的用户界面、展示方式以及设计目标进行了明确。针对系统功能的设计还研究了如何用时序图进行设计表达,文中给出了一些功能时序图设计说明,通过MySQL数据库对系统进行数据管理,绘制出了系统开发中的E-R图,从而有效指导了数据表的设计和实现。最后,采用Java语言对系统编程实现并测试,借助SSH框架以及B/S模式对系统进行实现。编写测试用例,对系统中的每一个功能的实现情况进行记录和分析,从而为系统的最终交付做好了准备。呼市发改委政务云漏洞分析系统是紧随该市政务云建设而推出的安全管理保障系统,系统的开发使漏洞检测工具所输出的扫描结果进行了数据归一化处理,并对漏洞信息进行挖掘分析,以各种形式展示,从而能够准确的对政务云中的资产、漏洞、漏洞级别以及发展趋势进行管理,系统上线以来运行效果良好,得到了有关领导的好评,也是大数据时代信息可视化的有益参考。
以太坊智能合约的自动化漏洞检测方法研究
这是一篇关于智能合约,操作码特征,漏洞检测,机器学习,区块链的论文, 主要内容为近年来,区块链作为一种新兴技术,引起了国内外学者的广泛关注和研究热情。区块链通过集成加密算法、分布式数据存储和共识机制等多种技术,在无需可信第三方条件下,即可实现远距离点对点的价值传输。区块链技术通过智能合约的运行,大大延伸了该技术适用的业务场景,业务场景从最初的金融领域扩展到物联网、医疗、能源及智能制造等实体领域。由于智能合约语言尚未成熟,开发人员素质参差不齐,智能合约不可避免地会存在漏洞。最近频频爆发的智能合约安全事件,不仅造成了巨大的社会经济损失,还严重降低了人们对区块链智能合约的信任程度。目前智能合约漏洞检测的主要方法有形式化验证、符号执行或符号分析、模糊测试等。然而,形式化验证有不能完全自动化的缺点;符号执行或符号分析往往需要探索合约中所有的可执行路径或符号化地分析合约中的依赖关系图,因此时间开销大,执行效率低,不适合大批量合约漏洞检测;模糊测试方法生成的测试样例具有较强的随机性,易导致代码覆盖率低,往往无法有效检测出智能合约代码中的所有漏洞,且同样具有检测周期长的缺点。面对与日俱增的智能合约数量,现有方法不堪重负。为了保证合约漏洞检测的准确率并提高检测的效率,本文提出了一种基于机器学习算法的自动化合约漏洞检测方法,通过提取智能合约的有效特征及训练多标签分类模型,实现了对整数上溢、整数下溢、交易顺序依赖、未检查返回值、时间戳依赖和代码重入6种智能合约漏洞准确且高效的自动化检测。经过大量实验证明,本文方法更适用于大批量合约漏洞检测的应用场景。为了获得足够的智能合约数据以开展研究,本文设计并实现了一个自动化大批量爬取智能合约数据的网络爬虫工具,并对该工具进行了多线程优化,大大提高了数据采集的速率。经过一段时间爬取,采集到大量以太坊智能合约数据,包括合约的Solidity源码、Solidity版本、代币名称、合约地址等有用信息,构建了一个全面且时新的智能合约数据集。本论文通过研究合约源码Solidity语言、以太坊虚拟机字节码和操作码之间的关联性,并深入分析操作码与智能合约漏洞的内在联系,提出了操作码抽象规则。本论文通过n-gram算法从操作码数据流中提取bigram特征,并通过定义的特征计算公式计算bigram特征对应的特征值,构建特征矩阵。本文使用XGBoost、Ada Boost、随机森林、支持向量机和k近邻等分类算法,结合SMOTE或SMOTETomek数据平衡方法,在数据集上做了大量的实验。实验证明,基于SMOTETomek平衡训练集学习的XGBoost多标签分类模型对智能合约漏洞的检测效果最好,评价指标micro-F1和macro-F1值分别高达98.48%和96.41%。同时本方法大大提升了检测的效率,平均约4秒检测一个合约。基于上述实验结果,本文设计并实现了一个B/S架构的智能合约漏洞检测系统,允许用户上传智能合约源码或者字节码,系统在线进行数据处理。本系统通过训练好的机器学习模型对智能合约进行检测,并显示检测结果。
以太坊智能合约的自动化漏洞检测方法研究
这是一篇关于智能合约,操作码特征,漏洞检测,机器学习,区块链的论文, 主要内容为近年来,区块链作为一种新兴技术,引起了国内外学者的广泛关注和研究热情。区块链通过集成加密算法、分布式数据存储和共识机制等多种技术,在无需可信第三方条件下,即可实现远距离点对点的价值传输。区块链技术通过智能合约的运行,大大延伸了该技术适用的业务场景,业务场景从最初的金融领域扩展到物联网、医疗、能源及智能制造等实体领域。由于智能合约语言尚未成熟,开发人员素质参差不齐,智能合约不可避免地会存在漏洞。最近频频爆发的智能合约安全事件,不仅造成了巨大的社会经济损失,还严重降低了人们对区块链智能合约的信任程度。目前智能合约漏洞检测的主要方法有形式化验证、符号执行或符号分析、模糊测试等。然而,形式化验证有不能完全自动化的缺点;符号执行或符号分析往往需要探索合约中所有的可执行路径或符号化地分析合约中的依赖关系图,因此时间开销大,执行效率低,不适合大批量合约漏洞检测;模糊测试方法生成的测试样例具有较强的随机性,易导致代码覆盖率低,往往无法有效检测出智能合约代码中的所有漏洞,且同样具有检测周期长的缺点。面对与日俱增的智能合约数量,现有方法不堪重负。为了保证合约漏洞检测的准确率并提高检测的效率,本文提出了一种基于机器学习算法的自动化合约漏洞检测方法,通过提取智能合约的有效特征及训练多标签分类模型,实现了对整数上溢、整数下溢、交易顺序依赖、未检查返回值、时间戳依赖和代码重入6种智能合约漏洞准确且高效的自动化检测。经过大量实验证明,本文方法更适用于大批量合约漏洞检测的应用场景。为了获得足够的智能合约数据以开展研究,本文设计并实现了一个自动化大批量爬取智能合约数据的网络爬虫工具,并对该工具进行了多线程优化,大大提高了数据采集的速率。经过一段时间爬取,采集到大量以太坊智能合约数据,包括合约的Solidity源码、Solidity版本、代币名称、合约地址等有用信息,构建了一个全面且时新的智能合约数据集。本论文通过研究合约源码Solidity语言、以太坊虚拟机字节码和操作码之间的关联性,并深入分析操作码与智能合约漏洞的内在联系,提出了操作码抽象规则。本论文通过n-gram算法从操作码数据流中提取bigram特征,并通过定义的特征计算公式计算bigram特征对应的特征值,构建特征矩阵。本文使用XGBoost、Ada Boost、随机森林、支持向量机和k近邻等分类算法,结合SMOTE或SMOTETomek数据平衡方法,在数据集上做了大量的实验。实验证明,基于SMOTETomek平衡训练集学习的XGBoost多标签分类模型对智能合约漏洞的检测效果最好,评价指标micro-F1和macro-F1值分别高达98.48%和96.41%。同时本方法大大提升了检测的效率,平均约4秒检测一个合约。基于上述实验结果,本文设计并实现了一个B/S架构的智能合约漏洞检测系统,允许用户上传智能合约源码或者字节码,系统在线进行数据处理。本系统通过训练好的机器学习模型对智能合约进行检测,并显示检测结果。
基于知识图谱的漏洞检测系统的设计与实现
这是一篇关于软件漏洞,知识图谱,软件供应链,漏洞检测的论文, 主要内容为随着信息科学技术的发展和软件需求的大规模扩张,软件开发的难度和时效性要求越来越高,软件复用技术应用而生。开发人员可以通过引用的方式使用他人开发的组件,也可以将自己研发的软件放到公开网站上,这样做不仅可以利用开源社区资源快速地实现软件功能,而且减少了重复开发带来的无效劳动。但是,这种方式也带来了新的安全问题,攻击者可以利用软件供应链对目标软件进行攻击,例如在公开的软件组件库中更换带有后门或病毒的组件,开发人员一旦使用它们便会引入新的安全风险。由于软件供应链攻击成本低且效果好,针对软件供应链的攻击日渐猖獗。目前,传统的针对软件安全的研究主要围绕开发人员在开发过程中产生的安全问题展开,未对第三方库引入的供应链漏洞进行检测。为此,本课题设计并实现了基于知识图谱的软件供应链漏洞检测系统。本课题以美国国家漏洞数据库中公开漏洞和相关的组件数据作为核心数据,通过采集主流供应链软件依赖组件和依赖关系,构造了一个以漏洞数据为核心的组件-漏洞知识图谱,并基于该知识图谱检测软件供应链漏洞。与其他漏洞检测技术相比,该系统能够有效地对第三方库引入的漏洞进行检测。除此之外,该系统还能够对待测软件供应链进行完整复原,有助于开发人员透视软件深层次依赖关系。本课题从功能和性能两方面对实现系统进行了详细测试,功能方面,本课题收集并处理了 1.4万条漏洞信息和1.2万条组件信息,实现了组件-漏洞知识图谱的构建和软件供应链的漏洞检测功能;在性能方面,该工具在测试数据上实现了 85%的准确率,验证了软件供应链漏洞的检测能力,同时对出现误报的原因进行了分析并展望了该技术未来的发展方向。
互联网系统漏洞检测技术集成应用研究
这是一篇关于互联网安全,漏洞检测,漏洞扫描工具,系统集成的论文, 主要内容为互联网已经广泛的应用于生活、工作、学习中,但是互联网系统的安全问题并没有得到很好的解决。近年来不断出现互联网系统被攻击的事件,严重威胁着国家安全、商业秘密和个人隐私。世界各国都高度重视互联网系统的安全,已有40多个国家颁布了网络空间国家安全战略。美国已经颁布了40多份与网络安全相关的文件。我国也已经成立了中央网络安全和信息化领导小组,并颁布了《中华人民共和国网络安全法》。互联网漏洞检测是互联网安全的重要内容之一。近年来对漏洞检测技术的研究不断深入。一些研究成果形成产品并得到了广泛应用,但由于不同的开发商针对的漏洞扫描场景和对象不同,导致漏洞难以彻底被发现。因此业界急需漏洞检测的安全解决方案。本文在研究互联网安全漏洞和互联网攻击手段的基础上,分析了当前应用较多的漏洞检测技术和漏洞扫描工具,提出了将多种漏洞扫描工具集成的漏洞检测解决方案,制定了多种漏洞扫描工具集成的调度策略。利用Spring MVC框架,设计并开发了一款基于B/S模式的互联网漏洞检测集成系统。集成系统中具有多种扫描策略,用户可以根据扫描目标的不同,选择合适的扫描策略进行漏洞检测。最后,本文对互联网漏洞检测集成系统完成了功能测试。集成系统能够全面、可靠的检测出目标客户机和Web服务器的安全隐患,满足用户需求。集成系统工作界面简洁,方便使用。
物联网设备远程识别及安全评估技术的研究与实现
这是一篇关于物联网,地址扫描,协议探测,设备识别,漏洞检测的论文, 主要内容为随着物联网产业的发展,物联网技术得到了广泛应用。然而,在物联网环境下,安全问题也日益突出。为了评估网络环境下物联网设备的安全性,本文研究物联网设备远程识别和物联网设备远程安全评估两个方面,从网络资产扫描、物联网设备识别以及漏洞匹配与验证三角度出发,设计并实现了相应的技术框架。具体而言,本文的工作包括:在物联网设备远程识别方面:对于网络资产扫描,本文通过提出基于层次优先的IPv6地址扫描方法探测存活的IPv6地址,该方法相较于其他的IPv6地址扫描工作有着更高的命中率和同时,本文通过提出一个改进的全端口扫描算法识别目标主机端口的协议信息,提高指纹匹配效率。对于物联网设备识别,本文通过首先爬取设备商家的商业网站,提取其中的物联网设备信息并根据此信息建立设备信息库,然后收集并分析大量的目标主机应用层协议数据包,通过解析与目标主机的交互数据包来识别设备信息。在内网扫描方面,本文基于两种内网穿透的方法扫描内网物联网设备的相关信息。在物联网远程安全评估方面:对于物联网设备漏洞的匹配与验证,本文通过爬取CVE漏洞信息的描述字段,提取该描述字段的设备信息,建立漏洞信息库。通过上述设备识别结果和已建立的漏洞信息库进行设备信息匹配来确定设备的漏洞情况;接着,在被允许的情况下基于Metasploit框架实现物联网设备的漏洞验证。在上述基础上,本文基于前后分离架构SpringBoot+VUE,设计并实现了物联网设备远程识别及安全评估系统,通过扫描一些网段,该系统能够发现物联网设备及其安全漏洞,实现物联网的安全探测工作。
呼市发改委政务云漏洞分析系统的设计与实现
这是一篇关于软件漏洞分析,政务云,漏洞检测,网络安全的论文, 主要内容为为实现我市各单位信息化项目的集约化建设与管理,呼市发改委积极采用云计算、大数据、互联网+等新一代信息技术建立了呼市政务云,初步实现全市各单位应用系统的集中管理。但在管理的过程中如何利用好已部署的漏洞扫描工具确保各单位应用系统的安全运行成为了管理部门关注的重点。所以有必要开发设计一款政务云漏洞分析系统,实现准确高效的收集整理所发现的各类漏洞信息。本文首先进行需求分析,通过和有关部门领导、工作人员以及管理人员进行深入交流,对当前系统漏洞检测情况以及主要的维护管理工作进行了摸底,明确了在日常维护管理工作所需要具备的系统功能,并且对各大功能模块展开用例分析和功能描述,确保系统开发符合实际管理工作需要。并对系统进行详细的设计,以软件系统开发技术为依托,对该漏洞分析系统展开了设计工作。以软件技术为依托,详细设计了系统的开发结果以及功能组成,对系统的用户界面、展示方式以及设计目标进行了明确。针对系统功能的设计还研究了如何用时序图进行设计表达,文中给出了一些功能时序图设计说明,通过MySQL数据库对系统进行数据管理,绘制出了系统开发中的E-R图,从而有效指导了数据表的设计和实现。最后,采用Java语言对系统编程实现并测试,借助SSH框架以及B/S模式对系统进行实现。编写测试用例,对系统中的每一个功能的实现情况进行记录和分析,从而为系统的最终交付做好了准备。呼市发改委政务云漏洞分析系统是紧随该市政务云建设而推出的安全管理保障系统,系统的开发使漏洞检测工具所输出的扫描结果进行了数据归一化处理,并对漏洞信息进行挖掘分析,以各种形式展示,从而能够准确的对政务云中的资产、漏洞、漏洞级别以及发展趋势进行管理,系统上线以来运行效果良好,得到了有关领导的好评,也是大数据时代信息可视化的有益参考。
基于知识图谱的漏洞检测系统的设计与实现
这是一篇关于软件漏洞,知识图谱,软件供应链,漏洞检测的论文, 主要内容为随着信息科学技术的发展和软件需求的大规模扩张,软件开发的难度和时效性要求越来越高,软件复用技术应用而生。开发人员可以通过引用的方式使用他人开发的组件,也可以将自己研发的软件放到公开网站上,这样做不仅可以利用开源社区资源快速地实现软件功能,而且减少了重复开发带来的无效劳动。但是,这种方式也带来了新的安全问题,攻击者可以利用软件供应链对目标软件进行攻击,例如在公开的软件组件库中更换带有后门或病毒的组件,开发人员一旦使用它们便会引入新的安全风险。由于软件供应链攻击成本低且效果好,针对软件供应链的攻击日渐猖獗。目前,传统的针对软件安全的研究主要围绕开发人员在开发过程中产生的安全问题展开,未对第三方库引入的供应链漏洞进行检测。为此,本课题设计并实现了基于知识图谱的软件供应链漏洞检测系统。本课题以美国国家漏洞数据库中公开漏洞和相关的组件数据作为核心数据,通过采集主流供应链软件依赖组件和依赖关系,构造了一个以漏洞数据为核心的组件-漏洞知识图谱,并基于该知识图谱检测软件供应链漏洞。与其他漏洞检测技术相比,该系统能够有效地对第三方库引入的漏洞进行检测。除此之外,该系统还能够对待测软件供应链进行完整复原,有助于开发人员透视软件深层次依赖关系。本课题从功能和性能两方面对实现系统进行了详细测试,功能方面,本课题收集并处理了 1.4万条漏洞信息和1.2万条组件信息,实现了组件-漏洞知识图谱的构建和软件供应链的漏洞检测功能;在性能方面,该工具在测试数据上实现了 85%的准确率,验证了软件供应链漏洞的检测能力,同时对出现误报的原因进行了分析并展望了该技术未来的发展方向。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:代码驿站 ,原文地址:https://m.bishedaima.com/lunwen/50074.html
