基于知识图谱的网络安全测试方案生成方法

现有安全性测试方案主要依赖于安全专家知识,无法有效使用历史攻击技术,导致安全性测试存在测试不全面、效率低的问题。知识图谱通过关联真实世界中存在的各类实体,为智能检索提供强大支撑。首先,设计了安全测试领域资产模型、脆弱点模型、攻击技术模型等相互关联的本体框架;然后,抽取网络安全历史数据,用图数据库构建网络安全测试知识图谱;接下来,提出了一种基于知识图谱的网络安全测试方案生成算法;最后,通过实验对提出的算法进行了分析验证。

Spinal码的CRC辅助多元回溯译码算法

为提升Spinal码的译码效率,将束搜索与循环冗余校验(CRC)译码视为整体进行联合译码,提出一种CRC辅助的多元回溯译码算法。该算法利用CRC校验从多个幸存路径中检选正确译码路径,将正确译码时间显著提前,从而提高系统的吞吐量。仿真结果表明,相比从单一节点进行固定回溯的方法,对于给定的编码和信道参数,CRC辅助的多元回溯译码在低信噪比下能够将系统吞吐率提升8%~20%,在高信噪比下能够提升58%,译码性能改善量随回溯因子的增大而增大。

基于静态分析的密码协议业务逻辑缺陷检测方法

本文介绍了基于静态分析的密码协议业务逻辑缺陷检测的具体方法,从检测框架出发,引出了方法实现的三个关键问题,然后对模型代码解析、协议代码信息抽取以及映射关系建立这三个关键问题进行了详细的分析论述。对密码协议进行形式化分析,从协议业务逻辑层面上证明密码协议的安全或者是找出协议逻辑层面的缺陷,一旦发现协议的缺陷,协议规范需要重新修订,并且协议代码也要做相应的修改[1]。

基于模糊测试的GOOSE协议解析漏洞挖掘方法

现有工控协议模糊测试方法未考虑嵌入式终端系统特点,且对未采用传输控制协议/网际协议(TCP/IP)的工控协议研究较少。基于模糊测试提出一种通用面向对象变电站事件(GOOSE)协议解析漏洞挖掘方法。使用变异方式构造测试用例,给出基于GOOSE报文字段类型、抽象语法标记1(ASN.1)编码方式和比特翻转的3类变异策略;提出基于心跳报文和系统运行信息的终端异常监测方法。设计所提方法的实施系统架构和测试流程,在智能变电站实验室环境中,对某厂家嵌入式终端进行测试,发现2个未公开的GOOSE协议解析漏洞,验证所提方法的有效性,提出防范基于此类漏洞的畸形报文攻击的建议。

面向大数据应用的区块链解决方案综述

信息时代背景下,各行各业产生的数据量成倍增加,这些数据具有总量庞大、结构复杂、难于管理等特点。区块链作为一门新的技术,与传统的数据管理方式相比具有去中心化、去信任化和数据加密等优势,能够较好地解决大数据应用中存在的数据管理问题。文章重点介绍了区块链技术在个人数据管理、数字财产保护、物联网通信和医疗数据共享4个大数据场景下的应用情况,讨论了每种大数据应用场景中存在的一些难以解决的问题,并对基于区块链技术解决这些问题的一些新颖方案进行了简要综述,最后指出未来区块链在大数据应用中的重要发展方向。

比测试验项目过程质量控制模式研究

对比测试验项目质量控制管理工作进行了较深入研究,首先剖析了比测试验质量控制的原理和原则,然后运用过程与要素质量管理相结合的方法,将比测试验的质量控制工作划分为过程质量控制与要素质量控制,主要按流程对其过程质量控制工作进行了系统的探讨和研究,形成了比测试验项目过程质量控制模式,期望能指导同类型试验的过程质量控制管理工作,具有一定工程应用价值。

基于本体的信息安全测试用例库模型研究

在信息安全测试活动中,信息安全测试用例对测试结果的客观性、有效性起着至关重要的作用,信息安全测试用例库的构建是开展信息安全测试并实现测试自动化的重难点之一.目前,尚无一个适用的信息安全测试用例库可以有效支撑信息安全测试活动的开展.基于本体的信息安全测试用例库模型,在信息安全测试用例形式化描述的基础上,对信息安全测试用例领域知识进行了分类,构建了一个共享、重用、可扩展的信息安全测试用例本体模型.根据构建的本体模型,对Web应用安全测试中的SQL注入测试用例进行知识获取,验证了模型的正确性与有效性.