软件漏洞的分类研究

文章分析了Microsoft公司、CVE安全组织和Fortify Software公司对软件漏洞的分类方法,指出了它们的分类方法不能有效反映出软件漏洞性质的不足。为此,文章首先提出了一个新的软件漏洞的分类方法,再以复杂巨系统理论结合系统工程中定性定量的方法对软件漏洞进行了具体分类,最后给出了漏洞分类同构模型、应用方法及复杂度计算方法。

web服务器拟态防御原理验证系统测试与分析

web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统,利用异构性、冗余性、动态性等特性阻断或扰乱网络攻击,以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在不足、不适应复杂安全功能测试以及难以实现准确度量等问题,本文提出了适用于拟态防御架构的web服务器测试方法,基于让步规则改进了灰盒测试,还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测试方法,在性能、兼容性、功能实现、HTTP协议一致性,安全性这些方面进行了全面的测试和分析。