System Vulnerability Analysis Using Graph Pathfinding Strategies in Partitioned Networks

In this paper, a new method has been introduced to find the most vulnerable lines in the system dynamically in an interconnected power system to help with the security and load flow analysis in these networks. Using the localization of power networks, the power grid can be divided into several divisions of sub-networks in which, the connection of the elements is stronger than the elements outside of that division. By using our proposed method, the probable important lines in the network can be identified to do the placement of the protection apparatus and planning for the extra extensions in the system. In this paper, we have studied the pathfinding strategies in most vulnerable line detection in a partitioned network. The method has been tested on IEEE39-bus system which is partitioned using hierarchical spectral clustering to show the feasibility of the proposed method.

模型检验技术在软件漏洞自动挖掘中的应用

将在工业设计领域应用很成功的模型检验技术引入到信息技术软件产品的安全漏洞挖掘中,提出了针对源码的漏洞挖掘系统原型,以开放源代码的操作系统Linux为例,建立了特权释放和文件创建的安全属性模型,并举例加以验证.研究结果表明:该方法是一种自动化挖掘软件安全漏洞并证明漏洞存在性的形式化方法,对挖掘已经确认机理类型的漏洞非常有效.

脚本语言执行引擎的模糊测试技术综述

脚本语言作为解释性语言,需要由脚本语言执行引擎动态解释执行。由于脚本语言的广泛应用,其执行引擎也在各种平台上得到广泛部署。因此,脚本语言执行引擎中的安全漏洞往往具有很高的安全影响。模糊测试作为一种有效的自动化漏洞挖掘方法,在挖掘脚本语言执行引擎的软件缺陷和漏洞方面也有重要作用。本文对近年来国内外学者在该领域的研究进行了系统的总结,介绍了模糊测试和脚本语言执行引擎的基本概念,整理了现有的脚本语言执行引擎的模糊测试工作的评价指标,分类梳理了脚本语言执行引擎的模糊测试工作,阐述了该领域所关注的研究问题和解决方法。最后,根据现有工作的不足和研究趋势,提出具有潜力的下一步研究方向。

JavaScript引擎JIT代码的类型混淆缺陷检测器

类型混淆漏洞是近期在JavaScript引擎中集中爆发的一类漏洞。但是,受即时编译(JIT)代码的限制,以往的类型混淆缺陷的检测方法,无法用于检测JavaScript引擎JIT代码的类型混淆缺陷。本文提出了一种针对该类型缺陷的检测方法,并实现了检测器名为TC-JIT-San的JIT代码类型混淆缺陷检测器。该方法利用JIT代码执行流和数据类型之间关联性,将从JIT代码中识别数据类型的难题转为观察执行流的变化。TC-JIT-San通过观察执行流的变化情况是否符合正常执行逻辑,从而检测出类型混淆缺陷。实验结果表明,TC-JIT-San具有低开销、低漏报和误报的特点。其运行时开销是正常执行的1.84倍,平均漏报率和误报率为0%和0.11%。

Web网站CSRF网络安全漏洞挖掘和防范方法

网络安全漏洞通常是难以避免的,不论是采用什么语言开发的Web网站,均存在网络安全漏洞。在众多的Web安全漏洞中CSRF是最容易被忽视但又是危害巨大的漏洞,一旦被非法利用,将产生商业机密和个人信息被泄露、被恶意消费和转账等严重后果。文章针对CSRF网络安全问题,在实验环境下利用常见的原生开源Web网站程序,采用漏洞复现和特定的漏洞利用挖掘方法来验证CSRF漏洞的安全隐患问题点,以提出同源检查、请求地址验证、会话管理等漏洞防范方法。

网络漏洞探测技术分析

随着计算机网络应用的进一步深入发展,网络安全问题日显突出。本文首先从分析漏洞探测技术入手下。分析了网络漏洞探测的原理和技术,在此基础上,介绍了一个基于网络安全的漏洞探测系统。

基于网络的安全漏洞探测技术

漏洞探测工具的目的是探测特定主机或网络中存在的安全漏洞,以测试系统的防御能力,给出可能的修补方法.漏洞探测包括面向主机的漏洞探测和面向网络的漏洞探测.首先从分析漏洞探测技术入手,重点分析了基于网络漏洞探测的原理和技术,在此基础上,介绍了一个基于网络安全的漏洞探测系统.

软件动态分析与信息系统安全

信息系统的应用越来越广泛,软件被视为信息系统的灵魂,已经在金融、军事、交通、基础设施等领域扮演越来越重要的角色,软件安全性已经成为关系到国民经济平稳发展、社会稳定和国家安全的重要因素。本文分析了国内外软件安全性研究的现状,并对软件安全性分析的主要科学问题和当前我国的重要需求进行了剖析,提出在信息系统安全保障能力建设中,应以加强软件安全性分析能力为导向,以提高软件的安全性分析水平为目标,以软件动态分析为关键技术手段,加强软件安全性分析基础方法研究,加强信息系统安全性分析和保障的专业人才队伍建设,为保障我国信息系统安全和网络空间主权提供技术支撑。