检索结果-维普期刊中文期刊服务平台

开源软件供应链漏洞威胁智能感知被引量：1: 1; 作者王丽敏吴敬征 +4 位作者武延军芮志清罗天悦屈晟杨牧天《软件学报》北大核心 2025年第2期511-536,共26页; 开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而... 展开更多; 关键词开源软件供应链漏洞威胁感知特征表示知识图谱风险推送; 在线阅读下载PDF 职称材料

基于有向信息流的Android隐私泄露类恶意应用检测方法被引量：11: 2; 作者吴敬征武延军 +3 位作者武志飞杨牧天罗天悦王永吉《中国科学院大学学报（中英文）》 CAS CSCD 北大核心 2015年第6期807-815,共9页; Android系统占据智能移动终端市场81.9%的份额,预计还会持续增长.同时,针对Android系统的恶意应用日益增多,Android恶意应用程序检测技术已经成为安全领域研究的热点问题.本文提出一种基于有向信息流的针对Android隐私泄漏类恶意应用的... 展开更多; 关键词 ANDROID应用隐私泄露有向信息流恶意应用检测反编译; 在线阅读下载PDF 职称材料

一种基于权限控制机制的Android系统隐蔽信道限制方法被引量：3: 3; 作者吴敬征武延军 +3 位作者罗天悦武志飞杨牧天王永吉《中国科学院大学学报（中英文）》 CAS CSCD 北大核心 2015年第5期667-675,共9页; 移动智能终端凭借全新的体系结构、安全机制、丰富的传感设备及应用,在国内拥有近5亿台的市场.然而这些新特性却导致了比经典的攻击行为更复杂的新安全问题——移动智能终端隐蔽信道,泄漏用户隐私.针对Android移动智能终端这种新的复杂... 展开更多; 关键词 ANDROID 隐蔽信道权限控制机制 Android传感器隐蔽信道限制; 在线阅读下载PDF 职称材料

基于代码属性图及注意力双向LSTM的漏洞挖掘方法被引量：39: 4; 作者段旭吴敬征 +2 位作者罗天悦杨牧天武延军《软件学报》 EI CSCD 北大核心 2020年第11期3404-3420,共17页; 随着信息安全愈发严峻的趋势,软件漏洞已成为计算机安全的主要威胁之一.如何准确地挖掘程序中存在的漏洞,是信息安全领域的关键问题.然而,现有的静态漏洞挖掘方法在挖掘漏洞特征不明显的漏洞时准确率明显下降.一方面,基于规则的方法通... 展开更多; 关键词漏洞挖掘深度学习静态分析注意力机制代码属性图; 在线阅读下载PDF 职称材料

题名开源软件供应链漏洞威胁智能感知被引量：1: 1; 作者王丽敏吴敬征武延军芮志清罗天悦屈晟杨牧天; 机构中国科学院软件研究所智能软件研究中心计算机科学国家重点实验室(中国科学院软件研究所) 中国科学院大学; 出处《软件学报》北大核心 2025年第2期511-536,共26页; 基金中国科学院战略性先导科技专项(XDA0320401) 国家自然科学基金青年项目(62202457)。; 文摘开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而,开源软件供应链也存在依赖关系复杂、传播范围广泛、攻击面暴露扩大等特点,带来了新的安全风险.现有的以安全漏洞、威胁情报为基础的安全管理虽然可以实现安全预警、预先防御,但是由于漏洞威胁信息获取不及时、缺少攻击技术和缓解措施等信息,严重影响了漏洞处理效率.针对上述问题,设计并实现一种针对开源软件供应链的漏洞威胁智能感知方法,包括两部分:1)构建CTI(网络威胁情报)知识图谱,在其构建的过程中使用到相关技术,可以实现安全情报的实时分析与处理,尤其提出SecERNIE模型以及软件包命名矩阵,分别缓解漏洞威胁关联挖掘的问题和开源软件别名的问题.2)漏洞风险信息推送,以软件包命名矩阵为基础,构建软件包过滤规则,实现开源系统漏洞实时过滤与推送.通过实验验证所提方法的有效性和可用性.实验结果显示,相较于NVD等传统漏洞平台,本方法平均感知时间最高提前90.03天;在操作系统软件覆盖率上提升74.37%,并利用SecERNIE模型实现63492个CVE漏洞与攻击技术实体之间的关联关系映射.特别地,针对openEuler操作系统,可追踪的系统软件覆盖率达到92.76%,并累计感知6239个安全漏洞;同时,还发现openEuler中891条漏洞与攻击的关联关系,进而获取到相应的解决方案,为漏洞处理提供了参考依据.在真实攻击环境验证2种典型的攻击场景,证明所提方法在漏洞威胁感知方面的良好的效果.; 关键词开源软件供应链漏洞威胁感知特征表示知识图谱风险推送; Keywords open-source software supply chain vulnerability threat perception feature representation knowledge graph risk push; 分类号 TP311 [自动化与计算机技术—计算机软件与理论]; 在线阅读下载PDF 职称材料

题名基于有向信息流的Android隐私泄露类恶意应用检测方法被引量：11: 2; 作者吴敬征武延军武志飞杨牧天罗天悦王永吉; 机构中国科学院软件研究所总体部中国科学院软件研究所计算机科学国家重点实验室中国科学院软件研究所基础软件国家工程中心; 出处《中国科学院大学学报（中英文）》 CAS CSCD 北大核心 2015年第6期807-815,共9页; 基金国家自然科学基金(61303057 61170072) 核高基国家科技重大专项(2012ZX01039-004)资助; 文摘 Android系统占据智能移动终端市场81.9%的份额,预计还会持续增长.同时,针对Android系统的恶意应用日益增多,Android恶意应用程序检测技术已经成为安全领域研究的热点问题.本文提出一种基于有向信息流的针对Android隐私泄漏类恶意应用的检测方法.该方法首先反编译应用程序,分析配置文件中的权限申明;基于隐私点数据集构建隐私数据有向信息流模型;通过在信息流模型中对隐私点的跟踪分析,检测隐私数据是否被发送出去而导致信息泄漏.该方法在对Android第三方市场的7 985个应用程序检测中,发现357个恶意应用.通过实验方式验证了检测结果的准确性.结果表明该方法对Android隐私泄露类恶意应用具有很好的检测效果.; 关键词 ANDROID应用隐私泄露有向信息流恶意应用检测反编译; Keywords Android applicaiton pricacy leakage directed infromation flow malicious application detectoin decompile; 分类号 TP309 [自动化与计算机技术—计算机系统结构]; 在线阅读下载PDF 职称材料

题名一种基于权限控制机制的Android系统隐蔽信道限制方法被引量：3: 3; 作者吴敬征武延军罗天悦武志飞杨牧天王永吉; 机构中国科学院软件研究所总体部中国科学院软件研究所计算机科学国家重点实验室中国科学院软件研究所基础软件国家工程中心; 出处《中国科学院大学学报（中英文）》 CAS CSCD 北大核心 2015年第5期667-675,共9页; 基金国家自然科学基金(61303057 61170072) 核高基国家科技重大专项(2012ZX01039-004)资助; 文摘移动智能终端凭借全新的体系结构、安全机制、丰富的传感设备及应用,在国内拥有近5亿台的市场.然而这些新特性却导致了比经典的攻击行为更复杂的新安全问题——移动智能终端隐蔽信道,泄漏用户隐私.针对Android移动智能终端这种新的复杂环境,目前仍缺乏有效的消除限制方法.本文将Android系统隐蔽信道分成基于共享资源的智能终端隐蔽信道和基于传感器设备的隐蔽信道两种基本模型,并深入研究传感器隐蔽信道的形成机理.通过对Android系统权限控制安全机制的分析,扩展权限控制机制的保护范围,设计和实现了基于权限控制机制的Android系统传感器隐蔽信道限制方法.实验证明该方法在实际的隐蔽信道限制中能够达到限制效果.; 关键词 ANDROID 隐蔽信道权限控制机制 Android传感器隐蔽信道限制; Keywords Android covert channel permission mechanism Android sensors covert channel mitigation; 分类号 TP393 [自动化与计算机技术—计算机应用技术]; 在线阅读下载PDF 职称材料

题名基于代码属性图及注意力双向LSTM的漏洞挖掘方法被引量：39: 4; 作者段旭吴敬征罗天悦杨牧天武延军; 机构智能软件研究中心(中国科学院软件研究所) 中国科学院大学计算机科学国家重点实验室(中国科学院软件研究所); 出处《软件学报》 EI CSCD 北大核心 2020年第11期3404-3420,共17页; 基金国家重点研发计划(2018YFB0803600) 国家自然科学基金(61772507) 北京市科委产业技术创新战略联盟促进专项(Z181100000518032)。; 文摘随着信息安全愈发严峻的趋势,软件漏洞已成为计算机安全的主要威胁之一.如何准确地挖掘程序中存在的漏洞,是信息安全领域的关键问题.然而,现有的静态漏洞挖掘方法在挖掘漏洞特征不明显的漏洞时准确率明显下降.一方面,基于规则的方法通过在目标源程序中匹配专家预先定义的漏洞模式挖掘漏洞,其预定义的漏洞模式较为刻板单一,无法覆盖到细节特征,导致其存在准确率低、误报率高等问题;另一方面,基于学习的方法无法充分地对程序源代码的特征信息进行建模,并且无法有效地捕捉关键特征信息,导致其在面对漏洞特征不明显的漏洞时,无法准确地进行挖掘.针对上述问题,提出了一种基于代码属性图及注意力双向LSTM的源码级漏洞挖掘方法.该方法首先将程序源代码转换为包含语义特征信息的代码属性图,并对其进行切片以剔除与敏感操作无关的冗余信息;其次,使用编码算法将代码属性图编码为特征张量;然后,利用大规模特征数据集训练基于双向LSTM和注意力机制的神经网络;最后,使用训练完毕的神经网络实现对目标程序中的漏洞进行挖掘.实验结果显示,在SARD缓冲区错误数据集、SARD资源管理错误数据集及它们两个C语言程序构成的子集上,该方法的F1分数分别达到了82.8%,77.4%,82.5%和78.0%,与基于规则的静态挖掘工具Flawfinder和RATS以及基于学习的程序分析模型TBCNN相比,有显著的提高.; 关键词漏洞挖掘深度学习静态分析注意力机制代码属性图; Keywords vulnerability mining deep learning static analysis attention mechanism code property graph; 分类号 TP311 [自动化与计算机技术—计算机软件与理论]; 在线阅读下载PDF 职称材料

	题名	作者	出处	发文年	被引量	操作
1	开源软件供应链漏洞威胁智能感知	王丽敏吴敬征武延军芮志清罗天悦屈晟杨牧天	《软件学报》北大核心	2025	1	在线阅读下载PDF 职称材料
2	基于有向信息流的Android隐私泄露类恶意应用检测方法	吴敬征武延军武志飞杨牧天罗天悦王永吉	《中国科学院大学学报（中英文）》 CAS CSCD 北大核心	2015	11	在线阅读下载PDF 职称材料
3	一种基于权限控制机制的Android系统隐蔽信道限制方法	吴敬征武延军罗天悦武志飞杨牧天王永吉	《中国科学院大学学报（中英文）》 CAS CSCD 北大核心	2015	3	在线阅读下载PDF 职称材料
4	基于代码属性图及注意力双向LSTM的漏洞挖掘方法	段旭吴敬征罗天悦杨牧天武延军	《软件学报》 EI CSCD 北大核心	2020	39	在线阅读下载PDF 职称材料