数据库管理系统模糊测试技术研究综述 被引量：2

1

作者 梁杰 吴志镛 +3 位作者 符景洲 朱娟 姜宇 孙家广 《软件学报》 北大核心 2025年第1期399-423,共25页

数据库管理系统(DBMS)是用于高效存储、管理、分析数据的基础软件,在现代数据密集型应用中起着举足轻重的作用.数据库管理系统中存在的漏洞则对数据的安全性和应用的正常运行造成巨大威胁.模糊测试是当前最为流行的动态漏洞检测技术之一... 数据库管理系统(DBMS)是用于高效存储、管理、分析数据的基础软件,在现代数据密集型应用中起着举足轻重的作用.数据库管理系统中存在的漏洞则对数据的安全性和应用的正常运行造成巨大威胁.模糊测试是当前最为流行的动态漏洞检测技术之一,它已经被应用于分析DBMS,并发现许多漏洞.分析DBMS的测试需求和难点,提出对DBMS进行模糊测试的一般框架,同时分析DBMS模糊测试工具面临的挑战和需要支持的维度;接着从挖掘不同类型漏洞的角度介绍典型的DBMS模糊测试工具;然后总结包括SQL表达式合成、代码覆盖追踪、测试准则构建在内的DBMS模糊测试的关键技术.接着就测试的覆盖率,生成测试用例的语法语义正确性和漏洞的发现能力对当前的几个流行模糊测试工具进行评估.最后,讨论当前DBMS模糊测试技术研究和实践中面临的问题,并对未来的研究方向进行展望. 展开更多

关键词 数据库管理系统 模糊测试 漏洞挖掘

在线阅读 下载PDF 职称材料

安全漏洞库构建及应用研究综述 被引量：5

2

作者 曹旭栋 黄在起 +4 位作者 陈禹劼 王文杰 史慧洋 李书豪 张玉清 《计算机学报》 EI CAS CSCD 北大核心 2024年第5期1082-1119,共38页

在以计算机和网络为基础的信息社会中,计算机和网络系统中存在的漏洞给网络信息安全带来了巨大挑战,大部分网络攻击往往都是基于漏洞发起的,并且随着近些年来漏洞数量的急剧增加以及发现速度的加快,收集、整理和利用已有漏洞就变得越来... 在以计算机和网络为基础的信息社会中,计算机和网络系统中存在的漏洞给网络信息安全带来了巨大挑战,大部分网络攻击往往都是基于漏洞发起的,并且随着近些年来漏洞数量的急剧增加以及发现速度的加快,收集、整理和利用已有漏洞就变得越来越重要.而漏洞库作为信息安全基础设施中重要的一环,不仅能够保存各类漏洞的基本信息、特征、解决方案等属性,还能快速响应漏洞信息并及时进行传播,提高公众应对信息安全威胁的能力.同时,随着机器学习、自然语言处理等技术的发展,越来越多的工作开始关注人工智能技术在智能化漏洞信息处理中的应用,漏洞库能作为其中的一个重要数据基础,在计算机领域中发挥着越来越重要的作用.漏洞库研究已成为计算机领域的一个研究热点和重点.本文首次从基础知识、背景、理论方法和创新等方面对近些年来围绕漏洞库的研究进行了全面调查,具体包括以下内容:(1)回顾了漏洞及漏洞库的背景知识,包括定义及分类;还阐述了漏洞发布与漏洞库之间的关系;(2)对漏洞库的发展现状进行介绍,同时介绍了漏洞库建设的相关标准;(3)归纳并总结了已有研究围绕漏洞库建设在漏洞信息收集、管理、字段补全以及质量评价等方面的进展;(4)归纳并总结了已有研究基于漏洞库数据分别在漏洞预测与扫描、漏洞修补、软件安全性及成分分析、网络攻击建模、安全态势分析以及漏洞特征的规律及关联性挖掘等方向的应用;(5)讨论了漏洞库研究存在的挑战和未来的研究方向. 展开更多

关键词 安全漏洞 漏洞报告 漏洞数据库 漏洞自动化评估 漏洞生命周期

在线阅读 下载PDF 职称材料

国家安全漏洞库的设计与实现 被引量：24

3

作者 张玉清 吴舒平 +1 位作者 刘奇旭 梁芳芳 《通信学报》 EI CSCD 北大核心 2011年第6期93-100,共8页

在研究国内外安全漏洞库的基础上,结合我国国情和安全保障的需求,设计了一个兼容多个漏洞标准的、并将漏洞属性划分为相应群组的漏洞库结构模型。基于此模型,开发实现了国家安全漏洞库,并将其用于国内安全预警和应急响应领域,在实际应... 在研究国内外安全漏洞库的基础上,结合我国国情和安全保障的需求,设计了一个兼容多个漏洞标准的、并将漏洞属性划分为相应群组的漏洞库结构模型。基于此模型,开发实现了国家安全漏洞库,并将其用于国内安全预警和应急响应领域,在实际应用中取得了良好的效果。 展开更多

关键词 信息安全 安全漏洞 安全漏洞库 漏洞标准

在线阅读 下载PDF 职称材料

系统安全漏洞研究及数据库实现 被引量：27

4

作者 翟钰 张玉清 +1 位作者 武维善 胡建武 《计算机工程》 CAS CSCD 北大核心 2004年第8期68-70,148,共4页

计算机系统安全漏洞的研究以及漏洞库的建设，对于提高系统安全性，减少安全事件发生具有重要意义。该文在对系统安全漏洞分类研究的基础上，提出了一个系统安全漏洞数据库的结构模型，并以此构建了一个以国际CVE编号为标准的漏洞数据... 计算机系统安全漏洞的研究以及漏洞库的建设，对于提高系统安全性，减少安全事件发生具有重要意义。该文在对系统安全漏洞分类研究的基础上，提出了一个系统安全漏洞数据库的结构模型，并以此构建了一个以国际CVE编号为标准的漏洞数据库，并给出了数据库中的一个漏洞实例。 展开更多

关键词 系统安全漏洞 分类 数据库

在线阅读 下载PDF 职称材料

网络安全脆弱性分析与处置系统的研究与实现 被引量：11

5

作者 胡华平 刘波 +1 位作者 钟求喜 庞立会 《国防科技大学学报》 EI CAS CSCD 北大核心 2004年第1期36-40,共5页

在分析国内外研究现状的基础上,针对现有的漏洞库系统在漏洞信息的组织、使用等方面存在的不足,采用分布计算技术、数据库技术、Web技术实现了网络安全脆弱性分析与处置系统。该系统实现了基于Web的漏洞库(含补丁库)的访问与维护工具,... 在分析国内外研究现状的基础上,针对现有的漏洞库系统在漏洞信息的组织、使用等方面存在的不足,采用分布计算技术、数据库技术、Web技术实现了网络安全脆弱性分析与处置系统。该系统实现了基于Web的漏洞库(含补丁库)的访问与维护工具,便于获取相应漏洞的解决方案和下载相应的补丁程序,降低了系统维护的开销,提高了系统的可维护性;补丁推送程序实现了对系统补丁程序的远程推送、漏洞修补和补漏检测,提高了系统的自动化程度,为网络安全脆弱性处置提供了有力工具。 展开更多

关键词 网络安全 脆弱性 漏洞库 中间件技术 WEB技术 补丁程序 处置系统 漏洞库系统

在线阅读 下载PDF 职称材料

基于漏洞库的fuzzing测试技术 被引量：10

6

作者 张美超 曾凡平 黄奕 《小型微型计算机系统》 CSCD 北大核心 2011年第4期651-655,共5页

鉴于主流fuzzing(模糊)测试技术生成的测试用例随机性和针对性无法兼顾的问题,提出一种基于漏洞库的fuzzing测试技术.根据漏洞产生的原因和重现的方法对漏洞库进行整理分类,构造出测试用例集用于fuzzing测试.这样生成的测试用例集直接... 鉴于主流fuzzing(模糊)测试技术生成的测试用例随机性和针对性无法兼顾的问题,提出一种基于漏洞库的fuzzing测试技术.根据漏洞产生的原因和重现的方法对漏洞库进行整理分类,构造出测试用例集用于fuzzing测试.这样生成的测试用例集直接与漏洞相关,具有更强的针对性;同时扩展的测试用例集可以用于检测未知的同类漏洞,覆盖面更广,因此保证了一定的随机性.以ftp服务器测试为例,选取了W indow s平台下的4款ftp服务器进行测试,共发现了3款软件的6个新漏洞,提交Se-curityFocus并通过,其中5个漏洞得到了国际权威漏洞数据库CVE的认可. 展开更多

关键词 漏洞库 FUZZING FTP服务器 漏洞挖掘

在线阅读 下载PDF 职称材料

计算机弱点数据库综述与评价 被引量：8

7

作者 张永铮 方滨兴 迟悦 《计算机科学》 CSCD 北大核心 2006年第8期19-21,49,共4页

计算机弱点数据库已成为弱点研究的重要组成部分,对收集、存储和组织弱点信息具有重要意义。本文介绍了计算机弱点的定义及分类,分析并评价了现有的弱点数据库,最后讨论了其存在的问题以及将采取的技术路线。

关键词 网络安全 计算机脆弱性 安全漏洞 弱点分类法 弱点数据库

在线阅读 下载PDF 职称材料

计算机漏洞库系统的设计、实现与应用 被引量：12

8

作者 刘波 刘惠 +1 位作者 胡华平 黄遵国 《计算机工程与科学》 CSCD 2004年第7期31-33,共3页

如何发现、修补和利用计算机漏洞 ,是网络攻防研究的焦点问题之一。本文首先对国内外的研究现状进行分析与综述 ,然后介绍了如何设计、实现计算机漏洞库系统 ,提出了运用CORBA分布对象技术定义和实现漏洞库信息的应用程序访问接口 ,基... 如何发现、修补和利用计算机漏洞 ,是网络攻防研究的焦点问题之一。本文首先对国内外的研究现状进行分析与综述 ,然后介绍了如何设计、实现计算机漏洞库系统 ,提出了运用CORBA分布对象技术定义和实现漏洞库信息的应用程序访问接口 ,基于事件模型完成漏洞补丁程序或应对措施在可信任计算机之间的自动推送 ,实现动态的系统漏洞分析与应对。 展开更多

关键词 计算机漏洞库系统 设计 信息安全 网络安全 网络攻击 计算机网络

在线阅读 下载PDF 职称材料

网络隐患扫描系统设计与实现 被引量：8

9

作者 刘宝旭 吴海燕 许榕生 《计算机工程与应用》 CSCD 北大核心 2002年第1期11-13,共3页

提出了一个基于CVE标准和漏洞库的网络隐患扫描系统模型,描述了一个基于该模型的“安拓”网络隐患扫描系统的组成结构和实现机制。讨论了该系统实现中的关键技术及其解决方法,包括:漏洞库的设计实现、隐患扫描手段的升级维护机制、系统... 提出了一个基于CVE标准和漏洞库的网络隐患扫描系统模型,描述了一个基于该模型的“安拓”网络隐患扫描系统的组成结构和实现机制。讨论了该系统实现中的关键技术及其解决方法,包括:漏洞库的设计实现、隐患扫描手段的升级维护机制、系统硬件化技术及自身的安全机制等。归纳了该系统的特点及应用前景,并总结了今后的研究方向。 展开更多

关键词 计算机网络 网络安全隐患 漏洞库 CVE标准 隐患扫描 安全机制

在线阅读 下载PDF 职称材料

一种自动化的渗透测试系统的设计与实现 被引量：13

10

作者 邢斌 高岭 +1 位作者 孙骞 杨威 《计算机应用研究》 CSCD 北大核心 2010年第4期1384-1387,共4页

为了减少传统渗透测试中人力资源投入的浪费,摆脱测试过程中对测试者专业技能的依赖,提高测试效率,缩短测试周期,完善测试结果,设计并实现了一种基于SNMP、多源漏洞库以及基于NASL插件的自动化渗透测试系统。该系统完全可以实现对被测... 为了减少传统渗透测试中人力资源投入的浪费,摆脱测试过程中对测试者专业技能的依赖,提高测试效率,缩短测试周期,完善测试结果,设计并实现了一种基于SNMP、多源漏洞库以及基于NASL插件的自动化渗透测试系统。该系统完全可以实现对被测网络及设备的信息探测、漏洞评估、渗透攻击和报告生成,可以自动完成渗透测试而不依赖于测试人员的知识经验,可以明显提高渗透测试的效率及其方便性、完整性和准确性。 展开更多

关键词 简单网络管理协议 多源漏洞库 Nessus攻击脚本语言 渗透测试

在线阅读 下载PDF 职称材料

安全漏洞标识与描述规范的研究 被引量：6

11

作者 刘奇旭 张玉清 +1 位作者 宫亚峰 王宏 《信息网络安全》 2011年第7期4-6,共3页

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容。该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准。

关键词 安全漏洞 安全漏洞标识 安全漏洞描述 安全漏洞库

在线阅读 下载PDF 职称材料

通用脆弱点数据库的构建 被引量：4

12

作者 孙学涛 李晓秋 谢余强 《计算机应用》 CSCD 北大核心 2002年第9期42-44,共3页

文中指出了构建通用脆弱点数据库的重要意义 ,提出了该数据库应达到的标准 ,讨论了该数据库构建过程中的几个具体问题 ,给出了通用脆弱点数据库的字段结构。

关键词 通用脆弱点数据库 字段结构 信息安全 源代码

在线阅读 下载PDF 职称材料

基于漏洞知识库的8031单片机系统软件漏洞检测算法 被引量：5

13

作者 单纯 荆高鹏 +2 位作者 胡昌振 薛静锋 贺津朝 《北京理工大学学报》 EI CAS CSCD 北大核心 2017年第4期371-375,共5页

针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库... 针对基于8031单片机系统软件的安全问题,对各权威漏洞数据库进行了分析研究,采用一种基于ECV规则的攻击分析方法从攻击事件中提取漏洞知识,根据漏洞种类及特征将漏洞从代码安全的角度分类,设计了三层结构的漏洞知识库,并根据漏洞知识库的设计提出了一种基于知识的漏洞检测算法,用于检测8031单片机系统漏洞.基于上述方法设计并实现了软件安全性逆向分析系统,对8031单片机系统进行漏洞检测.实验结果表明,基于该漏洞知识库的漏洞检测算法可以对目标程序正确进行漏洞检测,有利于降低软件代码漏洞量,并在一定程度上降低成本和资源消耗. 展开更多

关键词 漏洞知识库 8031单片机 漏洞检测 软件安全

在线阅读 下载PDF 职称材料

脆弱性数据库系统的设计及构建 被引量：3

14

作者 杨洪路 刘海燕 贺振中 《计算机工程》 CAS CSCD 北大核心 2004年第9期195-196,F003,共3页

指出了构建脆弱性数据库的重要意义，介绍了目前国际上主要的几个脆弱性数据库，然后具体阐述了一个脆弱性数据库系统的设计与构建。

关键词 脆弱性数据库 信息安全 系统设计 ICAT数据库

在线阅读 下载PDF 职称材料

安全漏洞自动收集系统的设计与实现 被引量：10

15

作者 王晓甜 张玉清 《计算机工程》 CAS CSCD 北大核心 2006年第20期177-179,共3页

提出了一种完善的安全漏洞收集模型。通过引入漏洞自动收集思想,有效地解决了漏洞数据库信息更新不及时,以及漏洞收集效率低等问题。介绍了漏洞自动收集系统的结构框架和功能模块,给出了系统的具体实现。

关键词 安全漏洞 自动收集系统 漏洞库

在线阅读 下载PDF 职称材料

Android漏洞库的设计与实现 被引量：6

16

作者 杨刚 温涛 张玉清 《信息网络安全》 2015年第9期240-244,共5页

随着移动互联网的持续发展,移动终端设备的安全问题越来越值得关注。Android设备的盛行也带来了诸多安全问题,而Android漏洞是其安全问题的关键所在。文章从国内外知名漏洞数据库和安全论坛收集了已经公布的Android漏洞数据,结合漏洞分... 随着移动互联网的持续发展,移动终端设备的安全问题越来越值得关注。Android设备的盛行也带来了诸多安全问题,而Android漏洞是其安全问题的关键所在。文章从国内外知名漏洞数据库和安全论坛收集了已经公布的Android漏洞数据,结合漏洞分析技术,构建了Android漏洞库,对现有Android漏洞信息进行了整理、发布和通报。基于现有的Android漏洞数据,总结了Android漏洞的发展规律。 展开更多

关键词 安卓 漏洞 漏洞库 安全发展 规律分析

在线阅读 下载PDF 职称材料

基于CORBA技术的计算机系统脆弱性保健体系 被引量：2

17

作者 刘波 刘惠 黄遵国 《计算机应用研究》 CSCD 北大核心 2004年第9期69-70,74,共3页

作为网络安全研究的基础,计算机系统脆弱性的发现和应对等相关工作始终是网络安全研究的焦点之一。介绍了如何在构造系统脆弱性数据库的基础上,运用CORBA分布对象技术,建立主动的系统脆弱性保健体系,完成系统脆弱性解决方案在可信网络... 作为网络安全研究的基础,计算机系统脆弱性的发现和应对等相关工作始终是网络安全研究的焦点之一。介绍了如何在构造系统脆弱性数据库的基础上,运用CORBA分布对象技术,建立主动的系统脆弱性保健体系,完成系统脆弱性解决方案在可信网络节点间的主动推送与运用,实现动态的系统脆弱性应对。 展开更多

关键词 计算机系统脆弱性 脆弱性数据库 系统脆弱性应对 CORBA

在线阅读 下载PDF 职称材料

脆弱性数据库技术研究 被引量：1

18

作者 徐良华 史洪 +1 位作者 马俊 朱鲁华 《计算机应用研究》 CSCD 北大核心 2006年第3期5-7,共3页

脆弱性是网络安全事件的根源,脆弱性数据库技术有利于系统地分析脆弱性的本质,从而有利于脆弱性的检测、预防和消除。首先总结了脆弱性数据库的四种组织模式;然后提出了设计和管理脆弱性数据库应该解决的问题;介绍了基于脆弱性数据库的... 脆弱性是网络安全事件的根源,脆弱性数据库技术有利于系统地分析脆弱性的本质,从而有利于脆弱性的检测、预防和消除。首先总结了脆弱性数据库的四种组织模式;然后提出了设计和管理脆弱性数据库应该解决的问题;介绍了基于脆弱性数据库的分析和应用技术;最后介绍了主流的脆弱性数据库。 展开更多

关键词 脆弱性 数据库 脆弱性数据库 脆弱性扫描 网络安全

在线阅读 下载PDF 职称材料

软件脆弱性分析 被引量：1

19

作者 李新明 李艺 +1 位作者 徐晓梅 韩存兵 《计算机科学》 CSCD 北大核心 2003年第8期162-165,共4页

Software vulnerability is the root reason that cause computer system security problem. It' s a new researchtopic to analyze vulnerability based on the essence of software vulnerability. This paper analyzes the mai... Software vulnerability is the root reason that cause computer system security problem. It' s a new researchtopic to analyze vulnerability based on the essence of software vulnerability. This paper analyzes the main definitionsand taxonomies of vulnerability,studies vulnerability database and tools for vulnerability analysis and detection,andgives the details about what caused the most common vnlnerabilities in the LINUX/UNIX operating systems. 展开更多

关键词 软件脆弱性 软件设计 软件系统 程序编码 软件生命周期

在线阅读 下载PDF 职称材料

UVDA:自动化融合异构安全漏洞库框架的设计与实现 被引量：3

20

作者 温涛 张玉清 +1 位作者 刘奇旭 杨刚 《通信学报》 EI CSCD 北大核心 2015年第10期235-244,共10页

安全漏洞是网络安全的关键,漏洞库旨在收集、评估和发布安全漏洞信息。然而,漏洞库相互之间存在数据的冗余和异构,导致漏洞信息共享困难。针对上述问题,收集和分析了15个主流漏洞库共计84.2万条漏洞数据。基于文本挖掘技术提出了漏洞去... 安全漏洞是网络安全的关键,漏洞库旨在收集、评估和发布安全漏洞信息。然而,漏洞库相互之间存在数据的冗余和异构,导致漏洞信息共享困难。针对上述问题,收集和分析了15个主流漏洞库共计84.2万条漏洞数据。基于文本挖掘技术提出了漏洞去除重复的规则(准确率为94.4%),以及漏洞数据库融合(UVDA,uniform vulnerability database alliance)框架。最后在多个漏洞库上,实现了UVDA框架,实现过程完全自动化。生成的UVDA数据库已经应用于国家安全漏洞库,并且可以按照产品型号和时间进行统一的检索,推进了漏洞信息发布机制标准化进程。 展开更多

关键词 信息安全 数据融合 漏洞数据库 文本挖掘 UVDA

在线阅读 下载PDF 职称材料