基于攻防博弈的网络系统动态风险评估模型

1

作者 张红斌 米佳美 +1 位作者 左珺 刘滨 《河北科技大学学报》 北大核心 2025年第3期342-354,共13页

针对现有模型在处理开源软件供应链中复杂依赖关系和潜在威胁路径时过于简化,难以应对大数据时代背景下网络系统中的开源风险问题,提出基于攻防博弈的网络系统动态风险评估模型。首先,整合系统拓扑结构信息、开源组件信息以及漏洞信息... 针对现有模型在处理开源软件供应链中复杂依赖关系和潜在威胁路径时过于简化,难以应对大数据时代背景下网络系统中的开源风险问题,提出基于攻防博弈的网络系统动态风险评估模型。首先,整合系统拓扑结构信息、开源组件信息以及漏洞信息构建开源风险传播知识图谱;其次,基于知识图谱设计威胁路径生成算法以获取威胁路径,并评估其潜在风险,确定最大可能威胁路径;最后,引入随机博弈的思想,建立基于风险博弈的网络系统风险评估模型NSRAM-RG,分析攻防双方针对最大可能威胁路径的博弈行为,动态更新知识图谱,并依据双方效用函数来量化评估网络系统的风险。结果表明,所提模型的评估结果与真实值的拟合程度优于HMM(隐马尔可夫模型)和AHP(层次分析法),能够更准确地反映系统的风险变化。所提模型能够有效地量化评估系统中的开源风险,为开源软件供应链的安全管理提供了新的思路。 展开更多

关键词 计算机网络 开源软件供应链安全 知识图谱 随机博弈 风险评估

在线阅读 下载PDF 职称材料

基于命名实体识别的大规模物联网二进制组件识别

2

作者 张立孝 马垚 +2 位作者 杨玉丽 于丹 陈永乐 《计算机应用》 北大核心 2025年第7期2288-2295,共8页

物联网(IoT)设备厂商在固件开发中通常会大量复用基于开源代码编译而成的开源组件,每个固件通常由上百个这样的组件构成。如果这些组件未能及时更新,未打上安全补丁的开源组件可能会携带着漏洞集成到固件中,进而给IoT设备埋下安全隐患... 物联网(IoT)设备厂商在固件开发中通常会大量复用基于开源代码编译而成的开源组件,每个固件通常由上百个这样的组件构成。如果这些组件未能及时更新,未打上安全补丁的开源组件可能会携带着漏洞集成到固件中,进而给IoT设备埋下安全隐患。因此,识别IoT固件中的二进制组件对于确保IoT设备的安全性至关重要。针对现有方法难以大规模识别二进制组件的问题,提出一种基于命名实体识别(NER)的大规模IoT二进制组件识别方法。首先,通过固件解压提取固件内部的二进制组件;然后,通过可读字符串提取和组件执行这两个方式获取组件的语义信息;最后,利用RoBERTa-BiLSTM-CRF的NER模型识别组件名和版本号。在12个流行的IoT生产商发布的6 575个固件上的实验结果表明,所提方法获得了87.67%的F1值,可成功识别163个二进制组件。可见,该方法有效扩大了IoT固件中二进制组件的识别范围,有助于从软件供应链的角度保障固件安全。 展开更多

关键词 物联网 软件供应链 组件识别 固件安全 命名实体识别

在线阅读 下载PDF 职称材料

基于语义分类的物联网固件中第三方组件识别

3

作者 马峰 于丹 +2 位作者 杨玉丽 马垚 陈永乐 《计算机工程与设计》 北大核心 2025年第1期274-281,共8页

为扩大物联网固件中第三方组件识别范围,从软件供应链层面研究物联网固件安全,提出一种基于语义短文本分类的第三方组件识别方法。通过固件解压提取内部第三方组件和模拟组件运行的方式获取组件语义输出数据,利用Skip-gram将语义输出转... 为扩大物联网固件中第三方组件识别范围,从软件供应链层面研究物联网固件安全,提出一种基于语义短文本分类的第三方组件识别方法。通过固件解压提取内部第三方组件和模拟组件运行的方式获取组件语义输出数据,利用Skip-gram将语义输出转化为词嵌入表示,通过卷积神经网络和双向门控循环单元分别提取语义信息局部特征和全局特征,经过多头注意力机制区分关键语义特征,输入到Softmax分类器中实现可用于识别组件的语义信息分类。通过在10个流行的物联网生产商发布的5453个固件上进行实验,验证了该方法可有效识别第三方组件。 展开更多

关键词 物联网 软件供应链 固件安全 短文本分类 卷积神经网络 双向门控循环单元 多头注意力

在线阅读 下载PDF 职称材料

开源软件供应链安全风险分析研究 被引量：5

4

作者 王江 姜伟 张璨 《信息安全研究》 CSCD 北大核心 2024年第9期862-869,共8页

开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全... 开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议. 展开更多

关键词 网络安全 软件安全 开源软件 软件供应链 开源软件供应链安全

在线阅读 下载PDF 职称材料

关键信息基础设施软件供应链风险分析及应对方法研究 被引量：7

5

作者 李祉岐 郭晨萌 +2 位作者 汤文玉 杨思敏 王雪岩 《信息安全研究》 CSCD 北大核心 2024年第9期833-839,共7页

关键信息基础设施中系统的安全保护至关重要,软件供应链风险分析在其中不可或缺.近年来供应链攻击事件迅速增长,形势严峻.以软件供应链威胁的主要诱因,如“外部”的软件成分、人员、支撑工具等要素的潜在问题分析为出发点,结合对国内外... 关键信息基础设施中系统的安全保护至关重要,软件供应链风险分析在其中不可或缺.近年来供应链攻击事件迅速增长,形势严峻.以软件供应链威胁的主要诱因,如“外部”的软件成分、人员、支撑工具等要素的潜在问题分析为出发点,结合对国内外政策和技术的现状研究,提出了针对电力行业系统的软件供应链安全保障框架,涵盖了外部组件治理、供应商管理、研运设施加固、软件物料清单应用机制4方面15组安全方法,并可持续扩展,旨在为电力行业重要信息系统的软件供应链安全防护提供参考. 展开更多

关键词 关键信息基础设施 系统安全 软件供应链 安全保障框架 电力行业

在线阅读 下载PDF 职称材料

基础软件供应链安全现状分析与对策建议 被引量：3

6

作者 张蕾 闻书韵 《信息安全研究》 CSCD 北大核心 2024年第8期780-784,共5页

基础软件是支撑计算机系统高效稳定运行的基石,决定数字基础设施发展的水平.以操作系统、数据库、中间件为代表的基础软件产业链在整个软件产业处于上游位置,直接影响下游产出的规模和效益.由于基础软件具有研发周期长、投入大等特点,... 基础软件是支撑计算机系统高效稳定运行的基石,决定数字基础设施发展的水平.以操作系统、数据库、中间件为代表的基础软件产业链在整个软件产业处于上游位置,直接影响下游产出的规模和效益.由于基础软件具有研发周期长、投入大等特点,在软件供应链日益复杂的环境下,逐渐引起各国重视并上升至国家战略高度.近年来,我国基础软件产业借助开源路径提速发展的同时,发生了众多基础软件供应链安全事件,带来了风险挑战.梳理了基础软件供应链安全现状,分析基础软件供应链面临的风险挑战,并从政策、产业、用户、生态4个层面提出合理化对策建议. 展开更多

关键词 基础软件 国家战略 供应链安全 风险挑战 对策建议

在线阅读 下载PDF 职称材料

国外ICT供应链安全管理研究及建议 被引量：24

7

作者 倪光南 陈晓桦 +2 位作者 尚燕敏 王海龙 徐克付 《中国工程科学》 北大核心 2016年第6期104-109,共6页

鉴于国家关键基础设施和关键资源(CIKR)对信息通信技术(ICT)的依赖,识别和控制ICT供应链风险已成为保障国家安全的重要手段。美国作为ICT供应链管理的先行者,在提升战略地位、开展风险管理、确保软硬件安全、监管政府采购等方面为各国... 鉴于国家关键基础设施和关键资源(CIKR)对信息通信技术(ICT)的依赖,识别和控制ICT供应链风险已成为保障国家安全的重要手段。美国作为ICT供应链管理的先行者,在提升战略地位、开展风险管理、确保软硬件安全、监管政府采购等方面为各国提供了丰富经验;欧盟、俄罗斯也加强了ICT供应链的安全管理。在分析上述国外情况的基础上,给出了完善我国ICT供应链安全管理的相关建议。 展开更多

关键词 供应链风险管理 硬件供应链 软件供应链 采购安全

在线阅读 下载PDF 职称材料

电力调度自动化软件安全态势评估方法 被引量：13

8

作者 刘玉岭 唐云善 +1 位作者 张琦 李枫 《信息网络安全》 CSCD 北大核心 2019年第8期15-21,共7页

针对智能电网中安全态势感知面临态势要素多源异构的问题,文章从电力调度自动化软件自身安全、网络环境安全和供应链安全三方面出发构建了安全态势感知模型,引入灰色理论来处理精确值、估计值、定性值和定量值混杂存在的情形,并使用不... 针对智能电网中安全态势感知面临态势要素多源异构的问题,文章从电力调度自动化软件自身安全、网络环境安全和供应链安全三方面出发构建了安全态势感知模型,引入灰色理论来处理精确值、估计值、定性值和定量值混杂存在的情形,并使用不确定性推理模型来实现安全态势要素间模糊影响关系的测度。实验证明,该模型和方法具有实用性和有效性。 展开更多

关键词 智能电网 电力调度 软件安全 态势感知 供应链安全

在线阅读 下载PDF 职称材料

开源软件供应链安全研究综述 被引量：32

9

作者 纪守领 王琴应 +7 位作者 陈安莹 赵彬彬 叶童 张旭鸿 吴敬征 李昀 尹建伟 武延军 《软件学报》 EI CSCD 北大核心 2023年第3期1330-1364,共35页

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源... 随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结. 展开更多

关键词 开源软件供应链 风险识别 风险管理 安全加固

在线阅读 下载PDF 职称材料

程序逆向分析在软件供应链污染检测中的应用研究综述 被引量：6

10

作者 武振华 张超 +1 位作者 孙贺 颜学雄 《计算机应用》 CSCD 北大核心 2020年第1期103-115,共13页

近年来软件供应链(SSC)安全问题频发,给软件安全研究带来了巨大挑战。在每天新发布的海量软件的情况下,自动化SSC污染检测变得非常重要。首先剖析和阐述了SSC污染检测问题,之后着眼于在SSC下游开展污染检测的需求,详细介绍了程序逆向分... 近年来软件供应链(SSC)安全问题频发,给软件安全研究带来了巨大挑战。在每天新发布的海量软件的情况下,自动化SSC污染检测变得非常重要。首先剖析和阐述了SSC污染检测问题,之后着眼于在SSC下游开展污染检测的需求,详细介绍了程序逆向分析技术及其在SSC污染检测中的应用,最后总结分析了现有技术在SSC污染检测任务中存在的不足与挑战,给出了克服这些挑战的若干值得研究的课题。 展开更多

关键词 软件供应链 污染检测 程序逆向分析 软件安全

在线阅读 下载PDF 职称材料

开源软件供应链安全风险分析 被引量：16

11

作者 齐越 刘金芳 李宁 《信息安全研究》 2021年第9期790-794,共5页

当前,网络产品中大量应用了开源软件,开源已成为软件供应链中的重要一环,其安全性和可控性问题日渐突出.西方国家对开源组织及开源项目政策上的主导优势,对我国相应网络产品供应链安全产生了极大影响.从网络安全工作出发,结合软件开源... 当前,网络产品中大量应用了开源软件,开源已成为软件供应链中的重要一环,其安全性和可控性问题日渐突出.西方国家对开源组织及开源项目政策上的主导优势,对我国相应网络产品供应链安全产生了极大影响.从网络安全工作出发,结合软件开源代码成分分析结果,对开源软件供应链存在的安全风险进行了研究和分析,提出完善开源软件供应链安全管理的建议. 展开更多

关键词 安全风险 网络安全 开源软件 供应链 网络产品

在线阅读 下载PDF 职称材料

开源软件供应链安全风险分析与发展建议 被引量：13

12

作者 苏仟 赵娆 《信息安全研究》 2022年第8期831-835,共5页

当前,开源已成为人类超大规模智力协同的最佳组织方式之一,也成为科技创新的“主战场”,在世界范围内迎来大发展.与此同时,开源软件也成为软件供应链攻击的成熟目标,面临着安全漏洞、知识产权、开源管制等风险.通过对开源软件供应链安... 当前,开源已成为人类超大规模智力协同的最佳组织方式之一,也成为科技创新的“主战场”,在世界范围内迎来大发展.与此同时,开源软件也成为软件供应链攻击的成熟目标,面临着安全漏洞、知识产权、开源管制等风险.通过对开源软件供应链安全现状和风险进行分析,提出开源软件开发安全解决方案,并对开源软件供应链的发展提出建议. 展开更多

关键词 开源 软件供应链 安全漏洞 产权风险 开源管制 安全开发方案

在线阅读 下载PDF 职称材料

基于依赖关系的容器供应链脆弱性检测方法 被引量：1

13

作者 夏懿航 张志龙 +1 位作者 王木子 陈力波 《信息网络安全》 CSCD 北大核心 2023年第2期76-84,共9页

容器作为一种轻量化隔离方法,具有方便部署、易于移植等特点,近年来发展很快。容器的隔离性阻碍了内部软件成分被外部检测工具所获知,导致软件成分分析、安全评估等无法有效开展,阻碍了软件供应链安全检测。为了解决此问题,文章提出基... 容器作为一种轻量化隔离方法,具有方便部署、易于移植等特点,近年来发展很快。容器的隔离性阻碍了内部软件成分被外部检测工具所获知,导致软件成分分析、安全评估等无法有效开展,阻碍了软件供应链安全检测。为了解决此问题,文章提出基于依赖关系的容器供应链脆弱性检测方法,区别于利用分析工具在容器运行时进行检测的方法,该方法以镜像为粒度,利用不同镜像中各个层之间的相关性,在解构镜像的基础上提取基于镜像依赖关系形成的软件供应链,能够检测到镜像内容依赖、执行配置依赖和动态构建依赖等多个维度导致的供应链安全问题。实验结果表明,文章所提方法在应对软件供应链的安全威胁时能发挥很好的检测作用,高效地发现了公开容器仓储(如Docker Hub)中存在的大量供应链安全隐患。 展开更多

关键词 软件供应链 容器安全 安全检测 多维度依赖

在线阅读 下载PDF 职称材料