軟件漏洞檢測(cè)與風(fēng)險(xiǎn)評(píng)估研究.pdf

1、借助網(wǎng)絡(luò)的迅猛發(fā)展，信息技術(shù)的規(guī)模也在不斷增大，其信息量、復(fù)雜程度也越來(lái)越高。這些信息技術(shù)帶來(lái)高效、便捷服務(wù)的同時(shí)也帶來(lái)了安全威脅，越來(lái)越多的信息泄密、網(wǎng)絡(luò)入侵破壞等。這些安全威脅嚴(yán)重破壞了經(jīng)濟(jì)的健康發(fā)展和增添了社會(huì)的不穩(wěn)定因素，而安全漏洞則是導(dǎo)致這些安全威脅的關(guān)鍵因素。
　　目前信息安全越來(lái)越受到重視，企業(yè)的信息被視為一種隱性財(cái)富。因此信息系統(tǒng)的防護(hù)越來(lái)越重要，而信息系統(tǒng)的主要組成部分是信息系統(tǒng)軟件，所以軟件中是否存在安全漏洞關(guān)

2、乎到信息系統(tǒng)防護(hù)的成敗。由于攻擊技術(shù)的發(fā)展速度越來(lái)越快，攻擊手段越來(lái)越多，防火墻、入侵檢測(cè)系統(tǒng)等安全防護(hù)手段已經(jīng)不能完全阻擋這些攻擊，因此，對(duì)軟件進(jìn)行漏洞檢測(cè)和漏洞風(fēng)險(xiǎn)安全評(píng)估以發(fā)現(xiàn)漏洞并確定其危險(xiǎn)程度是一種有效的防護(hù)手段。所以，軟件漏洞的檢測(cè)和評(píng)估被眾多學(xué)者所研究。針對(duì)軟件漏洞的檢測(cè)與評(píng)估，本文所做的工作主要有以下幾點(diǎn)：
　　1)介紹了軟件安全漏洞的定義，總結(jié)比較了多種軟件漏洞分類(lèi)方法，比如Microsoft公式的分類(lèi)方法、CV

3、E組織的分類(lèi)方法和Fortify Software公司的分類(lèi)方法。還分別介紹了多種軟件安全漏洞的產(chǎn)生的原因和軟件安全漏洞所造成的各種危害。
　　2)重點(diǎn)詳細(xì)分析了軟件漏洞檢測(cè)技術(shù)，主要包括靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)，并且針對(duì)每一種檢測(cè)技術(shù)中所包括的各種方法都分析了其優(yōu)點(diǎn)和缺點(diǎn)，并都認(rèn)真做了總結(jié)和對(duì)比，而且還列舉了各種方法的適用環(huán)境。
　　3)通過(guò)對(duì)漏洞檢測(cè)技術(shù)和檢測(cè)工具的學(xué)習(xí)和研究，發(fā)現(xiàn)單個(gè)靜態(tài)檢測(cè)工具的漏報(bào)率和誤報(bào)率很高，

4、無(wú)法滿足用戶對(duì)精度的要求，本文結(jié)合軟集和屬性集提出了基于軟集和多屬性集的綜合漏洞檢測(cè)方法。實(shí)驗(yàn)表明該方法是行之有效的，對(duì)不同級(jí)別的漏洞均有較好的檢測(cè)能力。
　　4)分析了CVSS(Common Vulnerability Scoring System)漏洞評(píng)價(jià)機(jī)制、基于攻擊路徑的安全漏洞風(fēng)險(xiǎn)評(píng)估和基于 OVAL(Open Vulnerability and Assessment Language)的漏洞評(píng)估，針對(duì)其不足之處，本文提