軟件漏洞檢測(cè)與風(fēng)險(xiǎn)評(píng)估研究

1、密級(jí)桂林電子科技大學(xué)碩士學(xué)位論文題目軟件漏洞檢測(cè)與風(fēng)險(xiǎn)評(píng)估研究軟件漏洞檢測(cè)與風(fēng)險(xiǎn)評(píng)估研究（英文）（英文）Softwarevulnerabilitydetectionriskassessmentresearch研究生學(xué)研究生學(xué)號(hào):1208521210研究生姓研究生姓名:田吉龍指導(dǎo)教師姓名、職務(wù)指導(dǎo)教師姓名、職務(wù):唐成華副教授申請(qǐng)學(xué)位門申請(qǐng)學(xué)位門類:工程碩士學(xué)科、專業(yè)名學(xué)科、專業(yè)名稱:軟件工程提交論文日提交論文日期:2014年10月論文答辯

2、日論文答辯日期:2014年12月萬方數(shù)據(jù)摘要I摘要借助網(wǎng)絡(luò)的迅猛發(fā)展，信息技術(shù)的規(guī)模也在不斷增大，其信息量、復(fù)雜程度也越來越高。這些信息技術(shù)帶來高效、便捷服務(wù)的同時(shí)也帶來了安全威脅，越來越多的信息泄密、網(wǎng)絡(luò)入侵破壞等。這些安全威脅嚴(yán)重破壞了經(jīng)濟(jì)的健康發(fā)展和增添了社會(huì)的不穩(wěn)定因素，而安全漏洞則是導(dǎo)致這些安全威脅的關(guān)鍵因素。目前信息安全越來越受到重視，企業(yè)的信息被視為一種隱性財(cái)富。因此信息系統(tǒng)的防護(hù)越來越重要，而信息系統(tǒng)的主要組成部分是信息

3、系統(tǒng)軟件，所以軟件中是否存在安全漏洞關(guān)乎到信息系統(tǒng)防護(hù)的成敗。由于攻擊技術(shù)的發(fā)展速度越來越快，攻擊手段越來越多，防火墻、入侵檢測(cè)系統(tǒng)等安全防護(hù)手段已經(jīng)不能完全阻擋這些攻擊，因此，對(duì)軟件進(jìn)行漏洞檢測(cè)和漏洞風(fēng)險(xiǎn)安全評(píng)估以發(fā)現(xiàn)漏洞并確定其危險(xiǎn)程度是一種有效的防護(hù)手段。所以，軟件漏洞的檢測(cè)和評(píng)估被眾多學(xué)者所研究。針對(duì)軟件漏洞的檢測(cè)與評(píng)估，本文所做的工作主要有以下幾點(diǎn)：1)介紹了軟件安全漏洞的定義，總結(jié)比較了多種軟件漏洞分類方法，比如Micros

4、oft公式的分類方法、CVE組織的分類方法和FtifySoftware公司的分類方法。還分別介紹了多種軟件安全漏洞的產(chǎn)生的原因和軟件安全漏洞所造成的各種危害。2)重點(diǎn)詳細(xì)分析了軟件漏洞檢測(cè)技術(shù)，主要包括靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)，并且針對(duì)每一種檢測(cè)技術(shù)中所包括的各種方法都分析了其優(yōu)點(diǎn)和缺點(diǎn)，并都認(rèn)真做了總結(jié)和對(duì)比，而且還列舉了各種方法的適用環(huán)境。3)通過對(duì)漏洞檢測(cè)技術(shù)和檢測(cè)工具的學(xué)習(xí)和研究，發(fā)現(xiàn)單個(gè)靜態(tài)檢測(cè)工具的漏報(bào)率和誤報(bào)率很高，無法

5、滿足用戶對(duì)精度的要求，本文結(jié)合軟集和屬性集提出了基于軟集和多屬性集的綜合漏洞檢測(cè)方法。實(shí)驗(yàn)表明該方法是行之有效的，對(duì)不同級(jí)別的漏洞均有較好的檢測(cè)能力。4)分析了CVSS(CommonVulnerabilityScingSystem)漏洞評(píng)價(jià)機(jī)制、基于攻擊路徑的安全漏洞風(fēng)險(xiǎn)評(píng)估和基于OVAL(OpenVulnerabilityAssessmentLanguage)的漏洞評(píng)估，針對(duì)其不足之處，本文提出了基于遺傳模糊層次分析法(GAFAHP)