軟件漏洞檢測與風險評估研究

1、密級桂林電子科技大學碩士學位論文題目軟件漏洞檢測與風險評估研究軟件漏洞檢測與風險評估研究（英文）（英文）Softwarevulnerabilitydetectionriskassessmentresearch研究生學研究生學號:1208521210研究生姓研究生姓名:田吉龍指導教師姓名、職務指導教師姓名、職務:唐成華副教授申請學位門申請學位門類:工程碩士學科、專業(yè)名學科、專業(yè)名稱:軟件工程提交論文日提交論文日期:2014年10月論文答辯

2、日論文答辯日期:2014年12月萬方數據摘要I摘要借助網絡的迅猛發(fā)展，信息技術的規(guī)模也在不斷增大，其信息量、復雜程度也越來越高。這些信息技術帶來高效、便捷服務的同時也帶來了安全威脅，越來越多的信息泄密、網絡入侵破壞等。這些安全威脅嚴重破壞了經濟的健康發(fā)展和增添了社會的不穩(wěn)定因素，而安全漏洞則是導致這些安全威脅的關鍵因素。目前信息安全越來越受到重視，企業(yè)的信息被視為一種隱性財富。因此信息系統(tǒng)的防護越來越重要，而信息系統(tǒng)的主要組成部分是信息

3、系統(tǒng)軟件，所以軟件中是否存在安全漏洞關乎到信息系統(tǒng)防護的成敗。由于攻擊技術的發(fā)展速度越來越快，攻擊手段越來越多，防火墻、入侵檢測系統(tǒng)等安全防護手段已經不能完全阻擋這些攻擊，因此，對軟件進行漏洞檢測和漏洞風險安全評估以發(fā)現漏洞并確定其危險程度是一種有效的防護手段。所以，軟件漏洞的檢測和評估被眾多學者所研究。針對軟件漏洞的檢測與評估，本文所做的工作主要有以下幾點：1)介紹了軟件安全漏洞的定義，總結比較了多種軟件漏洞分類方法，比如Micros

4、oft公式的分類方法、CVE組織的分類方法和FtifySoftware公司的分類方法。還分別介紹了多種軟件安全漏洞的產生的原因和軟件安全漏洞所造成的各種危害。2)重點詳細分析了軟件漏洞檢測技術，主要包括靜態(tài)檢測技術和動態(tài)檢測技術，并且針對每一種檢測技術中所包括的各種方法都分析了其優(yōu)點和缺點，并都認真做了總結和對比，而且還列舉了各種方法的適用環(huán)境。3)通過對漏洞檢測技術和檢測工具的學習和研究，發(fā)現單個靜態(tài)檢測工具的漏報率和誤報率很高，無法

5、滿足用戶對精度的要求，本文結合軟集和屬性集提出了基于軟集和多屬性集的綜合漏洞檢測方法。實驗表明該方法是行之有效的，對不同級別的漏洞均有較好的檢測能力。4)分析了CVSS(CommonVulnerabilityScingSystem)漏洞評價機制、基于攻擊路徑的安全漏洞風險評估和基于OVAL(OpenVulnerabilityAssessmentLanguage)的漏洞評估，針對其不足之處，本文提出了基于遺傳模糊層次分析法(GAFAHP)