CN105046155B - 软件系统漏洞风险评估方法及装置 - Google Patents

软件系统漏洞风险评估方法及装置 Download PDF

Info

Publication number
CN105046155B
CN105046155B CN201510355563.7A CN201510355563A CN105046155B CN 105046155 B CN105046155 B CN 105046155B CN 201510355563 A CN201510355563 A CN 201510355563A CN 105046155 B CN105046155 B CN 105046155B
Authority
CN
China
Prior art keywords
software
loophole
kit
risk
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510355563.7A
Other languages
English (en)
Other versions
CN105046155A (zh
Inventor
王兵
邓波
李海龙
赵亮
王峰
施寅生
许帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing System Engineering Research Institute
Original Assignee
Beijing System Engineering Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing System Engineering Research Institute filed Critical Beijing System Engineering Research Institute
Priority to CN201510355563.7A priority Critical patent/CN105046155B/zh
Publication of CN105046155A publication Critical patent/CN105046155A/zh
Application granted granted Critical
Publication of CN105046155B publication Critical patent/CN105046155B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Stored Programmes (AREA)

Abstract

本发明实施例公开了一种软件系统漏洞风险评估方法及装置,涉及信息安全技术领域,解决了现有技术中不能直观准确地对软件系统存在的安全风险进行综合评估的问题。所述软件系统漏洞风险评估方法包括:对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络;获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。本发明的实施例主要用于对复杂软件系统漏洞风险进行评估。

Description

软件系统漏洞风险评估方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种软件系统漏洞风险评估方法及装置。
背景技术
随着软件系统越来越复杂,规模越来越庞大,促使了组件化软件开发等现代软件工程方法的应用,软件系统往往不会从零全新开发,而会大量引用或依赖于其他第三方软件。这些软件以软件包、组件、函数库、模块、Web服务等形式存在,通过一致的接口规范,使用函数调用、数据传递、模块组合等方式进行交互,可共同组成大规模复杂的大型软件系统。组件化的软件工程开发方法,有利于组件的重用,可快速利用已有的组件构建复杂应用,能够大幅提高软件开发效率。一些组件由于实现了重要的基础功能,并且可免费获取开放源代码,具有较高的声誉和很广的使用范围,因此这些组件更可能被用于其他软件系统的开发。
尽管依赖第三方软件包有利于进行软件系统的开发,但是给软件系统的安全带来潜在的隐患。这主要是因为开发者使用第三方软件包时,往往会因为软件包是开放的而且具有较高的声誉,只重视其所提供的功能而不会对软件包的安全性进行审计,当软件系统引入软件包时则可能将其脆弱性一并带入;其次,软件测试或维护人员往往将工作重心放置在自身业务功能方面,容易忽视对所依赖的第三方软件包进行及时的升级和维护。
目前,用于软件系统安全风险评估的技术手段有:功能验证、安全漏洞扫描、模拟攻击和侦听技术。
功能验证是采用软件黑盒测试方法对具体的软件功能模块进行验证。该方法适合对单个软件模块或小型软件系统进行评估,而难以用于大规模复杂软件系统。
安全漏洞扫描通常借助特定的漏洞扫描器对软件系统进行检测,能够发现系统中存在的安全漏洞,有利于及时防范避免造成严重的危害。该方法不能有效评估安全漏洞对整体系统的影响,而且往往不能发现新近披露的漏洞。
模拟攻击测试也称渗透测试,采用模拟拒绝服务、缓冲区溢出、木马病毒等实际攻击手段来验证软件系统的安全防护能力。该技术手段类似于一组特殊的软件黑盒测试案例,对系统的测试覆盖率难以保证。
侦听技术主要是通过分析系统的运行轨迹、运行中的行为以及数据通信等信息,从而推断系统的安全性。该方法难以全面、准确地评估软件系统的安全性。
在实现本发明的过程中,发明人发现现有技术中至少存在如下技术问题:
现有的软件系统安全风险评估方法不能直观准确地对软件系统存在的安全风险进行综合评估。
发明内容
本发明提供的软件系统漏洞风险评估方法及装置,能够对软件系统的安全风险进行直观准确的综合评估。
一方面,本发明提供一种软件系统漏洞风险评估方法,包括:
对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;
获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;
根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;
基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
另一方面,本发明提供一种软件系统漏洞风险评估装置,包括:
依赖网络构建单元,用于对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;
关联关系构建单元,用于获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;
依赖关系子图构建单元,用于根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;
风险评估单元,用于基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
本发明提供的软件系统漏洞风险评估方法及装置,对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,并获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系,根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图,基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。与现有技术相比,本发明基于软件依赖网络来评估漏洞对软件系统带来的影响,能够对软件系统的安全风险进行更加直观准确的综合评估。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例1提供的软件系统漏洞风险评估方法的流程图;
图2为软件依赖网络示例图;
图3为查询与file软件包有直接依赖关系的软件包子图示例图;
图4为查询与file软件包有间接依赖关系的软件包子图示例图;
图5为图1中S14的流程图;
图6为节点重要度系数的计算示例图;
图7为本发明实施例2提供的软件系统漏洞风险评估装置的结构示意图;
图8为图7中风险评估单元14的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1
本发明实施例提供一种软件系统漏洞风险评估方法,如图1所示,所述软件系统漏洞风险评估方法包括:
S11、对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件。
例如:Ubuntu系统中的/dists/lucid/main/binary-i386/packages.gz文件,从元数据中可以获取系统中每一个软件包的信息,包括软件包名称、依赖软件包、优先级等。
通过依赖软件包信息构建系统中所有软件包的依赖关系网络图G(V,E),即软件依赖网络,其中,V表示图的所有节点集合,E表示所有边的集合。例如,从元数据中读取到软件包B依赖于软件包A,软件包C依赖于软件包B,软件包D依赖于软件包B,则可形成软件依赖网络如图2中所示。
其中圆形节点表示软件包,圆形节点之间的有向连接边表示软件包之间的依赖关系。图中软件包B依赖于软件包A;软件包C和软件包D依赖于软件包B,并间接依赖于软件包A;A->B->C和A->B->D为软件依赖链,整个图即构成该软件系统的软件包依赖网络。节点的连接数称为度,根据方向可细分为入度和出度,图中节点B的度为3,其中入度为1,出度为2。
S12、获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系。
具体地,从公开漏洞网络中获取漏洞信息,所述漏洞信息包括漏洞名称、受影响软件包、安全等级、漏洞描述等数据信息;根据所述漏洞信息,构建漏洞与软件包之间的关联关系。
例如,从公开漏洞网站Ubuntu CVE Tracker
(http://people.canonical.com/~ubuntu-security/cve/main.html)中获取一条漏洞信息CVE-2014-9426,可获得其漏洞名称为CVE-2014-9426,受影响软件包为php5和file,安全等级为中等,漏洞描述为:“The apprentice_load function in libmagic/apprentice.c in the Fileinfo component in PHP through 5.6.4attempts toperform a free operation on a stack-based character array,which allows remoteattackers to cause a denial of service(memory corruption or applicationcrash)or possibly have unspecified other impact via unknown vectors.”据此信息,可构建漏洞与软件包之间的关联关系,即软件包php5->CVE-2014-9426,软件包file->CVE-2014-9426。
S13、根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图。
例如,从步骤S11得到的G(V,E)中查询与php5和file两个软件包存在依赖关系的软件包,得到依赖关系子图G’(V’,E’),其中,E’为V’内所有节点之间的边的集合,即:任意一个软件包节点v属于V’,都有v依赖于php5软件包或者v依赖于file软件包。得到的直接依赖软件包子图如图3所示,其中,中心节点为file软件包,其他节点为直接调用file的软件包。
通过查询依赖于G’(V’,E’)中所有节点的软件包,可构建间接依赖该软件包的依赖关系子图,以此类推,可查询出所有此类依赖关系的软件包,得到最后的软件包依赖关系子图,如图4所示,中心节点O为file软件包,其他节点为直接或间接调用file的软件包。
S14、基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
进一步地,如图5所示,所述步骤S14包括:
S141、计算所述软件包依赖关系子图中各节点的重要度系数。
通常,节点被调用的越多,调用它的软件包节点越重要,该软件包的重要性也越高。在这里,用标准PageRank算法来度量每个节点的重要程度。
计算公式为:
其中PR(A)为A的PageRank值,C(i)为节点i的出度,BA为所有指向A的节点集,d为阻尼系数,表示任意节点间存在依赖关系的概率,这里将1-d设为每个节点重要程度的最小值。
被调用的软件包的节点重要度系数等于调用它的各个软件包的节点重要度系数之和。如图6所示,节点1、2、3、4的重要度系数分别为S1、S2、S3、S4,节点1与节点2、3、4存在依赖关系,节点1的重要度系数S1=S2+S3+S4,这里的S1、S2、S3、S4即根据上述公式计算得到的PR值。
其中,每一个节点的重要度系数计算都要考虑调用它的上一级节点,而上一级节点的重要度系数计算同样要考虑其更上一级的节点。
S142、确定所述漏洞的漏洞威胁系数。
具体地,确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数.
其中,漏洞分为8个安全等级:不易受攻击的(Not Vulnerable)、待定的(Pending)、未知的(Unknown)、可以忽略的(Negligible)、低(Low)、中(Medium)、高(High)、危险的(Critical),将8个安全等级分别对应0~7,以此作为漏洞的威胁系数RL。
S143、根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值。
计算公式为:
其中,RISK_Si为节点i的漏洞风险值,Step为间接依赖的级数,直接依赖于漏洞所影响软件包的软件包的Step为1。
S144、根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞风险值。
具体地,采用权重分析法,计算所有关联节点的综合漏洞风险值的加权和,即是综合漏洞风险值TOTAL_RISK:
其中,T_Pi为各关联节点i在整个网络图中的权重,此权重等于该节点的重要度系数Si,RISK_Si为节点i的漏洞风险值。
本发明提供的软件系统漏洞风险评估方法,对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,并获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系,根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图,基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。与现有技术相比,本发明基于软件依赖网络来评估漏洞对软件系统带来的影响,能够对软件系统的安全风险进行更加直观准确的综合评估。
实施例2
本实施例提供一种软件系统漏洞风险评估装置,如图7所示,所述软件系统漏洞风险评估装置包括:
依赖网络构建单元11,用于对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;
关联关系构建单元12,用于获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;
依赖关系子图构建单元13,用于根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;
风险评估单元14,用于基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
进一步地,如图8所示,所述风险评估单元14包括:
重要度系数计算模块141,用于计算所述软件包依赖关系子图中各节点的重要度系数;
漏洞威胁系数确定模块142,用于确定所述漏洞的漏洞威胁系数;
漏洞风险值计算模块143,用于根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值;
综合漏洞风险值计算模块144,用于根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞风险值。
进一步地,所述漏洞威胁系数确定模块142,用于确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数。
可选地,所述软件包信息包括软件包名称、依赖软件包、优先级。
可选地,所述漏洞信息包括漏洞名称、受影响软件包、安全等级、漏洞描述。
本发明提供的软件系统漏洞风险评估装置,对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,并获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系,根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图,基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。与现有技术相比,本发明基于软件依赖网络来评估漏洞对软件系统带来的影响,能够对软件系统的安全风险进行更加直观准确的综合评估。
本发明实施例软件系统漏洞风险评估方法及装置,可以适用于对复杂软件系统漏洞风险进行评估,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种软件系统漏洞风险评估方法,其特征在于,包括:
对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;
获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;
根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;
基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
2.根据权利要求1所述的方法,其特征在于,所述基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险包括:
计算所述软件包依赖关系子图中各节点的重要度系数;
确定所述漏洞的漏洞威胁系数;
根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值;
根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞风险值。
3.根据权利要求2所述的方法,其特征在于,所述确定所述漏洞的漏洞威胁系数包括:确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述软件包信息包括软件包名称、依赖软件包、优先级。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述漏洞信息包括漏洞名称、受影响软件包、安全等级、漏洞描述。
6.一种软件系统漏洞风险评估装置,其特征在于,包括:
依赖网络构建单元,用于对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;
关联关系构建单元,用于获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;
依赖关系子图构建单元,用于根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;
风险评估单元,用于基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
7.根据权利要求6所述的装置,其特征在于,所述风险评估单元包括:
重要度系数计算模块,用于计算所述软件包依赖关系子图中各节点的重要度系数;
漏洞威胁系数确定模块,用于确定所述漏洞的漏洞威胁系数;
漏洞风险值计算模块,用于根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值;
综合漏洞风险值计算模块,用于根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞风险值。
8.根据权利要求7所述的装置,其特征在于,所述漏洞威胁系数确定模块,用于确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数。
9.根据权利要求6至8中任一项所述的装置,其特征在于,所述软件包信息包括软件包名称、依赖软件包、优先级。
10.根据权利要求6至8中任一项所述的装置,其特征在于,所述漏洞信息包括漏洞名称、受影响软件包、安全等级、漏洞描述。
CN201510355563.7A 2015-06-24 2015-06-24 软件系统漏洞风险评估方法及装置 Expired - Fee Related CN105046155B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510355563.7A CN105046155B (zh) 2015-06-24 2015-06-24 软件系统漏洞风险评估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510355563.7A CN105046155B (zh) 2015-06-24 2015-06-24 软件系统漏洞风险评估方法及装置

Publications (2)

Publication Number Publication Date
CN105046155A CN105046155A (zh) 2015-11-11
CN105046155B true CN105046155B (zh) 2018-05-08

Family

ID=54452692

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510355563.7A Expired - Fee Related CN105046155B (zh) 2015-06-24 2015-06-24 软件系统漏洞风险评估方法及装置

Country Status (1)

Country Link
CN (1) CN105046155B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9760349B1 (en) 2016-11-09 2017-09-12 Red Hat, Inc. Managing different software dependencies associated with source code
CN106991325B (zh) * 2017-03-02 2020-10-02 北京理工大学 一种软件漏洞的防护方法和装置
US10572669B2 (en) 2017-08-14 2020-02-25 Onapsis, Inc. Checking for unnecessary privileges with entry point finder
US11443046B2 (en) * 2017-08-14 2022-09-13 Onapsis, Inc. Entry point finder
US10719609B2 (en) 2017-08-14 2020-07-21 Onapsis, Inc. Automatic impact detection after patch implementation with entry point finder
CN109558736B (zh) * 2018-11-22 2022-12-09 浙江国利网安科技有限公司 一种丰富工业控制系统攻击样本的工业未知威胁构建方法与威胁生成系统
CN109714355A (zh) * 2019-01-08 2019-05-03 中国人民解放军火箭军工程大学 一种用于VxWorks系统的漏洞分析利用方法
CN109753807B (zh) * 2019-01-09 2021-08-10 国家保密科技测评中心 安全检测方法和装置
CN110287704B (zh) * 2019-06-25 2021-03-26 北京中科微澜科技有限公司 一种基于漏洞图谱的漏洞软件依赖关系构建方法
CN110414239B (zh) * 2019-06-28 2021-09-03 奇安信科技集团股份有限公司 一种软件供应链安全分析方法及装置
CN110618931A (zh) * 2019-08-14 2019-12-27 重庆金融资产交易所有限责任公司 依赖关系检测方法、装置、计算机设备及可读存储介质
CN110990291A (zh) * 2019-12-16 2020-04-10 沈阳信安盟科技有限公司 一种基于节点重要度评估的回归测试用例优先级排序方法
CN111639033B (zh) * 2020-06-03 2021-11-02 厦门力含信息技术服务有限公司 软件安全威胁分析方法与系统
CN113536318B (zh) * 2021-06-30 2022-12-09 北京紫光展锐通信技术有限公司 信息处理方法及相关装置
DE102022122125A1 (de) 2022-09-01 2024-03-07 Audi Aktiengesellschaft Verfahren und Prozessorschaltung zum Betreiben eines Computernetzwerks, um bekannte Sicherheitslücken zu verorten und abzuschirmen, sowie Computernetzwerk, Speichermedium und Kraftfahrzeug
DE102022122124A1 (de) 2022-09-01 2024-03-07 Audi Aktiengesellschaft Verfahren und Prozessorschaltung zum Schützen eines Computernetzwerks bei Erkennen von angreifbaren Schwachstellen sowie computerlesbares Speichermedium, Computernetzwerk und Kraftfahrzeug
CN117556432A (zh) * 2024-01-12 2024-02-13 北京北大软件工程股份有限公司 一种基于传播影响分析的同源漏洞安全响应方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996330A (zh) * 2005-09-22 2007-07-11 阿尔卡特公司 对网络相关性安全风险评估的割集应用
CN101527649A (zh) * 2008-03-07 2009-09-09 北京启明星辰信息技术股份有限公司 一种基于安全依赖关系的风险评估方法和系统
CN102750444A (zh) * 2012-06-05 2012-10-24 西安交通大学 基于进程资源依赖网络的代码风险性评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8346694B2 (en) * 2004-12-21 2013-01-01 University Of Virginia Patent Foundation Method and system for dynamic probabilistic risk assessment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996330A (zh) * 2005-09-22 2007-07-11 阿尔卡特公司 对网络相关性安全风险评估的割集应用
CN101527649A (zh) * 2008-03-07 2009-09-09 北京启明星辰信息技术股份有限公司 一种基于安全依赖关系的风险评估方法和系统
CN102750444A (zh) * 2012-06-05 2012-10-24 西安交通大学 基于进程资源依赖网络的代码风险性评估方法

Also Published As

Publication number Publication date
CN105046155A (zh) 2015-11-11

Similar Documents

Publication Publication Date Title
CN105046155B (zh) 软件系统漏洞风险评估方法及装置
Petsios et al. Slowfuzz: Automated domain-independent detection of algorithmic complexity vulnerabilities
Xiong et al. Cyber security threat modeling based on the MITRE Enterprise ATT&CK Matrix
US7490268B2 (en) Methods and systems for repairing applications
CN102171657B (zh) 实体信誉评分的简化传送
Hughes et al. Quantitative metrics and risk assessment: The three tenets model of cybersecurity
CN109246153A (zh) 网络安全态势分析模型和网络安全评估方法
Shatnawi Deriving metrics thresholds using log transformation
Izurieta et al. Leveraging secdevops to tackle the technical debt associated with cybersecurity attack tactics
Munaiah et al. Beyond the attack surface: Assessing security risk with random walks on call graphs
Oliveira et al. An approach for benchmarking the security of web service frameworks
CN116628705A (zh) 一种数据安全处理方法、系统、电子设备及存储介质
CN105468970A (zh) 一种基于防御网的Android应用防篡改方法及系统
McBride et al. Security analysis of Contiki IoT operating system
CN111291378A (zh) 威胁情报判研方法及装置
Vavoulas et al. A quantitative risk analysis approach for deliberate threats
Wirth Log Jam: Lesson Learned from the Log4Shell Vulnerability
Trifonov et al. Automation of cyber security incident handling through artificial intelligence methods
Basile et al. Automatic discovery of software attacks via backward reasoning
Ullah et al. Cyber Threat Analysis Based on Characterizing Adversarial Behavior for Energy Delivery System
Aigner et al. An effective semantic security metric for industrial cyber-physical systems
Liao Generating Targeted Attack Scenarios against Availability for Critical Infrastructures
Halkidis et al. Quantitative evaluation of systems with security patterns using a fuzzy approach
Le et al. Software Vulnerability Prediction in Low-Resource Languages: An Empirical Study of CodeBERT and ChatGPT
Gudka et al. Clean application compartmentalization with SOAAP (extended version)

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180508

Termination date: 20200624

CF01 Termination of patent right due to non-payment of annual fee