杂志简介:《软件学报》杂志经新闻出版总署批准,自1990年创刊,国内刊号为11-2560/TP,是一本综合性较强的计算机期刊。该刊是一份月刊,致力于发表计算机领域的高质量原创研究成果、综述及快报。主要栏目:理论计算机科学、系统软件与软件工程、模式识别与人工智能、数据库技术、计算机网络与信息安全、计算机体系结构
杂志简介:《软件学报》杂志经新闻出版总署批准,自1990年创刊,国内刊号为11-2560/TP,是一本综合性较强的计算机期刊。该刊是一份月刊,致力于发表计算机领域的高质量原创研究成果、综述及快报。主要栏目:理论计算机科学、系统软件与软件工程、模式识别与人工智能、数据库技术、计算机网络与信息安全、计算机体系结构
作者:王林章; 陈恺; 王戟 刊期:2018年第05期
软件安全漏洞是软件中存在的可能被利用而造成损害的薄弱环节.随着互联网和移动互联网的快速发展,软件因为自身存在漏洞而遭受外界利用攻击,导致隐私泄漏、非法提权、勒索等严重不安全后果.尽早检测软件中存在的安全漏洞并及时实现修复、加固,是网络空间安全领域国内外学术界和产业界的共识与主要关注点.
作者:邵思豪; 高庆; 马森; 段富尧; 马骁; 张世琨; 胡津华 刊期:2018年第05期
首先介绍了缓冲区溢出漏洞危害的严重性和广泛性,然后,从如何利用缓冲区溢出漏洞的角度,依次介绍了缓冲区溢出漏洞的定义、操作系统内存组织方式以及缓冲区溢出攻击方式.将缓冲区溢出分析技术分为3类:自动检测、自动修复以及运行时防护,并对每一类技术进行了介绍、分析和讨论.最后,对相关工作进行了总结,并讨论了缓冲区溢出分析领域未来可能的3...
作者:李赞; 边攀; 石文昌; 梁彬 刊期:2018年第05期
近年来,利用含有已知漏洞的函数作为准则,通过查找相似代码实现来检测未知漏洞的方法已被证明是有效的.但是,一个含有漏洞的函数通常也包含一些与已知漏洞无关的语句,严重影响相似度计算的结果,从而引发误报和漏报.提出了一种利用补丁来提高这种相似性检测准确性的漏洞发现方法.结合漏洞的补丁信息,引入程序切片技术去除原来含有漏洞的函数中与...
作者:胡浩; 叶润国; 张红旗; 常德显; 刘玉岭; 杨英杰 刊期:2018年第05期
为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律...
作者:沈维军; 汤恩义; 陈振宇; 陈鑫; 李彬; 翟娟 刊期:2018年第05期
安全漏洞检测,是保障软件安全性的重要手段.随着互联网的发展,黑客的攻击手段日趋多样化,且攻击技术不断翻新,使软件安全受到了新的威胁.描述了当前软件中实际存在的一种新类型的安全漏洞隐患,称为数值稳定性相关的安全漏洞隐患.由于黑客可以利用该类漏洞绕过现有的防护措施,且已有的数值稳定性分析方法很难检测到该类漏洞的存在,因而这一新类型...
作者:高志伟; 计卫星; 石剑君; 王一拙; 高玉金; 廖心怡; 罗辉; 石峰 刊期:2018年第05期
资源泄漏是影响软件质量和可靠性的一种重要软件缺陷,存在资源泄漏的程序长时间运行会由于资源耗尽而发生异常甚至崩溃.静态代码分析是进行资源泄漏检测的一种有效的技术手段,能够基于源代码或者二进制代码有效地发现程序中潜在的资源泄漏问题.然而,精确的资源泄漏检测算法的复杂性会随着程序规模的增加呈指数级增长,无法满足生产中即时对缺陷进...
作者:杨梅芳; 霍玮; 邹燕燕; 尹嘉伟; 刘宝旭; 龚晓锐; 贾晓启; 邹维 刊期:2018年第05期
模糊测试是一种有效的漏洞挖掘技术.为了改善模糊测试因盲目变异而导致的效率低下的问题,需要围绕输入特征、变异策略、种子样本筛选、异常样本发现与分析等方面不断定制模糊测试器,从而花费了大量的定制成本.针对通用型模糊测试器(即支持多类输入格式及目标软件的模糊测试器)的低成本定制和高可扩展性需求,提出了一种可编程模糊测试框架,基于...
作者:霍玮; 戴戈; 史记; 龚晓锐; 贾晓启; 宋振宇; 刘宝旭; 邹维 刊期:2018年第05期
模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验结果表明:针对5款浏览器的1 089个...
作者:张兴; 冯超; 雷菁; 唐朝京 刊期:2018年第05期
针对当前Windows下GUI软件模糊测试过程中,由于进入空转状态时刻判断不准确导致的测试效率降低的问题,利用自然语言处理的方法在函数执行迹的基础上来解决空转状态识别问题.首先分析了传统程序分析方法在空转状态判断上遇到的困难,提出了基于Bi-Gram模型以及统计分析的空转状态识别方法.通过Bi-Gram算法,将程序函数执行迹转换为概率特征序列;利...
作者:沙乐天; 肖甫; 杨红柯; 喻辉; 王汝传 刊期:2018年第05期
云计算在为人们日常生活提供极大便利的同时,也带来了较大的安全威胁.近年来,云平台Iaa S层虚拟化机制的漏洞层出不穷,如何有效地挖掘虚拟化实现过程中的拒绝服务及逃逸漏洞,是当前的研究难点.分析已知虚拟化平台的相关漏洞,抽取并推演目标数据集合,设计并实现了一种随机化的模糊测试方法,进一步基于灰度马尔可夫模型设计了一种自动化预测方法,...
作者:李晓娟; 陈海波 刊期:2018年第05期
随着安卓系统的广泛使用,系统提供的功能也越来越多,其中一个重要特性是1.6版本中引入并在4.0及以上版本中优化的无障碍辅助性服务.通过无障碍辅助功能,应用不仅可以获得输入框输入文本等窗口元素信息,还可以与应用窗口自动地进行双向交互(如获得按钮信息点击按钮).然而,这些特性一旦被滥用,将会给用户带来巨大的安全威胁.对安卓系...
作者:王心然; 刘宇涛; 陈海波 刊期:2018年第05期
Return-Oriented Programming(ROP)是一种流行的利用缓冲区溢出漏洞进行软件攻击的方法.它通过覆写程序栈上的返回地址,使程序在之后执行返回指令时跳转到攻击者指定位置的代码,因而违反了程序原本期望的控制流.控制流完整性(control-flow integrity,简称CFI)检查是目前最流行的ROP防御机制,它将每条控制流跳转指令的合法目标限制在一个合法...
作者:叶聪聪; 李国强; 蔡鸿明; 顾永跟 刊期:2018年第05期
区块链是去中心化交易平台比特币的底层技术.该系统由分布式数据存储、点对点传输、共识机制、加密算法等计算机技术组成,其安全性受到广泛关注.目前的研究大多使用数学证明的方法分析每个攻击的作用,因此提出了一种根据区块链的结构来评估和检测安全性的方法.在真实环境下,当一个区块连接超过6个区块后,该区块的内容基本无法改变,被认...
作者:杨栋; 史浩; 董威; 刘宗林; 周戈 刊期:2018年第05期
无人飞行系统(unmanned aerial system,简称UAS)的软、硬件存在缺陷以及遇到外部恶意攻击,会给UAS的安全性带来极大的威胁.由于UAS的运行环境复杂多变,很多因素在开发过程中难以准确预测,因此,研究有效的运行时安全保证机制具有重要意义.提出了一种基于运行时验证的UAS安全威胁检测方法.首先,对UAS可能遇到的多种安全威胁进行分析,...
作者:马凯; 郭山清 刊期:2018年第05期
目前,许多Android系统开发人员为了缩短开发时间,选择在其应用程序中内置第三方SDK的方式.第三方SDK是一种由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,它已经成为Android生态系统的重要组成部分.但是,一个SDK有安全漏洞,会导致所有包含该SDK的应用程序易受攻击,这严重影响了Android生态系统的安全性.因此,...
影响因子:0.16
期刊级别:省级期刊
发行周期:双月刊
影响因子:1.2
期刊级别:省级期刊
发行周期:半月刊
影响因子:1.75
期刊级别:北大期刊
发行周期:月刊
影响因子:1.26
期刊级别:部级期刊
发行周期:月刊
影响因子:0.37
期刊级别:省级期刊
发行周期:月刊
影响因子:1.71
期刊级别:统计源期刊
发行周期:半月刊
影响因子:--
期刊级别:部级期刊
发行周期:月刊
影响因子:0.62
期刊级别:北大期刊
发行周期:双月刊
影响因子:0.95
期刊级别:北大期刊
发行周期:月刊
影响因子:0.3
期刊级别:省级期刊
发行周期:月刊
影响因子:0.68
期刊级别:省级期刊
发行周期:月刊
影响因子:2.24
期刊级别:北大期刊
发行周期:月刊