面向Web应用程序开发过程的漏洞在线预警分析研究
基本信息
结项摘要
Web vulnerabilities are mainly produced in application development phase, and they have the characteristics of multiple types and miscellaneous attacks. The type of vulnerabilities detected by traditional methods during the stage of software testing, post maintenance, etc. are limited, and their process is complex, and the cost of vulnerability repair is much expensive. To this end, this project intends to detect early warning Web program errors and suspected vulnerabilities in real time in the coding phase by using complex network, data mining and other analytical techniques, to assist the developer verify and repair the vulnerabilities timely, and to form a set of Web vulnerability online warning theoretical analysis methods. The detail contents go as follows: 1) to establish Web Vulnerability Features/Instance Knowledge Base(WVFIKB) according to the vulnerability information listed in OWASP and the security programming specifications at the coding stage; 2) to put forward dynamic modeling approach based on program symbol semantics for online programs and to build weighted complex network model based on behavior characteristics by analyzing operation behavior of Web system;3)to design the similarity matching algorithm based on the characteristics of behavioral semantic features and Web vulnerability in WVFIKB combining the technology of data mining and to formulate the similarity index; 4) to verify the suspected vulnerability of the warning by using of the Web vulnerability instance and its behavior operations, which can prompt to reduce the risk of misreporting. The research method in this project aims to optimize the Web development process, improve system quality and reduce maintenance costs after release.
Web漏洞主要产生于程序开发阶段,其具有种类多、攻击方式繁杂等特点。传统的软件测试、发布后维护等手段检测漏洞类型有限,流程复杂,漏洞修复成本昂贵。为此,本项目拟采用复杂网络、数据挖掘等分析技术,在编码阶段实时检测预警Web程序错误及疑似漏洞,辅助开发者对其及时验证修复,形成一套Web漏洞在线预警理论分析方法,开展内容:1) 基于OWASP中列出的漏洞信息以及编码阶段的安全编程规范,建立Web漏洞特征、实例知识库;2) 针对在线程序,对其进行语义建模,提出基于程序符号语义的动态建模方法;分析Web系统的操作行为,构建基于行为特征的加权复杂网络模型;3) 结合数据挖掘等技术,设计基于行为语义特征与Web漏洞特征的相似性匹配算法,并制定相似度指标;4) 根据Web漏洞实例及其行为操作,对预警提示的疑似漏洞进行验证,以减少误报的风险。本项目旨在优化Web开发过程,提高系统质量,减少后期维护成本。
项目摘要
针对传统的软件测试、发布后维护等手段检测漏洞类型有限,流程复杂,漏洞修复成本昂贵等问题,本项目前期研究分析总结了Web应用程序的漏洞形式及安全编程规范,分析了其组成特征,形成了漏洞特征知识库;针对开发者在线编写的程序,实时进行复制,对源代码建立函数级别的复杂网络模型,分析了其整体结构特性(如软件漏洞分类,软件系统重要性节点挖掘等),进行了相关类型漏洞的预测;在对Web在线程序构建基于符号执行语义特征模型方面,分别对其进行结构划分,形成语义结构模式;并针对前端用户的不同操作行为,建立相应的行为特征序列或者网络集合,分析了Web网络安全风险评估的主要方法,分析了软件动态执行过程中执行序列的重要的关键函数排序与检测,以及故障定位;最后,项目以特征库、软件系统结构特征、软件漏洞代码特征为出发点,提出了一种双粒度轻量级漏洞代码切片方法评估模型,在此切片模型基础上,设计了一种基于组合特征和时间序列神经网络算法的多类型溢出漏洞预测方法;结合机器学习算法,提出了一种面向概念漂移的可解释性Android恶意软件检测方法;依据静态分析和动态分析技术,设计了一种用于防止和检测二阶SQL注入基于代理的静态分析和动态执行机制,同时构建了Web应用程序访问控制漏洞自动化检测、定位及防御方法和Web自动建议框中基于黑盒测试的侧信道漏洞自动化检测方法,形成了一套面向Web应用程序开发过程的漏洞在线预警和检测分析方法理论框架。项目原计划拟以“发表高水平论文5~9篇,以及培养5~7名研究生”的方式提供研究成果,根据本项目实际的执行情况,项目组成员于项目期间在国内外学术期刊上共发表学术论文25篇,其中SCI期刊论文为18篇,EI论文3篇,中文核心期刊论文3篇,申请了3项发明专利,培养了1名出站博士后,3名博士研究生以及2名硕士研究生。项目的研究成果及技术支撑了课题组成员在其他2项软件安全领域的项目的研究,以及2项校企联合项目的研究分析。项目的成果转化有着很好的社会和经济效益。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
论大数据环境对情报学发展的影响
论大数据环境对情报学发展的影响
粗颗粒土的静止土压力系数非线性分析与计算方法
粗颗粒土的静止土压力系数非线性分析与计算方法
中国参与全球价值链的环境效应分析
中国参与全球价值链的环境效应分析
基于公众情感倾向的主题公园评价研究——以哈尔滨市伏尔加庄园为例
基于公众情感倾向的主题公园评价研究——以哈尔滨市伏尔加庄园为例
基于细粒度词表示的命名实体识别研究
基于细粒度词表示的命名实体识别研究
张炳的其他基金
相似国自然基金
面向Web图像检索的在线多模态哈希技术研究
面向市场情报的Web实体事件发现与踪迹分析研究
大规模物联网设备在线漏洞扫描
面向移动Web的情境化网构软件开发技术研究