一种自动生成软件缺陷输入的方法 被引量：2

1

作者 程绍银 蒋凡 +1 位作者 王嘉捷 张晓菲 《中国科学技术大学学报》 CAS CSCD 北大核心 2010年第2期191-196,共6页

利用软件补丁信息,结合静态分析、符号执行和约束求解技术,提出了一种测试输入自动生成方法.该方法可以自动产生绕过补丁修补位置的测试输入,给出新的触发软件缺陷的有效可执行路径,从而找到新的软件缺陷.运用这种方法,在GNU Mailutils... 利用软件补丁信息,结合静态分析、符号执行和约束求解技术,提出了一种测试输入自动生成方法.该方法可以自动产生绕过补丁修补位置的测试输入,给出新的触发软件缺陷的有效可执行路径,从而找到新的软件缺陷.运用这种方法,在GNU Mailutils中,成功地发现了一个软件缺陷.该方法可以运用于实际的软件代码,保证了软件补丁修补的完备性. 展开更多

关键词 软件缺陷 补丁 测试生成 静态分析 符号执行 约束求解

在线阅读 下载PDF 职称材料

一种Android应用程序恶意行为的静态检测方法 被引量：10

2

作者 李子锋 程绍银 蒋凡 《计算机系统应用》 2013年第7期148-151,共4页

目前Android应用程序的安全问题得到越来越多的关注.提出一种检测Android应用程序中恶意行为的静态分析方法,该方法采用静态数据流分析技术,并实现了常量分析算法,通过跟踪应用程序对常量值的使用来检测恶意订购、资费消耗等多种类型的... 目前Android应用程序的安全问题得到越来越多的关注.提出一种检测Android应用程序中恶意行为的静态分析方法,该方法采用静态数据流分析技术,并实现了常量分析算法,通过跟踪应用程序对常量值的使用来检测恶意订购、资费消耗等多种类型的恶意行为.实验结果表明,该方法可以有效检测出Android应用程序的恶意行为,具有较高的实用性. 展开更多

关键词 静态分析 恶意行为 常量分析 Android安全 数据流分析

在线阅读 下载PDF 职称材料

恶意软件动态分析云平台 被引量：2

3

作者 徐欣 程绍银 蒋凡 《计算机系统应用》 2016年第3期8-13,共6页

传统的杀毒软件基于特征码识别的方式有效但具有一定的局限性.使用沙箱动态分析的方法能通过目标软件的行为特征对其恶意属性进行判断,可以同时达到检测恶意软件和帮助分析人员快速分析恶意软件的目的.为了提高沙箱平台分析的易用性和... 传统的杀毒软件基于特征码识别的方式有效但具有一定的局限性.使用沙箱动态分析的方法能通过目标软件的行为特征对其恶意属性进行判断,可以同时达到检测恶意软件和帮助分析人员快速分析恶意软件的目的.为了提高沙箱平台分析的易用性和高效性,本文设计并实现了一个恶意软件动态分析云平台,通过分布式的沙箱控制机制,保证沙箱的分析能力以及可扩展性,并可通过对目标软件的分析结果来判断其是否属于恶意软件.实验表明,设计的云沙箱系统能够有效和高效的检测出恶意软件的恶意行为. 展开更多

关键词 恶意软件 动态分析 沙箱 云平台

在线阅读 下载PDF 职称材料

软件演进驱动的按需自动测试

4

作者 王嘉捷 蒋凡 +2 位作者 程绍银 张晓菲 林锦滨 《中国科学技术大学学报》 CAS CSCD 北大核心 2010年第5期505-512,共8页

为了及时彻底地测试演进着的软件,提出了软件演进驱动的按需自动测试算法.首先,根据软件演进时源文件的文本更新,通过控制与数据依赖分析识别受影响的语义变化区域,再结合代码安全缺陷分析按需构造精简测试流图.接着,按需符号执行图中... 为了及时彻底地测试演进着的软件,提出了软件演进驱动的按需自动测试算法.首先,根据软件演进时源文件的文本更新,通过控制与数据依赖分析识别受影响的语义变化区域,再结合代码安全缺陷分析按需构造精简测试流图.接着,按需符号执行图中各条路径且缺陷关联路径优先,主动探测和求解缺陷触发条件以排除误报,在路径分支点按需克隆执行环境以避免路径前缀的重复执行,并及时求解路径条件以剪除不可行路径.最终,自动生成针对软件更新实现路径覆盖的精简测试例集合.目前已实现了测试工具原型,用其测试了多个开源软件,发现了OpenSSL代码中的真实缺陷. 展开更多

关键词 软件演进 按需符号执行 测试生成 缺陷发现 静态分析 回归测试

在线阅读 下载PDF 职称材料

使用Android系统机制的应用程序恶意行为检测 被引量：3

5

作者 吴俊昌 罗圣美 +2 位作者 巫妍 程绍银 蒋凡 《计算机工程与科学》 CSCD 北大核心 2014年第5期849-855,共7页

Android中存在很多系统机制供应用程序使用,然而这些机制在不当使用时会对用户安全和利益造成很大的破坏性。提出一种基于程序分析的方法,检测应用程序使用这些机制时可能存在的恶意行为。针对函数本身的特征,构建与之相对应的函数摘要... Android中存在很多系统机制供应用程序使用,然而这些机制在不当使用时会对用户安全和利益造成很大的破坏性。提出一种基于程序分析的方法,检测应用程序使用这些机制时可能存在的恶意行为。针对函数本身的特征,构建与之相对应的函数摘要。在构建摘要时使用指令级的模拟执行,在检测恶意行为时使用函数级的模拟执行,通过这两种不同级别的模拟执行分析出应用程序中潜在的恶意行为。基于上述方法,设计和实现了一个原型系统。通过对公开的恶意应用样本进行检测,验证了本方法是有效的。 展开更多

关键词 ANDROID 系统机制 恶意行为 函数摘要

在线阅读 下载PDF 职称材料

DDoS攻击中的IP源地址伪造协同处置方法 被引量：5

6

作者 张可 汪有杰 +1 位作者 程绍银 王理冬 《信息网络安全》 CSCD 北大核心 2019年第5期22-29,共8页

IP源地址伪造是多种DDoS攻击的基础,给安全事件的溯源和响应处置造成了很大困难。URPF主要用于防止基于源地址欺骗的网络攻击行为,边界过滤法用于对来自网络内部的数据包进行检查。基于基础电信运营企业网络,文章提出了基于URPF技术和... IP源地址伪造是多种DDoS攻击的基础,给安全事件的溯源和响应处置造成了很大困难。URPF主要用于防止基于源地址欺骗的网络攻击行为,边界过滤法用于对来自网络内部的数据包进行检查。基于基础电信运营企业网络,文章提出了基于URPF技术和边界过滤法的IP源地址伪造协同处置方法,可在网内和边界出口双重过滤伪造IP源地址。实验结果表明,该方法有效阻止了IP源地址伪造流量。某省电信骨干网大规模应用后,CNCERT监测数据证实骨干路由器已无本地伪造流量和跨域伪造流量出现。 展开更多

关键词 网络安全 DDOS攻击 IP源地址伪造 URPF 边界过滤法

在线阅读 下载PDF 职称材料

Android应用程序GUI遍历的自动化方法 被引量：4

7

作者 赵耀宗 程绍银 蒋凡 《计算机系统应用》 2015年第9期219-224,共6页

近来针对Android应用程序的基于GUI(图形用户界面)的分析和测试方法已经成为一个研究热点.自动化技术和较高的GUI覆盖率可以提高大部分方法的效率和效果.然而以前的工作并不能充分满足自动化和高GUI覆盖率的要求.提出了一种在不需要程... 近来针对Android应用程序的基于GUI(图形用户界面)的分析和测试方法已经成为一个研究热点.自动化技术和较高的GUI覆盖率可以提高大部分方法的效率和效果.然而以前的工作并不能充分满足自动化和高GUI覆盖率的要求.提出了一种在不需要程序源代码的情况下遍历Android应用程序GUI的自动化方法.其主要思想是通过模拟用户的行为自动探测Android应用程序的GUI.我们的工作主要解决了UI元素提取和处理、用户行为模拟、GUI遍历算法设计和模型构建三方面中的一些关键问题.实验结果表明,该方法能获得较高的GUI覆盖率可以有效遍历应用程序的GUI.此外,该方法也将有助于程序安全分析、GUI测试等其他研究. 展开更多

关键词 ANDROID GUI遍历 自动化方法 GUI覆盖率 用户行为模拟

在线阅读 下载PDF 职称材料

浅谈诗歌教学中的审美教育

8

作者 程绍银 《语文天地（初中版）》 2007年第18期58-60,共3页

新世纪语文课程标准首次彰显了高中语文课程注重审美的基本理念。毋庸置疑,语文是一门独特的学科,它的独特性即在于其审美特质。那么,作为融科学、艺术、文学于一体的语文课,理应为青少年学生开辟出一片审美的新天地,在这片天地中,诗歌... 新世纪语文课程标准首次彰显了高中语文课程注重审美的基本理念。毋庸置疑,语文是一门独特的学科,它的独特性即在于其审美特质。那么,作为融科学、艺术、文学于一体的语文课,理应为青少年学生开辟出一片审美的新天地,在这片天地中,诗歌鉴赏应该是其中最靓丽的一处风景。 展开更多

关键词 诗歌教学 审美教育 《沁园春·长沙》 诗歌鉴赏

在线阅读 下载PDF 职称材料

6LoWPAN协议一致性测试方法及仪表设计 被引量：2

9

作者 孙雪芹 程绍银 蒋凡 《计算机系统应用》 2012年第9期97-102,共6页

针对6LoWPAN协议栈的MAC层、适配层、网络层及路由协议,研究6LoWPAN协议的一致性测试方法,将TTCN-3测试标准引入到无线传感器网络协议的一致性测试领域,设计了一套以TTCN-3为协议测试描述语言、以ISO9646中定义的协议一致性测试模型为... 针对6LoWPAN协议栈的MAC层、适配层、网络层及路由协议,研究6LoWPAN协议的一致性测试方法,将TTCN-3测试标准引入到无线传感器网络协议的一致性测试领域,设计了一套以TTCN-3为协议测试描述语言、以ISO9646中定义的协议一致性测试模型为方法的6LoWPAN协议一致性测试仪表. 展开更多

关键词 6LoWPAN 一致性测试 TTCN-3 无线传感器网络 仪表

在线阅读 下载PDF 职称材料

Web应用漏洞扫描系统 被引量：4

10

作者 王扬品 程绍银 蒋凡 《计算机系统应用》 2015年第12期58-63,共6页

首先介绍了Web应用漏洞安全的严峻形式和对漏洞扫描系统的急切需求,接着分析了扫描系统的实现原理,研究和总结了SQL注入漏洞、XSS漏洞、上传文件漏洞等常见漏洞的检测技术.在此基础上,设计了Web应用漏洞扫描系统的各个模块,最后的通过... 首先介绍了Web应用漏洞安全的严峻形式和对漏洞扫描系统的急切需求,接着分析了扫描系统的实现原理,研究和总结了SQL注入漏洞、XSS漏洞、上传文件漏洞等常见漏洞的检测技术.在此基础上,设计了Web应用漏洞扫描系统的各个模块,最后的通过实验结果表明该系统设计的可行性. 展开更多

关键词 WEB应用 漏洞扫描 SQL注入 XSS

在线阅读 下载PDF 职称材料

基于组合特征的Web人名消歧方法 被引量：2

11

作者 辛涛 程绍银 蒋凡 《计算机系统应用》 2015年第11期162-166,共5页

重名问题在Web人物搜索过程中是很普遍的现象.研究了Web人名消歧相关问题,提取与待消歧人名相关的不同特征集,运用向量空间模型构造人物实体的组合特征,最后通过层次聚类算法将相似度高的文档优先聚类,由此实现人名消歧.在WePS数据集上... 重名问题在Web人物搜索过程中是很普遍的现象.研究了Web人名消歧相关问题,提取与待消歧人名相关的不同特征集,运用向量空间模型构造人物实体的组合特征,最后通过层次聚类算法将相似度高的文档优先聚类,由此实现人名消歧.在WePS数据集上的实验结果表明,提出的方法具有良好的消歧效果. 展开更多

关键词 重名问题 人名消歧 特征提取 组合特征 层次聚类

在线阅读 下载PDF 职称材料

基于文本分析的自动化疾病编码方法 被引量：2

12

作者 鲍庆升 程绍银 蒋凡 《计算机系统应用》 2015年第12期265-268,共4页

对疾病进行编码是将疾病诊断名称转化为标准ICD(国际疾病分类)编码的过程.鉴于编码量庞大和人工编码效率低等原因,有必要实现疾病编码的自动化.提出一种自动化的疾病编码方法,使用一种文本建模方法将ICD表示为文本集,然后借助文本相关... 对疾病进行编码是将疾病诊断名称转化为标准ICD(国际疾病分类)编码的过程.鉴于编码量庞大和人工编码效率低等原因,有必要实现疾病编码的自动化.提出一种自动化的疾病编码方法,使用一种文本建模方法将ICD表示为文本集,然后借助文本相关性度量,获取与待编码疾病诊断名称最相关的ICD编码.经实验验证,本文提出的自动化疾病编码方法准确率较高、效率优秀、分类层次变换灵活,可广泛应用于各种类型的数据分析场景. 展开更多

关键词 疾病编码 文本分析 ICD 相关性分析

在线阅读 下载PDF 职称材料

自动化检测Android应用反射型跨站脚本漏洞的方法 被引量：1

13

作者 王岩 程绍银 蒋凡 《计算机系统应用》 2015年第7期195-199,共5页

提出一种自动化检测Android应用反射型跨站脚本漏洞的方法,通过对Android应用组件的识别和分类,自动化输入测试例和点击与输入框关联的按钮,监测运行结果判断应用是否具有潜在的反射型跨站脚本漏洞,并通过图像处理方法实现了对Web View... 提出一种自动化检测Android应用反射型跨站脚本漏洞的方法,通过对Android应用组件的识别和分类,自动化输入测试例和点击与输入框关联的按钮,监测运行结果判断应用是否具有潜在的反射型跨站脚本漏洞,并通过图像处理方法实现了对Web View的支持.基于该方法实现了一个原型工具.实验表明,该方法可以有效的检测Android应用的反射型跨站脚本漏洞,具有较高的实用性. 展开更多

关键词 ANDROID应用 反射型跨站脚本 自动化测试 漏洞

在线阅读 下载PDF 职称材料

P2P网络上的寄生网架构研究与分析

14

作者 葛子毅 程绍银 +1 位作者 蒋凡 邓伟锋 《计算机研究与发展》 EI CSCD 北大核心 2012年第S2期104-110,共7页

随着P2P技术的发展,P2P网络架构出现了很多新的变化.描述了一种新型的网络架构PoP2P——建立在P2P覆盖网之上的寄生网络(parasitic overlay on P2P network).以一种具体的PoP2P网络(建立在SkypeP2P网络上的寄生网)为例,采用程序分析的方... 随着P2P技术的发展,P2P网络架构出现了很多新的变化.描述了一种新型的网络架构PoP2P——建立在P2P覆盖网之上的寄生网络(parasitic overlay on P2P network).以一种具体的PoP2P网络(建立在SkypeP2P网络上的寄生网)为例,采用程序分析的方法,通过动态插桩获得程序发送消息的内容及时序信息,分析这种网络的结构和通信机制,给出了通过PoP2P寄生网络与远端主机通信时的数据流图和详细的消息序列图,为研究此类网络提供了新的方法. 展开更多

关键词 对等网络 SKYPE 寄生网络 网络架构

在线阅读 下载PDF 职称材料

性能测试在等级测评中的应用

15

作者 庄严 程绍银 +1 位作者 廉明 蒋凡 《计算机应用与软件》 CSCD 北大核心 2014年第7期55-58,共4页

为了保证信息系统的可用性和服务质量,《信息系统安全等级保护基本要求》中对于不同等级的信息系统,提出了服务保证类的各项要求。但由于系统的复杂性,等级测评中仅通过访谈和检查,很难准确判定被测系统是否符合相关要求。介绍性能测试... 为了保证信息系统的可用性和服务质量,《信息系统安全等级保护基本要求》中对于不同等级的信息系统,提出了服务保证类的各项要求。但由于系统的复杂性,等级测评中仅通过访谈和检查,很难准确判定被测系统是否符合相关要求。介绍性能测试的分类、方法,比较性能测试在等级测评和常规测试项目中使用的异同,提出在等级测评中,应引入性能测试以获取具有说服力的判定证据。以LoadRunner为例介绍了性能测试工具的使用,以及等级测评中应用性能测试的特点和注意事项。 展开更多

关键词 等级保护 等级测评 性能测试 LOADRUNNER

在线阅读 下载PDF 职称材料

针对云计算IaaS隔离性的测试系统

16

作者 赵炎 程绍银 蒋凡 《计算机系统应用》 2017年第1期44-49,共6页

为解决IaaS云计算隔离性的测试问题,通过分析和总结已有的隔离性的测试方法,设计并实现了针对云计算IaaS基于消息中间件的分布式测试系统.实现时,采用基于消息中间件的分布式架构,并将控制端与测试端独立,降低了耦合性,增强了可扩展性.... 为解决IaaS云计算隔离性的测试问题,通过分析和总结已有的隔离性的测试方法,设计并实现了针对云计算IaaS基于消息中间件的分布式测试系统.实现时,采用基于消息中间件的分布式架构,并将控制端与测试端独立,降低了耦合性,增强了可扩展性.在OpenStack云计算环境中进行测试,验证了系统设计的可行性.该测试系统适用于云服务安全的其他能力测试. 展开更多

关键词 云计算 IAAS 分布式测试 隔离性 OPENSTACK

在线阅读 下载PDF 职称材料

TTCN-3语言非侵入式调试技术

17

作者 赵营 程绍银 蒋凡 《计算机系统应用》 2012年第6期51-54,共4页

TTCN-3(Testing and Test Control Notation version 3)是一种形式化的测试描述语言,被广泛应用于协议测试等领域。由于测试套的复杂度越来越高,测试人员迫切需要能够调试TTCN-3语言的技术。本文提出了一种非侵入式的TTCN-3语言调试方法... TTCN-3(Testing and Test Control Notation version 3)是一种形式化的测试描述语言,被广泛应用于协议测试等领域。由于测试套的复杂度越来越高,测试人员迫切需要能够调试TTCN-3语言的技术。本文提出了一种非侵入式的TTCN-3语言调试方法,通过驱动第三方调试器对TTCN-3语言编译后生成的目标代码进行调试,同时结合语句映射和符号解析等算法,实现了基本的调试功能。实验结果表明,该调试技术对测试系统的执行性能影响非常小,能更好的满足对大型测试套的调试需求。 展开更多

关键词 TTCN-3 编译 调试 测试

在线阅读 下载PDF 职称材料

基于前缀集约束的临床路径挖掘算法 被引量：2

18

作者 韩旭 庄严 程绍银 《计算机系统应用》 2017年第11期220-225,共6页

大量的研究表明,临床路径在提高医院运行效率上发挥了极大的作用,但是怎样方便快捷地找到某种疾病的临床路径是一个关键的问题.随着信息技术的发展,数据存储能力以及数据收集能力的提高,各大中型医院都积累了大量的临床诊疗数据,这为数... 大量的研究表明,临床路径在提高医院运行效率上发挥了极大的作用,但是怎样方便快捷地找到某种疾病的临床路径是一个关键的问题.随着信息技术的发展,数据存储能力以及数据收集能力的提高,各大中型医院都积累了大量的临床诊疗数据,这为数据挖掘技术应用到临床路径发现提供了基础.在这篇文章中,我们把临床路径挖掘问题抽象成频繁序列模式挖掘问题,我们首次提出了临床路径前缀集的概念,并在此基础上提出了基于前缀集的临床路径挖掘算法CPM-PC(Clinical Pathways Mining with Prefix Constraints),这个算法更适用于临床路径挖掘,挖掘出的序列模式有更强的医学意义,这个算法已经被应用到一个真实的数据集上并且取得良好的效果. 展开更多

关键词 临床路径 医疗数据 序列模式挖掘 医疗应用 数据挖掘

在线阅读 下载PDF 职称材料

可变动RBAC模型的密钥管理研究 被引量：2

19

作者 蒋凡 魏弋翔 程绍银 《计算机系统应用》 2018年第11期180-185,共6页

访问控制在一个信息安全系统中是一个基础的课题. RBAC (基于角色的访问控制模型, Role-Based Access Control)以不同的角色来定义用户,这些角色对应了不同的密级.这使得不同角色中的用户有不同的权限.基于这一点,密钥可以用来区分不同... 访问控制在一个信息安全系统中是一个基础的课题. RBAC (基于角色的访问控制模型, Role-Based Access Control)以不同的角色来定义用户,这些角色对应了不同的密级.这使得不同角色中的用户有不同的权限.基于这一点,密钥可以用来区分不同角色间的访问权限.随着人事和任务的变动,现有RBAC的结构也会发生变动.本文定义了线性、树形和有向无环图三类RBAC模型,从线性结构出发,讨论角色中用户与密级发生的变化,推广至树形结构,提出了一种下级角色的密钥由上级角色的密钥决定的方法,可以有效地实现线性和树形可变动RBAC模型的密钥管理. 展开更多

关键词 访问控制 密钥管理 线性多层结构 可扩展方法

在线阅读 下载PDF 职称材料

信息网络安全态势感知研究与实践 被引量：2

20

作者 蒋凡 程绍银 +2 位作者 贾振宏 单衍景 白毅 《中国信息安全》 2011年第2期36-40,共5页

现有互联网存在的不可控、不可管、不能保证服务体验质量的状况,很难保证基本的存活性和可信任性,它的发展面临重大的挑战。目前国内外应对这个重大挑战的手段主要依赖于网络边缘产品和技术,如防火墙,IDS,相关研究仍集中在传统的权值数... 现有互联网存在的不可控、不可管、不能保证服务体验质量的状况,很难保证基本的存活性和可信任性,它的发展面临重大的挑战。目前国内外应对这个重大挑战的手段主要依赖于网络边缘产品和技术,如防火墙,IDS,相关研究仍集中在传统的权值数据、经典模型、实验仿真的模式和方法,并没有解决互联网结构缺乏整体安全框架的问题。基于多年持续研究和积极实践的积累,以拓展的逆向解析理论和求异方法为基础,我们提出信息网络安全体系结构研究的新思路:在存在已知和未知病毒、木马、蠕虫和拒绝访问攻击的前提下。 展开更多

关键词 信息网络空间 存活性 网络通信 电信 网络态势感知 灰名单 网络安全设备 深度包检测技术 网络信息安全 有效使用率 可用性 安全基线 空间态势感知 防火墙

在线阅读 下载PDF 职称材料