《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于知識(shí)圖譜的軟件配置漏洞分析技術(shù)研究
基于知識(shí)圖譜的軟件配置漏洞分析技術(shù)研究
信息技術(shù)與網(wǎng)絡(luò)安全 5期
張慕榕,張 尼,許鳳凱,崔 軻,魏利卓,鄒志博
(華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083)
摘要: 隨著科技發(fā)展,軟件也在日益更新,其功能和結(jié)構(gòu)愈發(fā)復(fù)雜多變,從而伴生的軟件配置漏洞導(dǎo)致的安全問(wèn)題也日益增多。傳統(tǒng)的人工對(duì)配置進(jìn)行核查不僅耗費(fèi)時(shí)間和精力,而且效率低下,無(wú)法滿足及時(shí)高效確保軟件配置安全的需求。知識(shí)圖譜的發(fā)展在各個(gè)領(lǐng)域逐顯成效,它具有能處理海量數(shù)據(jù)、建立知識(shí)間關(guān)聯(lián)關(guān)系等優(yōu)勢(shì),因此通過(guò)構(gòu)建軟件配置漏洞知識(shí)圖譜,來(lái)整合存儲(chǔ)軟件配置漏洞數(shù)據(jù),并達(dá)到可視化推理分析、關(guān)聯(lián)查詢等功能,以實(shí)現(xiàn)軟件配置漏洞分析更加智能化的目標(biāo)。
中圖分類號(hào): TP391
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2022.05.003
引用格式: 張慕榕,張尼,許鳳凱,等. 基于知識(shí)圖譜的軟件配置漏洞分析技術(shù)研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2022,41(5):17-24.
Research on software configuration vulnerability analysis technology based on knowledge graph
Zhang Murong,Zhang Ni,Xu Fengkai,Cui Ke,Wei Lizhuo,Zou Zhibo
(National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract: With the development of science and technology, the software is also updated day by day, its function and structure are more complex and changeable, and the security problems caused by the associated software configuration loopholes are also increasing day by day. The traditional manual configuration verification is not only time-consuming and energy-intensive, but also inefficient. It cannot meet the needs of ensuring the security of software configuration in a timely and efficient manner. The development of knowledge graphs is gradually showing results in various fields. Therefore, this paper integrates and stores software configuration vulnerability data by building a software configuration vulnerability knowledge map, and achieves functions such as visual reasoning analysis and correlation query, so as to achieve the goal of more intelligent software configuration vulnerability analysis.
Key words : knowledge graph;security configuration;data processing;knowledge fusion;graph building

0 引言

隨著信息化、工業(yè)化的發(fā)展,科技不斷推陳出新,信息系統(tǒng)在人們生活中的應(yīng)用越來(lái)越普遍,其中的組件功能也愈加豐富,配置愈加復(fù)雜。例如MySQL服務(wù)器的每個(gè)軟件含有至少200個(gè)配置項(xiàng),要想在紛繁復(fù)雜的配置項(xiàng)中找到正確的配置方式是一件非常耗費(fèi)人力物力的事情。有研究表明,錯(cuò)誤的配置不僅有可能導(dǎo)致系統(tǒng)癱瘓致使企業(yè)的業(yè)務(wù)中斷,還會(huì)花費(fèi)大量資源和財(cái)力來(lái)排除可能的故障。

安全配置錯(cuò)誤可以發(fā)生在一個(gè)應(yīng)用程序堆棧的任何層面,包括平臺(tái)、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、框架和自定義代碼。從黑客攻擊的角度,安全配置錯(cuò)誤往往是安全攻擊的第一個(gè)環(huán)節(jié)(或者可以理解為跳過(guò)信息搜集環(huán)節(jié)),在捕獲此類安全問(wèn)題后,往往可以獲取較高權(quán)限,黑客可以修改配置、提升權(quán)限、爆破口令或者連接內(nèi)部服務(wù)器或數(shù)據(jù)庫(kù),安全配置錯(cuò)誤威脅甚至等于或高于“后門(mén)”安全威脅。從安全防護(hù)角度,傳統(tǒng)的安全配置錯(cuò)誤防護(hù)成本極高,比如至少要開(kāi)展如下工作:自動(dòng)化安裝部署開(kāi)發(fā)環(huán)境,及時(shí)更新IT環(huán)境安全補(bǔ)丁,使用高安全性應(yīng)用架構(gòu),開(kāi)展定期或不定期的漏洞掃描和安全審計(jì)。

隨著Google提出的圖結(jié)構(gòu)數(shù)據(jù)[1]——知識(shí)圖譜的發(fā)展,人們開(kāi)始借助其可視化等優(yōu)點(diǎn)展開(kāi)研究。通過(guò)圖結(jié)構(gòu)中的關(guān)聯(lián)特性來(lái)連接知識(shí)與數(shù)據(jù),在海量的知識(shí)庫(kù)中挖掘并處理問(wèn)題。本文主要基于知識(shí)圖譜在軟件配置漏洞方向展開(kāi)分析與研究。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000004242





作者信息:

張慕榕,張  尼,許鳳凱,崔  軻,魏利卓,鄒志博

(華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。