推荐星级:
- 1
- 2
- 3
- 4
- 5
软件与网络安全研究综述
资料介绍
互联网已经渗入人类社会的各个方面,极大地推动了社会进步.与此同时,各种形式的网络犯罪、网络窃密等问题频繁发生,给社会和国家安全带来了极大的危害.网络安全已经成为公众和政府高度关注的重大问题.由于互联网的大量功能和网络上的各种应用都是由软件实现的,软件在网络安全的研究与实践中扮演着至关重要的角色.事实上,几乎所有的网络攻击都是利用系统软件或应用软件中存在的安全缺陷实施的.研究新形势下的软件安全问题日益迫切.从恶意软件、软件漏洞和软件安全机制这3个方面综述了国内外研究现状,进而分析软件生态系统面临的全新安全挑战与发展趋势.
部分文件列表
| 文件名 | 大小 |
| 软件与网络安全研究综述.pdf | 753K |
部分页面预览
(完整内容请下载后查看)软件学报 ISSN 1000-9825, CODEN RUXUEW
Journal of Software,2018,29(1):42-68 [doi: 10.13328/j.cnki.jos.005320]
©中国科学院软件研究所版权所有.
E-mail:
Tel: +86-10-62562563
软件与网络安全研究综述*
1,2
3
4
3
4
5
5
刘
剑
,
苏璞睿
,
杨
珉
,
和
亮
,
张
源
,
朱雪阳
,
林惠民
1(中国科学院 信息工程研究所 网络测评技术重点实验室,北京 100195)
2(北京市网络安全技术重点实验室(中国科学院 信息工程研究所),北京 100195)
3(中国科学院 软件研究所 可信计算与信息保障实验室,北京 100190)
4(复旦大学 软件学院,上海 201203)
5(计算机科学国家重点实验室(中国科学院 软件研究所),北京 100190)
通讯作者: 朱雪阳, E-mail:
摘
要: 互联网已经渗入人类社会的各个方面,极大地推动了社会进步.与此同时,各种形式的网络犯罪、网络窃密
等问题频繁发生,给社会和国家安全带来了极大的危害.网络安全已经成为公众和政府高度关注的重大问题.由于互
联网的大量功能和网络上的各种应用都是由软件实现的,软件在网络安全的研究与实践中扮演着至关重要的角色.
事实上,几乎所有的网络攻击都是利用系统软件或应用软件中存在的安全缺陷实施的.研究新形势下的软件安全问
题日益迫切.从恶意软件、软件漏洞和软件安全机制这 3 个方面综述了国内外研究现状,进而分析软件生态系统面
临的全新安全挑战与发展趋势.
关键词: 软件;网络安全;恶意软件;软件漏洞;软件安全机制
中图法分类号: TP311
中文引用格式: 刘剑,苏璞睿,杨珉,和亮,张源,朱雪阳,林惠民.软件与网络安全研究综述.软件学报,2018,29(1):42-68.
英文引用格式: Liu J, Su PR, Yang M, He L, Zhang Y, Zhu XY, Lin HM. Software and cyber security—A survey. Ruan Jian Xue
Bao/Journal of Software, 2018,29(1):42-
Software and Cyber Security—A Survey
LIU Jian1,2
,
SU Pu-Rui3, YANG Min4, HE Liang3, ZHANG Yuan4, ZHU Xue-Yang5, LIN Hui-Min5
1(Key Laboratory of Network Assessment Technology, Institute of Information Engineering, The Chinese Academy of Sciences, Beijing
100195, China)
2(Beijing Key Laboratory of Network Security Technology (Institute of Information Engineering, The Chinese Academy of Sciences),
Beijing 100195, China)
3(Trusted Computing and Information Assurance Laboratory, Institute of Software, The Chinese Academy of Sciences, Beijing 100190,
China)
4(School of Software, Fudan University, Shanghai 201203, China)
5(State Key Laboratory of Computer Science (Institute of Software, The Chinese Academy of Sciences), Beijing 100190, China)
* 基金项目: 国家自然科学基金(61572483, 61572481, 61602123, 61572478, U1636204, 61602457); 上海市青年科技英才扬帆计
划(16YF1400800)
Foundation item: National Natural Science Foundation of China (61572483, 61572481, 61602123, 61572478, U1636204,
61602457); Shanghai Sailing Program (16YF1400800)
收稿时间: 2016-12-22; 修改时间: 2017-02-08; 采用时间: 2017-06-19; jos 在线出版时间: 2017-07-12
CNKI 网络优先出版: 2017-07-12 16:17:02, http://kns.cnki.net/kcms/detail/11.2560.TP.20170712.1617.018.html
本文作者贡献说明:刘剑、苏璞睿和杨珉负责主体内容的组织及撰写,为共同第一作者;和亮与张源参与资料收集与撰写;朱雪阳
负责合稿及部分内容的撰写;林惠民发起并主持本文撰写
刘剑 等:软件与网络安全研究综述
43
Abstract: The Internet has penetrated into all aspects of human society and has greatly promoted social progress. At the same time,
various forms of cybercrimes and network theft occur frequently, bringing great harm to our society and national security. Cyber security
has become a major concern to the public and the government. As a large number of Internet functionalities and applications are
implemented by software, software plays a crucial role in cyber security research and practice. In fact, almost all cyberattacks were
carried out by exploiting vulnerabilities in system software or application software. It is increasingly urgent to investigate the problems of
software security in the new age. This paper reviews the state of the art of malware, software vulnerabilities and software security
mechanism, and analyzes the new challenges and trends that the software ecosystem is currently facing.
Key words: software, cyber security, malware, software vulnerabilities, software security mechanism
互联网已经渗透到人类社会的各个方面,极大地推动了社会进步.但与此同时,各种形式的网络犯罪、网络
窃密等问题频繁发生,给社会和国家安全带来了极大的危害.网络安全已经成为公众和政府高度关注的重大问
题.由于互联网的大量功能和网络上的各种应用都是由软件实现的,软件在网络安全的研究与实践中扮演着至
关重要的角色.
随着互联网的发展,由软件引起的安全问题波及面越来越广,厉害关系越来越大,影响层次也越来越深.根
据国际权威漏洞发布组织 CVE 的统计,1999 年发现的软件漏洞数量不到 1 600 个;而 2014 年,新发现的软件漏
洞数量已接近 10 000 个.2016 年 6 月,国家互联网应急中心(CNCERT)发布的互联网安全威胁报告显示,境内感
染网络病毒的终端数近 297 万个,被植入后门的网站数量 8 815 个,境外 3 637 个 IP 地址通过植入后门对境内
66 186 个网站实施远程控制[1].2016 年 4 月,CNCERT 监测到一个名为“Ramnit”的网页恶意代码,该恶意代码被
挂载在境内近 600 个党政机关、企事业单位网站上,一旦用户访问网站就有可能受到挂马攻击,这对网站访问
用户的 PC 主机构成安全威胁,对国家安全及政府公信力造成重大影响[2]
.
随着互联网进入移动互联阶段,人类的社会活动与网络空间的融合更加深入.透过泛在网络和各型感知设
备,人、机、物彼此交织,密不可分,而软件作为人类智慧的二进制投射,操控硬件平台,提供着各型服务,在网络
空间中的枢纽特性被进一步强化.2016 年 10 月 21 日,恶意软件 Mirai 控制的僵尸网络对美国域名服务器管理服
务供应商 Dyn 发起 DDoS 攻击(分布式拒绝服务攻击),由于 Dyn 为 GitHub、Twitter、PayPal 等平台提供服务,
攻击导致这些网站无法访问.本次 Mirai 的攻击目标与以往控制服务器或个人 PC 机的方式有所不同,它主要通
过控制大量的物联网(IoT)设备,如路由器、数字录像机、网络摄像头等,形成僵尸网络来进行大规模协同攻击,
造成特别严重的危害[3].研究新形势下的软件安全问题日益迫切.
随着平台的发展,软件形态产生了重要变化.软件的目标由最初的提供基本功能进化为提供更好的服务和
体验;围绕多种异构互联的硬件平台,形成了差异化的软件群体;软件核心服务往往通过云平台完成部署,功能
和服务在云和端之间体现出很强的交互性和个性化;软件普遍基于开放式的第三方开源组件快速构造,开发周
期和版本迭代周期明显缩短,导致软件开发门槛显著降低;出现集中式软件分发渠道,可以将软件快速传播给大
量的用户,使得软件的受众范围明显增大;软件系统之间的协同配合显著增强,敏感数据的网间流动大幅增加.
在软件形态的这种演变趋势下,软件安全逐渐演变为整个软件生态系统的体系安全,涵盖了平台、软件和
数据等诸多维度,对国家网络空间安全和公众权益的重要性与日俱增.目前,软件生态系统面临的威胁呈现出如
下特点.
1) 软件生产环节引入多种新型攻击面.
软件生产过程中,代码复用程度越来越高,各种开发包、核心库的应用越来越广泛.一些攻击者利用开源代
码植入后门,这些代码的复用度越高,其中的后门影响范围越广,为攻击者创造新的攻击途径提供了机会;软件
之间协同越来越普遍,软件中的一些服务共享、数据共享越来越多,单一软件产品的安全已经不仅仅影响其功
能或服务的安全,还会直接影响到其他一系列软件功能或服务的安全,从单一软件产品服务而言,其可能被攻击
的渠道增加;软件开发过程、分发过程在逐步发生变化,依赖的工具手段越来越多,各种支撑环境、开发工具和
分发渠道是否安全可信,也直接关系到出产软件产品的安全,造成软件功能或服务可能被攻击的环节越来越多.
全部评论(0)