XiaoMi-AI文件搜索系统
World File Search SystemCVSS
网络知情性:使用CVSS增加对入侵检测系统的信任
入侵检测系统(IDSS)是必不可少的网络安全组合。以前的网络攻击检测方法更多地依赖于签名和规则来检测网络攻击,尽管过去十年来范式发生了变化,机器学习(ML)实现了更有效,更灵活的统计方法。,ML目前无法将网络安全信息集成到其内部运作中。本文介绍了网络知情性,这是一个新的指标,考虑到网络安全信息,以更明智地表示绩效,受到遇到的攻击的严重性的影响。该指标在网络安全方面使用了事实:共同的漏洞评分系统(CVSS)。在两个公共数据集上的结果表明,这种新的度量标准验证了使用通用指标获得的结果。此外,这种新的度量强调了基于ML的IDSS,优先考虑了严重攻击的高度绩效,这对通用指标看不到。因此,这个新的指标通过弥合ML和网络安全之间的差距很好地完成了通用指标。
组合视觉系统文献综述
16. 摘要 提高低能见度操作期间的安全性是航空业面临的最关键挑战之一。为此,航空界一直致力于开发驾驶舱显示技术,以提高飞行员在自然视力受损的情况下获取视觉信息的能力。组合视觉系统 (CVS) 就是这样一种技术。CVS 利用机载成像传感器(例如毫米波雷达、前视红外)以及地形和障碍物数据库获取的数据,将它们组合起来,并以叠加的方式显示在驾驶舱显示器上。CVS 的一些操作优势包括改进的跟踪性能、减少飞行路径误差和减少工作量。未来的研究应解决飞行员在特定操作结构(例如,低头显示器与抬头显示器)中使用 CVS 的表现、CVS 显示器缩小对飞行员表现的影响以及使用 CVS 时低头到抬头的转换。
Cyber COBRA(情境客观评级)
根据周围标准对发现进行评级,通过遵循定义的经验方法来得出计算评级,建立了一种符合上下文的一致方法。当今存在许多行业方法和框架,例如通用漏洞评分系统 (CVSS),它试图根据回答一般性问题对发现进行评级 [1]。此外,还有通用配置评分系统 (CCSS),它通过关注软件配置问题来衡量严重性 [8]。当应用于洛克希德马丁生态系统时,事实证明按照设计使用这些框架具有挑战性,洛克希德马丁生态系统是一家托管国家安全系统 (NSS) 和处理受控非机密信息 (CUI) 的国防承包商 [6、11、12]。CVSS 虽然通用、基础广泛且缺乏适应能力,但它为进一步研究提供了基础,以确定产生一致、准确结果所需的修改。该团队使用过去参与的真实网络测试结果创建了上下文目标评估 (COBRA) 框架,以调整问题、类别等。COBRA 旨在从网络测试利用的角度确定发现的关键性(严重性评级)。请注意,在本文中,关键性和严重性、任务和参与度等术语有时可以互换使用。最终,COBRA 会提出由子问题支持的初始网络测试问题:
Arjun Sampath Kumar
脆弱性评估和渗透测试实习生Whizzc Pvt Ltd 2024年8月 - 2024年12月•执行4个Web,2个网络,1个API和1个移动应用程序渗透测试,构成了7种不同的客户群。•单枪匹马在DAST参与过程中发现了7个关键和16个高严重性脆弱性。•通过POCS协助CVSS评分并起草9个专业渗透测试报告。KL University的学生同伴导师和助教,2022年4月 - 2024年4月•在密码学,计算机网络,数据库和网络安全课程中为40多个同行指导了40多个同行。•进行了25多次学习课程,提供了课程指导并协助实验室练习。
嵌入式设备的 EMB3D™ 威胁模型
我们国家关键基础设施的安全取决于嵌入式设备,而这些设备往往缺乏足够的安全控制或未经过足够的漏洞测试。这些问题的普遍性从 CISA ICS 公告中可见一斑,1 迄今为止,该公告已针对 ICS 设备和软件发布了 2,459 条警报,其中 1,243 条的通用漏洞评分系统 (CVSS) 严重程度至少为中等。2 此外,白宫工业控制系统网络安全 (ICS) 备忘录和 CISA 安全设计和默认重点 3,4 等举措都表明需要改进关键基础设施和相关设备的安全。尽管做出了这些努力,但对于嵌入式设备面临的威胁以及哪些安全机制或功能可以缓解这些威胁,人们的理解仍然存在不一致。
网络安全咨询
Apache CVE-2021-44228 CVSS 3.0:10(严重)漏洞描述 Apache Log4j2 2.0-beta9 至 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1)配置、日志消息和参数中使用的 JNDI 功能无法防范恶意行为者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的恶意行为者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始,此行为已默认禁用。从版本 2.16.0(以及 2.12.2、2.12.3 和 2.3.1)开始,此功能已被完全删除。请注意,此漏洞特定于 log4j-core,不会影响 log4net、log4cxx 或其他 Apache Logging Services 项目。建议的缓解措施
IEEE 2030.5 关键微电网网络物理安全性和弹性分析测试平台:预印本
摘要 — 开发更具弹性的电网是一项持续进行的努力,吸引了众多参与者。在此背景下,分布式能源资源以及交易能源机制被视为关键驱动技术。然而,它们底层的通信能力可能会带来必须分析的额外网络安全风险。本文提出了一种使用 OpenDSS、Mininet 和 IEEE 2030.5 的信息物理微电网测试平台,可用于研究电网在各种情况下的网络弹性。对于关键微电网设施,尽管存在多种意外情况,但关键负载仍必须得到服务。提出了一种针对军用微电网的弹性分析,以研究其在这些意外情况下的性能,并分析结果。索引术语 — 网络攻击、工业控制、信息物理系统、微电网自动化、国防微电网、网络漏洞、SCADA、CVSS、弹性。
自然科学-An -Najah期刊
摘要:在这项研究中,我们提出了一种革命性的深入强化学习方法,用于自动渗透测试。建议的方法使用深度Q学习网络来开发有效利用目标系统中弱点的攻击序列。该方法在虚拟环境中进行了测试,结果表明它可以识别手动渗透测试无法做到的漏洞。在这项工作中使用了各种工具,包括深Q学习网络,Mulval,NMAP,VirtualBox,Docker,Docker,National脆弱性数据库(NVD)和共同的漏洞评分系统(CVSS)。建议的方法显着优于当前自动穿透测试方法。我们提出的方法可以检测到手动渗透测试错过的缺陷,并且可以修改(根据惩罚值)以适应目标系统(网络)更改的更新。此外,它有可能大大提高渗透测试的有效性和效率,并可能有助于提高计算机系统的安全性。在这项工作中进行的实验测试通过在攻击自动化过程中利用最有效的攻击向量,揭示了DQN自动渗透测试的有效性。通过在攻击自动化过程中利用最有效的攻击向量,揭示了DQN自动渗透测试的有效性。
附录A:浏览器比较
Table 2.3 : caniuse percentage of supported features by category across mobile browsers ........................................................................................................................................... 17 Table 3.1 : Zero-day vulnerabilities and average fix time for vulnerabilities discovered by Google Project Zero ........................................................................................................... 21 Table 3.2 : CVSS分数在Cvedetails 2022上发布的总漏洞。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 .................................................................................................................................. 23 Table 3.4 : Average days between initial bug report and release of fix in product update .39 Table 4.5 : Stability reports for Chrome on iOS and Android, 31 October 2021 – 30 November 2022 ................................................................................................................ 41 Table 5.1 : PrivacyTests results for Chrome, Safari and Firefox on Android and iOS ........ 42 Table 5.2 : Passed tests for mobile browsers that are available on both Android and iOS 42 Table 5.3 : Unsupported tests for mobile browsers that are available on both Android and iOS ..................................................................................................................................... 4224表3.5:浏览器和引擎的剥削漏洞............................................................................................................................................................................................................................................................................... 25表3.6:固定的眨眼错误.................................................................................................................................................................................................................................................修复................................................................................ 27表3.9:固定了优先级的WebKit错误.......................................................................................................................28 Table 3.12 : Fixed Firefox bugs by priority ......................................................................... 29 Table 3.13 : Fixed Firefox bugs by severity ....................................................................... 29 Table 3.14 : P1 + S1 Firefox bugs with average fix time in days........................................ 30 Table 3.15 : Chrome updates during 2022 to 2023 ............................................................ 31 Table 3.16 : Firefox updates during 2022 to 2023 ............................................................. 32 Table 3.17 : Safari updates during 2022 to 2023 ............................................................... 33 Table 3.18 : Total number of security bugs and issues ..................................................... 34 Table 3.19 : Proportion of bugs and issues resolved as of submission date ...................... 35 Table 3.20 Average time to resolve bugs and issues (days).............................................. 36 Table 4.1 : Google Chrome reported crashes and usage on Android, November 2022 – January 2023 ..................................................................................................................... 39 Table 4.2 : Google Chrome reported crashes and usage on Android, January – March 2024 ................................................................................................................................... 39 Table 4.3 : Google Chrome reported crashes and usage on iOS, November 2022 – January 2023 .................................................................................................................... 39 Table 4.4 : Google Chrome报告了iOS的撞车事故和使用情况,即2024年1月至3月。
分布式能源供应链网络安全差距分析
ARIES 综合能源系统高级研究 C2M2 网络安全能力成熟度模型 CECA 清洁能源网络安全加速器 CIP 关键基础设施保护 CISA 网络安全与基础设施安全局 CVE 常见漏洞与暴露 CVSS 通用漏洞评分系统 CWE 常见弱点枚举 CyTRICS 弹性工业控制系统网络测试 DER 分布式能源资源 DER-CF 分布式能源资源网络安全框架 DHS 美国国土安全部 DOC 美国商务部 DOE 美国能源部 ENISA 欧盟网络安全局 ES-C2M2 电力子行业网络安全能力成熟度模型 HMAC 基于散列的消息认证码 IBR 基于逆变器的资源 ICS 工业控制系统 ICT 信息和通信技术 IEC 国际电工委员会 IEEE 电气电子工程师协会 NATF 北美输电论坛 NERC 北美电力可靠性公司 NIST 国家标准与技术研究所 NREL 国家可再生能源实验室 NVD 国家漏洞数据库 PLC 可编程逻辑控制器SBOM 软件物料清单