本文關(guān)鍵詞：基于靜態(tài)信息流跟蹤的輸入驗證漏洞檢測方法

  更多相關(guān)文章： 漏洞檢測 靜態(tài)分析 信息流跟蹤 數(shù)據(jù)流分析 輸入驗證 FindBugs Web應(yīng)用程序

【摘要】：針對基于靜態(tài)分析的漏洞檢測技術(shù)的高誤報率問題,提出基于靜態(tài)信息流跟蹤技術(shù)的輸入驗證漏洞檢測方法.在靜態(tài)代碼分析工具FindBugs上實現(xiàn)了該方法,對該方法的漏洞檢測精確度和性能進行評估.實驗結(jié)果表明,采用該方法能夠有效地檢測輸入驗證漏洞,在不明顯降低運行性能的前提下,將FindBugs的輸入驗證漏洞檢測誤報率降低了55.7%.
【作者單位】： 浙江大學(xué)計算機科學(xué)與技術(shù)學(xué)院;
【關(guān)鍵詞】： 漏洞檢測 靜態(tài)分析 信息流跟蹤 數(shù)據(jù)流分析 輸入驗證 FindBugs Web應(yīng)用程序
【分類號】：TP393.08
【正文快照】： 隨著互聯(lián)網(wǎng)在全球范圍內(nèi)的普及與發(fā)展,Web應(yīng)用程序已經(jīng)成為各種類型的服務(wù)供應(yīng)商和客戶之間最重要的交流渠道.然而,由Web應(yīng)用程序的安全漏洞遭攻擊而引發(fā)的經(jīng)濟財產(chǎn)損失逐年遞增.其中,輸入驗證漏洞是Web應(yīng)用程序中最普遍且威脅最大的漏洞類型之一.輸入驗證漏洞是指由惡意的外

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 張鳴華;半格基礎(chǔ)上的數(shù)據(jù)流分析[J];計算機學(xué)報;1980年04期

2 黃強;曾慶凱;;基于信息流策略的污點傳播分析及動態(tài)驗證[J];軟件學(xué)報;2011年09期

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 葉永宏;武東英;陳揚;;一種基于細(xì)粒度污點分析的逆向平臺[J];計算機工程與應(yīng)用;2012年28期

2 曹琿;熊勝超;張煥國;嚴(yán)飛;;Flume系統(tǒng)的隱蔽信道搜索問題研究[J];計算機研究與發(fā)展;2013年11期

3 史大偉;袁天偉;;一種粗細(xì)粒度結(jié)合的動態(tài)污點分析方法[J];計算機工程;2014年03期

4 SUN Cong;XI Ning;GAO Sheng;CHEN Zhong;MA JianFeng;;Automated enforcement for relaxed information release with reference points[J];Science China(Information Sciences);2014年11期

5 孫浩;李會朋;曾慶凱;;基于信息流的整數(shù)漏洞插裝和驗證[J];軟件學(xué)報;2013年12期

6 習(xí)寧;馬建峰;孫聰;盧笛;張濤;;基于模型檢測的服務(wù)鏈信息流安全可組合驗證方法[J];通信學(xué)報;2014年11期

7 舒輝;李政廉;康緋;張媛媛;;基于環(huán)境智能匹配的惡意代碼完整性分析方法[J];計算機工程與設(shè)計;2015年02期

8 倪程;李志蜀;;基于數(shù)據(jù)流的Java字節(jié)碼分析[J];微計算機信息;2009年12期

9 陸平;錢煜明;朱科支;;一種分布式復(fù)雜消息處理引擎的設(shè)計與實現(xiàn)[J];中興通訊技術(shù);2013年04期

10 Ping Lu;Yuming Qian;Kezhi Zhu;;Design and Implementation a Distributed Complex-Event Processing Engine[J];ZTE Communications;2014年01期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前4條

1 楊歡;協(xié)議漏洞挖掘及Android平臺惡意應(yīng)用檢測技術(shù)研究[D];西安電子科技大學(xué);2014年

2 朱浩;基于程序語言機制的信息釋放策略[D];南京航空航天大學(xué);2013年

3 習(xí)寧;可組合信息流安全驗證模型及方法研究[D];西安電子科技大學(xué);2014年

4 孫強;面向?qū)ο蟪绦虻闹赶蚍治黾夹g(shù)研究[D];上海交通大學(xué);2013年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前6條

1 楊嘉;基于信息流的SELinux策略分析與調(diào)整技術(shù)研究[D];南京大學(xué);2012年

2 姜曙光;基于符號執(zhí)行的Web安全檢測系統(tǒng)的研究與實現(xiàn)[D];湖南大學(xué);2012年

3 葉志偉;面向云計算數(shù)據(jù)隱私保護的訪問控制策略研究[D];哈爾濱工業(yè)大學(xué);2012年

4 文碧望;基于多層序列的攻擊特征自動提取方法研究[D];中南大學(xué);2013年

5 尤作賽;基于動態(tài)污點分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實現(xiàn)[D];國防科學(xué)技術(shù)大學(xué);2012年

6 劉蘇洲;基于Muscle的攻擊特征自動提取方法研究[D];中南大學(xué);2014年

【二級參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 張鳴華;全局?jǐn)?shù)據(jù)流分析[J];計算機學(xué)報;1979年02期

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 ;漏洞檢測代表產(chǎn)品[J];每周電腦報;2003年46期

2 楊闊朝,蔣凡;模擬攻擊測試方式的漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn)[J];計算機應(yīng)用;2005年07期

3 龍銀香;一種新的漏洞檢測系統(tǒng)方案[J];微計算機信息;2005年05期

4 賈永杰,王恩堂;一種新的漏洞檢測系統(tǒng)方案[J];中國科技信息;2005年09期

5 劉完芳;;基于網(wǎng)絡(luò)的漏洞檢測系統(tǒng)的設(shè)計[J];湘潭師范學(xué)院學(xué)報(自然科學(xué)版);2006年03期

6 金怡;蔡勉;王亞軍;;基于中間件的漏洞檢測系統(tǒng)設(shè)計[J];信息安全與通信保密;2007年04期

7 花青;高嶺;張林;;分布式漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn)[J];東南大學(xué)學(xué)報(自然科學(xué)版);2008年S1期

8 張林;高嶺;湯聲潮;楊e，

本文編號：1071327