本文選題：緩沖區(qū)溢出漏洞　切入點(diǎn)：靜態(tài)檢測工具　出處：《內(nèi)蒙古師范大學(xué)》2014年碩士論文　論文類型：學(xué)位論文

【摘要】：隨著緩沖區(qū)溢出漏洞問題在信息安全領(lǐng)域引起了越來越多的關(guān)注，人們?cè)谌绾翁岣呔彌_區(qū)溢出漏洞檢測的精度方面，開展了一系列的方法研究。 本文針對(duì)C程序緩沖區(qū)溢出漏洞，提出一種層次式靜態(tài)檢測方法。該方法分為三個(gè)部分：檢測模塊（第一層次）；篩選模塊（第二層次）；輸出模塊。其中，檢測模塊屬于檢測漏洞的第一層次，該模塊基于幾款經(jīng)典的詞法檢測工具，采用可信度工具模型構(gòu)造具有可擴(kuò)展性的可信危險(xiǎn)函數(shù)數(shù)據(jù)庫，并能嵌入檢測緩沖區(qū)溢出漏洞的靜態(tài)工具，達(dá)到降低檢測工具誤報(bào)和漏報(bào)的目的；篩選模塊屬于檢測漏洞的第二層次，該模塊利用檢測模塊的輸出結(jié)果中的警告信息，采用靜態(tài)后向切片技術(shù)，進(jìn)一步降低誤報(bào)，基于輸出結(jié)果的警告信息提取警告程序切片，并將其形式化成布爾公式通過SAT求解器驗(yàn)證警告程序切片的真假性；輸出模塊是對(duì)前兩個(gè)模塊的匯總，，用于綜合第一層次檢測模塊和第二層次篩選模塊的分析結(jié)果作為檢測工具最終的輸出結(jié)果進(jìn)而提高檢測工具的精確度。 實(shí)驗(yàn)結(jié)果表明，本文提出的針對(duì)C程序緩沖區(qū)溢出漏洞的層次式靜態(tài)檢測方法，能夠從一定程度上解決輕量級(jí)靜態(tài)檢測工具的高誤報(bào)和高漏報(bào)問題。與原工具的檢測結(jié)果相比，能夠從一定程度上提高檢測工具的精確度和可信度，進(jìn)而大大減少安全審查人員的工作量。
[Abstract]:As buffer overflow vulnerability has attracted more and more attention in the field of information security, a series of research methods have been carried out on how to improve the accuracy of buffer overflow vulnerability detection. This paper presents a hierarchical static detection method for buffer overflow vulnerability in C program. The method is divided into three parts: detection module (first layer), filter module (second layer), output module. The detection module belongs to the first level of vulnerability detection. Based on several classical lexical detection tools, the credibility tool model is used to construct the extensible trusted risk function database. The static tool for detecting buffer overflow vulnerability can be embedded to reduce the false positives and omissions of detection tools, and the filter module belongs to the second level of vulnerability detection, and the module uses the warning information in the output result of the detection module. The static backward slicing technique is used to further reduce the false positives, and the warning program slices are extracted based on the warning information of the output results, and its form is transformed into Boolean formula to verify the truthfulness and falsity of the warning program slices through the SAT solver. The output module is a summary of the first two modules, which is used to synthesize the analysis results of the first level detection module and the second level screening module as the final output result of the detection tool and improve the accuracy of the detection tool. The experimental results show that the hierarchical static detection method for C program buffer overflow vulnerability is proposed in this paper. It can solve the problems of high false positives and high false positives of lightweight static detection tools to a certain extent. Compared with the detection results of the original tools, it can improve the accuracy and credibility of the detection tools to a certain extent. This greatly reduces the workload of the security censors.
【學(xué)位授予單位】：內(nèi)蒙古師范大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【共引文獻(xiàn)】

相關(guān)期刊論文 前7條

1 吳潔;丁曉明;;基于程序切片的測試用例集約簡方法[J];重慶交通大學(xué)學(xué)報(bào)(自然科學(xué)版);2010年02期

2 許高陽;李必信;孫小兵;陶傳奇;;一種基于層次切片的軟件錯(cuò)誤定位方法[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2010年04期

3 華寧;高敬陽;;基于面向?qū)ο蟪绦蚯衅能浖攘縖J];電子設(shè)計(jì)工程;2009年09期

4 高洪博;李清寶;王煒;朱瑜;;基于敏感位置識(shí)別的狀態(tài)化簡技術(shù)研究[J];電子與信息學(xué)報(bào);2013年03期

5 何志學(xué);張廣泉;;一種面向?qū)ο蟛l(fā)程序的動(dòng)態(tài)切片方法[J];蘇州大學(xué)學(xué)報(bào)(工科版);2007年03期

6 林錦濱;蔣凡;;錯(cuò)誤模式和程序切片的軟件漏洞檢測[J];信息安全與通信保密;2009年11期

7 李洛;黃達(dá)峰;袁宜英;;智能化C語言自學(xué)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];深圳職業(yè)技術(shù)學(xué)院學(xué)報(bào);2012年05期

相關(guān)會(huì)議論文 前1條

1 王磊;馬建紅;樊世燕;周華;辛政華;;基于程序切片的可達(dá)路徑選擇的研究[A];2007北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)通信與信息技術(shù)會(huì)議論文集（上冊(cè)）[C];2008年

相關(guān)博士學(xué)位論文 前7條

1 朱丹;基于時(shí)序等價(jià)性檢查的電路軟錯(cuò)誤系統(tǒng)級(jí)可靠性分析方法研究[D];國防科學(xué)技術(shù)大學(xué);2010年

2 陶紅偉;基于屬性的軟件可信性度量模型研究[D];華東師范大學(xué);2011年

3 程紹銀;需求驅(qū)動(dòng)的軟件安全缺陷自動(dòng)測試生成[D];中國科學(xué)技術(shù)大學(xué);2009年

4 呂嘉;基于開放時(shí)態(tài)邏輯的面向方面程序形式化驗(yàn)證和模塊推理研究[D];浙江大學(xué);2009年

5 王智學(xué);程序切片技術(shù)理論與應(yīng)用研究[D];吉林大學(xué);2012年

6 張一弛;程序惡意行為識(shí)別及其惡意性判定研究[D];解放軍信息工程大學(xué);2012年

7 高洪博;指令誘發(fā)型硬件木馬檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 陳林;基于指令詞的軟件特征技術(shù)研究[D];解放軍信息工程大學(xué);2010年

2 殷文建;面向ARM體系結(jié)構(gòu)的代碼逆向分析關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2010年

3 鞏道福;基于Java的軟件水印及其相關(guān)技術(shù)研究[D];解放軍信息工程大學(xué);2009年

4 謝裕敏;Windows應(yīng)用程序關(guān)鍵函數(shù)的逆向定位技術(shù)研究[D];解放軍信息工程大學(xué);2009年

5 黃海;基于IDA的代碼解析與中間語言翻譯[D];解放軍信息工程大學(xué);2009年

6 蘇瑞;基于程序切片的數(shù)據(jù)庫變更影響分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2011年

7 黎超;基于切片的二進(jìn)制代碼可視化分析的研究[D];廣東工業(yè)大學(xué);2011年

8 劉東昊;對(duì)象級(jí)粗粒度切片方法研究[D];鄭州大學(xué);2011年

9 陳樹峰;基于UML模型的依賴分析在回歸測試中的研究與應(yīng)用[D];南京航空航天大學(xué);2010年

10 李繼中;基于相似性判定的密碼算法識(shí)別技術(shù)研究[D];解放軍信息工程大學(xué);2009年

本文編號(hào)：1589169