【摘要】：隨著互聯(lián)網(wǎng)的普及和Web開(kāi)發(fā)技術(shù)的興起與發(fā)展,Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一,在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問(wèn)題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場(chǎng),如何有效識(shí)別Web應(yīng)用程序中的安全漏洞,即漏洞檢測(cè),是Web安全領(lǐng)域的核心問(wèn)題。根據(jù)是否運(yùn)行被檢測(cè)的程序,可將漏洞檢測(cè)技術(shù)分為靜態(tài)漏洞檢測(cè)技術(shù)和動(dòng)態(tài)漏洞檢測(cè)技術(shù)。靜態(tài)漏洞檢測(cè)技術(shù)及動(dòng)態(tài)漏洞檢測(cè)技術(shù)均面臨諸多挑戰(zhàn)。靜態(tài)漏洞檢測(cè)技術(shù)通常誤報(bào)率高,提高靜態(tài)漏洞檢測(cè)精確度的同時(shí),保證方法的性能,是靜態(tài)漏洞檢測(cè)面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測(cè)通常運(yùn)用程序分析技術(shù),發(fā)現(xiàn)Web應(yīng)用程序的安全問(wèn)題。然而,由于Web應(yīng)用程序所具有的特性,使得傳統(tǒng)的程序分析技術(shù)無(wú)法直接被使用進(jìn)行靜態(tài)漏洞檢測(cè)�；谀：郎y(cè)試的動(dòng)態(tài)漏洞檢測(cè)技術(shù)具有誤報(bào)率低的優(yōu)勢(shì)。但是,由于輸入向量的隨機(jī)性,模糊測(cè)試的代碼覆蓋率低,難以發(fā)現(xiàn)程序中深藏的漏洞。基于混合執(zhí)行的測(cè)試輸入生成方法能夠提高模糊測(cè)試的代碼覆蓋率。然而,現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大,混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時(shí),面臨路徑爆炸問(wèn)題。本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測(cè)與動(dòng)態(tài)漏洞檢測(cè)面臨的問(wèn)題與挑戰(zhàn),結(jié)合Web應(yīng)用程序的特性,重點(diǎn)研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗(yàn)證漏洞檢測(cè)及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下：1.為支持靜態(tài)漏洞檢測(cè)中的過(guò)程間分析,針對(duì)全程序分析效率低和Web應(yīng)用程序庫(kù)代碼缺失的問(wèn)題,本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對(duì)象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫(kù)部分代碼中方法的簽名、類(lèi)的域和類(lèi)層次結(jié)構(gòu)。首先,使用混合堆模型對(duì)程序中的內(nèi)存位置進(jìn)行抽象,區(qū)分應(yīng)用部分及庫(kù)部分的抽象內(nèi)存位置。然后,利用規(guī)則對(duì)與指針相關(guān)的應(yīng)用部分和庫(kù)部分交互行為進(jìn)行建模,推斷庫(kù)部分代碼的指針信息。最后,為庫(kù)部分維護(hù)指針指向集合,利用該集合解析庫(kù)回調(diào)邊,并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象對(duì)象。實(shí)驗(yàn)結(jié)果表明,該方法的運(yùn)行時(shí)間分別比werroes和Spark快4.9倍和13.7倍,同時(shí)能在一定程度上保證局部調(diào)用圖的完整性和精確性。2.針對(duì)靜態(tài)漏洞檢測(cè)誤報(bào)率高的問(wèn)題,本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗(yàn)證漏洞檢測(cè)方法。首先,集成指針?lè)治?識(shí)別程序中堆內(nèi)數(shù)據(jù)的依賴(lài)關(guān)系以及變量之間的別名關(guān)系。然后,通過(guò)過(guò)程內(nèi)數(shù)據(jù)流分析計(jì)算程序中方法的數(shù)據(jù)依賴(lài)關(guān)系摘要,提高過(guò)程間分析的效率。最后,提出雙向數(shù)據(jù)流分析技術(shù)來(lái)靜態(tài)跟蹤信息流,縮短污點(diǎn)數(shù)據(jù)傳播路徑長(zhǎng)度。本文在開(kāi)源靜態(tài)代碼分析工具FindBugs上實(shí)現(xiàn)該方法,并在基準(zhǔn)程序SecuriBench上對(duì)該方法進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明,該方法在不明顯降低靜態(tài)漏洞檢測(cè)方法性能的前提下,提高了輸入驗(yàn)證漏洞的檢測(cè)精確度。3.針對(duì)混合執(zhí)行的路徑爆炸問(wèn)題,本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對(duì)被測(cè)試程序各個(gè)分支的代碼覆蓋率進(jìn)行實(shí)時(shí)估算,并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實(shí)驗(yàn)結(jié)果表明,該路徑搜索策略能夠有效緩解混合執(zhí)行的路徑爆炸問(wèn)題,為提高基于模糊測(cè)試的動(dòng)態(tài)漏洞檢測(cè)技術(shù)的代碼覆蓋率提供支持。
[Abstract]:With the popularization of the Internet and the rise and development of the Web development technology, the Web application has become one of the most important Internet applications, and plays a very important role in all fields. The security of Web application has been widely concerned by the research and industry. The security hole of Web application is the most important battlefield of the defense and defense, and how to effectively identify the security holes in the Web application, that is, the detection of the vulnerability, is the core problem in the field of Web security. According to whether the detected program is to be run, the vulnerability detection technology can be divided into a static vulnerability detection technology and a dynamic vulnerability detection technology. The static vulnerability detection technology and the dynamic vulnerability detection technology face many challenges. The technique of static vulnerability detection is usually too high to improve the accuracy of the static hole detection, and the performance of the method is one of the key challenges to the detection of the static vulnerability. The static vulnerability detection usually uses the program analysis technique to find the security problem of the Web application. However, due to the nature of the Web application, traditional program analysis techniques cannot be used directly for static vulnerability detection. The dynamic vulnerability detection technology based on the fuzzy test has the advantage of low error rate. However, due to the randomness of the input vector, the code coverage of the fuzzy test is low, and it is difficult to find a hidden vulnerability in the program. The test input generation method based on the hybrid execution can improve the code coverage of the fuzzy test. However, the modern Web application logic is complex, large in scale, and is faced with the problem of path explosion when traversing up to the execution path. In this paper, the problems and challenges facing the detection and dynamic vulnerability detection of the Web application are discussed, and the key technologies such as the local call graph generation, the input verification vulnerability detection and the path search in the mixed execution of the Web application are studied. The main contribution of this paper is as follows:1. In order to support the process-to-process analysis in the static vulnerability detection, the paper presents a local call graph generation method for Web application aiming at the problem of low efficiency of all-program analysis and the missing of the Web application library code. The analysis object of this method is the application part code of the Web application, the signature of the method in the library part code referenced by the application part, the domain of the class and the class hierarchy. First, the memory location in the program is abstracted by using the mixed-stack model, and the abstract memory location of the application part and the library part is distinguished. Then, using the rule to model the interaction behavior of the application part and the library related to the pointer, and the pointer information of the library part code is deduced. Finally, a pointer to the collection is maintained for the library portion, the library callback edge is parsed using the set, and the abstract object that returns to the application portion pointer to the set is limited. The experimental results show that the operation time of the method is 4.9 times and 13.7 times faster than that of werroes and Spark, and the integrity and accuracy of the local call graph can be guaranteed to a certain extent. In this paper, an input verification vulnerability detection method based on static information flow tracking technology is presented in this paper. First, an integrated pointer analysis is used to identify the dependency of the data in the heap and the alias relationship between the variables. And then, the data dependency relation summary of the method in the program is analyzed through the data flow in the process, and the efficiency of the inter-process analysis is improved. Finally, a two-way data flow analysis technique is proposed to keep track of information flow and shorten the path length of the spot data. This paper implements this method on the open source static code analysis tool FindBugs and verifies the method on the reference program SecuriBench. The experimental results show that the method can improve the detection accuracy of the input verification vulnerability without significantly reducing the performance of the static hole detection method. In order to solve the problem of the path explosion, a path search strategy is proposed in this paper. The search strategy estimates the code coverage of each branch of the test program in real time, and selects the branch with the lowest coverage to continue to explore the execution. The experimental results show that the route search strategy can effectively mitigate the path explosion problem of the hybrid execution and support the code coverage of the dynamic vulnerability detection technology based on the fuzzy test.
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2014
【分類(lèi)號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李廣洲,丁金芳,鄧海山;基于Web的化學(xué)計(jì)算機(jī)化自適應(yīng)測(cè)驗(yàn)系統(tǒng)的實(shí)現(xiàn)[J];計(jì)算機(jī)與應(yīng)用化學(xué);2002年05期

2 趙松林;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];微型機(jī)與應(yīng)用;2003年08期

3 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠(yuǎn)程分析工具集中的應(yīng)用[J];儀器儀表用戶(hù);2004年02期

4 嚴(yán)毅,唐天兵,寧葵;Web服務(wù)實(shí)現(xiàn)開(kāi)放式的企業(yè)應(yīng)用集成[J];廣西大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年03期

5 邵文田;;去除使用Web服務(wù)尋找適當(dāng)?shù)某绦蝽?xiàng)目[J];電腦迷;2007年15期

6 宋平;;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];福建電腦;2007年10期

7 鄒丹;;基于Web服務(wù)的醫(yī)院信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];大眾科技;2007年06期

8 彭玉華;;基于Web的學(xué)生信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];民營(yíng)科技;2010年09期

9 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語(yǔ)言[J];小型微型計(jì)算機(jī)系統(tǒng);2011年10期

10 ;借會(huì)獻(xiàn)技——國(guó)際軟件博覽會(huì)中心議題web計(jì)算及應(yīng)用[J];每周電腦報(bào);1997年43期

相關(guān)會(huì)議論文 前10條

1 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國(guó)Web信息系統(tǒng)及其應(yīng)用會(huì)議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用年會(huì)論文集（2001）[C];2001年

3 王衛(wèi);;基于Web的數(shù)據(jù)庫(kù)應(yīng)用[A];第十八屆中國(guó)（天津）’2004IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會(huì)議論文集[C];2004年

4 張默;廖湖聲;杜金蓮;;基于Web服務(wù)的開(kāi)放式地理信息系統(tǒng)的研究[A];2006年全國(guó)開(kāi)放式分布與并行計(jì)算機(jī)學(xué)術(shù)會(huì)議論文集（三）[C];2006年

5 鄭菊艷;續(xù)愛(ài)民;;基于WEB模式的科研項(xiàng)目管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];第十四屆中國(guó)科協(xié)年會(huì)第5分會(huì)場(chǎng)：綠色船舶與海洋裝備創(chuàng)新發(fā)展及產(chǎn)業(yè)化論壇論文集[C];2012年

6 鄭菊艷;續(xù)愛(ài)民;;基于WEB模式的科研項(xiàng)目管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2012年MIS/S&A學(xué)術(shù)交流會(huì)議論文集[C];2012年

7 李勤;;基于WEB的計(jì)算機(jī)模擬病例考試系統(tǒng)在全科醫(yī)師培訓(xùn)實(shí)踐能力測(cè)試中應(yīng)用研究[A];2012年浙江省全科醫(yī)學(xué)學(xué)術(shù)年會(huì)論文匯編[C];2012年

8 黃海林;孫向陽(yáng);;基于Web的大學(xué)物理試題管理系統(tǒng)的設(shè)計(jì)[A];湖北省物理學(xué)會(huì)、武漢物理學(xué)會(huì)成立70周年慶典暨2002年學(xué)術(shù)年會(huì)論文集[C];2002年

9 于莉莉;張毅;;基于Web的人力資源管理系統(tǒng)研究與設(shè)計(jì)[A];2008全國(guó)制造業(yè)信息化標(biāo)準(zhǔn)化論壇論文集[C];2008年

10 李中華;;企業(yè)Web應(yīng)用安全威脅與防護(hù)[A];創(chuàng)新·融合·發(fā)展——?jiǎng)?chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 劉繼安;準(zhǔn)備好了嗎？WEB教師[N];中國(guó)教育報(bào);2001年

2 張承東;Web智能考核廣告[N];網(wǎng)絡(luò)世界;2009年

3 科訊;WEB教師——一個(gè)全新職業(yè)的透析[N];科技日?qǐng)?bào);2001年

4 王雅麗;博客社區(qū)齊上陣 銀行借Web 2.0拉攏未來(lái)客戶(hù)[N];中國(guó)計(jì)算機(jī)報(bào);2008年

5 本報(bào)記者 黃智軍;Web應(yīng)用呼喚新型安全系統(tǒng)[N];計(jì)算機(jī)世界;2009年

6 居易;WEB教師熱門(mén)起來(lái)[N];組織人事報(bào);2001年

7 本報(bào)記者 趙曉濤;四問(wèn)“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

8 本報(bào)記者 徐恒;手機(jī)瀏覽器：競(jìng)爭(zhēng)不斷加劇 Web大勢(shì)所趨[N];中國(guó)電子報(bào);2009年

9 電腦商報(bào)記者 張戈;Web應(yīng)用安全正當(dāng)時(shí)[N];電腦商報(bào);2010年

10 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

相關(guān)博士學(xué)位論文 前10條

1 萬(wàn)志遠(yuǎn);Web應(yīng)用程序漏洞檢測(cè)關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

2 孫慧峰;基于協(xié)同過(guò)濾的個(gè)性化Web推薦[D];北京郵電大學(xué);2012年

3 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學(xué);2007年

4 張建武;面向Web應(yīng)用的安全評(píng)測(cè)技術(shù)研究[D];北京郵電大學(xué);2012年

5 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

6 孫濤;面向市場(chǎng)情報(bào)分析的Web實(shí)體事件融合問(wèn)題研究[D];山東大學(xué);2014年

7 謝琪;基于協(xié)同過(guò)濾與QoS的個(gè)性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

8 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

9 劉曉光;網(wǎng)絡(luò)化制造中Web服務(wù)自動(dòng)組合的若干關(guān)鍵技術(shù)研究[D];上海交通大學(xué);2008年

10 劉國(guó)奇;面向領(lǐng)域QoS約束的Web服務(wù)選取方法[D];東北大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 李林蓉;基于Restful和OSGI的Web應(yīng)用轉(zhuǎn)換容器的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

2 陳彬彬;基于QoS隨機(jī)性的Web服務(wù)質(zhì)量偏離監(jiān)測(cè)方法研究與實(shí)現(xiàn)[D];昆明理工大學(xué);2015年

3 徐超;機(jī)頂盒中基于Web交互方式的設(shè)計(jì)與實(shí)現(xiàn)[D];西南交通大學(xué);2015年

4 張銳;基于Web技術(shù)下的出差管理系統(tǒng)[D];西安工業(yè)大學(xué);2015年

5 游維;基于Rest的Web業(yè)務(wù)系統(tǒng)日志采集與分析系統(tǒng)的研究與開(kāi)發(fā)[D];山東大學(xué);2015年

6 陶瑩昌;基于Web的校園二手圖書(shū)拍賣(mài)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];西華師范大學(xué);2015年

7 周贏;基于WEB的績(jī)效管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

8 宋平亮;基于MongoDB的航道數(shù)據(jù)Web服務(wù)研究[D];大連海事大學(xué);2015年

9 汪洋;基于web的普通話(huà)新聞檢索技術(shù)研究[D];電子科技大學(xué);2014年

10 吳朝云;基于eyeOS的Web操作系統(tǒng)云存儲(chǔ)研究[D];電子科技大學(xué);2014年

，

本文編號(hào)：2507515