發(fā)布時(shí)間：2017-10-04 10:13

  本文關(guān)鍵詞：J2EE平臺(tái)下的web應(yīng)用缺陷的靜態(tài)檢測(cè)技術(shù)研究

  更多相關(guān)文章： Java EE web應(yīng)用 靜態(tài)缺陷檢測(cè) 逆向分析 數(shù)據(jù)庫(kù)語(yǔ)言

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,人們的各種行為越來(lái)越離不開(kāi)互聯(lián)網(wǎng),互聯(lián)網(wǎng)如同一把雙刃劍,在帶給人們方便的同時(shí)也帶來(lái)了極大的安全隱患,互聯(lián)網(wǎng)用戶的隱私、財(cái)產(chǎn)及電腦安全都受到了嚴(yán)重的威脅。因此如何保證互聯(lián)網(wǎng)用戶的安全也變得越來(lái)越重要。為了保證互聯(lián)網(wǎng)用戶的安全,需要在互聯(lián)網(wǎng)應(yīng)用發(fā)布之前對(duì)其進(jìn)行安全缺陷掃描,避免代碼缺陷給攻擊者帶來(lái)可乘之機(jī)。 現(xiàn)有的各種代碼缺陷檢測(cè)技術(shù)都分別存在缺點(diǎn),在檢測(cè)效率或準(zhǔn)確率方面都還有可提升的地方。人工分析檢測(cè)效率低、動(dòng)態(tài)分析漏報(bào)率高、靜態(tài)分析誤報(bào)率高,它們都各有其局限性。 靜態(tài)檢測(cè),是指不運(yùn)行程序進(jìn)行就能對(duì)程序進(jìn)行自動(dòng)化缺陷檢測(cè)的技術(shù)。靜態(tài)檢測(cè)技術(shù)通過(guò)將程序源代碼抽象為中間語(yǔ)言,然后對(duì)中間抽象語(yǔ)言進(jìn)行分析,發(fā)現(xiàn)其中存在的安全缺陷。本文在深入研究靜態(tài)缺陷檢測(cè)技術(shù)的基礎(chǔ)上,針對(duì)Java EE平臺(tái)下的web應(yīng)用采用一種基于數(shù)據(jù)庫(kù)查詢語(yǔ)言的方式進(jìn)行靜態(tài)缺陷檢測(cè)。為了使缺陷檢測(cè)結(jié)果更加精確,本文深入地研究了在進(jìn)行代碼抽象分析過(guò)程中的基于污點(diǎn)數(shù)據(jù)的別名分析和基于克隆的上下文敏感的別名分析技術(shù)。除此之外,本文針對(duì)Java EE平臺(tái)下的web應(yīng)用缺陷的特點(diǎn),提出一種以危險(xiǎn)數(shù)據(jù)為入口的逆向缺陷檢測(cè)技術(shù),從可能引發(fā)安全缺陷的危險(xiǎn)數(shù)據(jù)進(jìn)行逆向分析檢測(cè)安全缺陷。通過(guò)一系列實(shí)驗(yàn)和大量的實(shí)驗(yàn)數(shù)據(jù),證明了本文采用的檢測(cè)方法和提出的基于危險(xiǎn)數(shù)據(jù)的逆向分析模型的具有更高的檢測(cè)效率和準(zhǔn)確率。 針對(duì)Java EE平臺(tái)下的web應(yīng)用缺陷的靜態(tài)檢測(cè)技術(shù),本文創(chuàng)新性地提出了從可能引發(fā)缺陷的危險(xiǎn)數(shù)據(jù)為入口進(jìn)行逆向分析的靜態(tài)缺陷檢測(cè)模型,對(duì)保護(hù)互聯(lián)網(wǎng)中企業(yè)和用戶的隱私及財(cái)產(chǎn)安全具有十分重要的意義。
【關(guān)鍵詞】：Java EE web應(yīng)用 靜態(tài)缺陷檢測(cè) 逆向分析 數(shù)據(jù)庫(kù)語(yǔ)言
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-5
• abstract5-9
• 第一章 緒論9-15
• 1.1. 研究背景及意義9-10
• 1.2. 軟件缺陷檢測(cè)技術(shù)研究現(xiàn)狀10-11
• 1.3. 論文主要工作11-13
• 1.4. 論文組織結(jié)構(gòu)13-15
• 第二章 Java EE平臺(tái)下的WEB應(yīng)用缺陷分析15-23
• 2.1. Java EE平臺(tái)下的web應(yīng)用介紹15-17
• 2.1.1. Java EE綜述15
• 2.1.2. Java EE分層結(jié)構(gòu)15-17
• 2.2. Java EE平臺(tái)下的web應(yīng)用中常見(jiàn)缺陷類型17-20
• 2.2.1. SQL注入漏洞17-18
• 2.2.2. 跨站腳本漏洞18-19
• 2.2.3. 命令注入漏洞19
• 2.2.4. 路徑遍歷漏洞19-20
• 2.3. 缺陷模式提取總結(jié)20-22
• 2.4. 本章小結(jié)22-23
• 第三章 WEB應(yīng)用缺陷靜態(tài)檢測(cè)技術(shù)23-39
• 3.1. 基于Datalog的程序分析23-29
• 3.1.1. Datalog分析術(shù)語(yǔ)23-24
• 3.1.2. Datalog的程序分析過(guò)程24-26
• 3.1.3. Datalog轉(zhuǎn)化為BDD26-29
• 3.2. 基于污點(diǎn)數(shù)據(jù)的別名分析技術(shù)29-33
• 3.2.1. 別名分析概述29-30
• 3.2.2. 基于污點(diǎn)數(shù)據(jù)的別名分析規(guī)則30-33
• 3.3. 基于克隆的上下文敏感的別名分析技術(shù)33-38
• 3.3.1. 上下文敏感分析概述33-34
• 3.3.2. 上下文敏感分析處理方法34-35
• 3.3.3. 上下文敏感程序調(diào)用路徑分析35-38
• 3.4. 本章小結(jié)38-39
• 第四章 針對(duì)Java EE web應(yīng)用的逆向靜態(tài)缺陷檢測(cè)技術(shù)39-47
• 4.1. Java EE web應(yīng)用逆向缺陷檢測(cè)原理39-44
• 4.1.1. 缺陷描述域39-40
• 4.1.2. 缺陷描述關(guān)系40-41
• 4.1.3. 缺陷逆向分析規(guī)則41-44
• 4.2. 實(shí)驗(yàn)結(jié)果與分析44-45
• 4.2.1. 構(gòu)造實(shí)驗(yàn)結(jié)果44-45
• 4.2.2. 逆向分析與正向分析效率試驗(yàn)結(jié)果比較45
• 4.3. 本章小結(jié)45-47
• 第五章 Java EE下web應(yīng)用缺陷靜態(tài)檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)47-62
• 5.1. 系統(tǒng)功能及模塊設(shè)計(jì)47-52
• 5.1.1. 系統(tǒng)功能描述47
• 5.1.2. 系統(tǒng)處理流程設(shè)計(jì)47-49
• 5.1.3. 系統(tǒng)模塊劃分49
• 5.1.4. 各個(gè)模塊功能簡(jiǎn)介49-52
• 5.2. 特殊問(wèn)題處理及優(yōu)化52-58
• 5.2.1. 傳播函數(shù)類型的補(bǔ)充52-53
• 5.2.2. 其他特殊傳播53-54
• 5.2.3. 有關(guān)字符串常量的檢測(cè)54-56
• 5.2.4. 虛方法的調(diào)用56-58
• 5.3. 實(shí)驗(yàn)結(jié)果與分析58-61
• 5.4. 本章小結(jié)61-62
• 總結(jié)和展望62-63
• 參考文獻(xiàn)63-65
• 致謝65-66
• 攻讀碩士學(xué)位期間發(fā)表的學(xué)術(shù)論文目錄66

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前2條

1 ;中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立:中國(guó)從網(wǎng)絡(luò)大國(guó)加速邁向網(wǎng)絡(luò)強(qiáng)國(guó)[J];信息安全與通信保密;2014年03期

2 楊洪路;宮云戰(zhàn);高文齡;白哥樂(lè);;軟件安全靜態(tài)檢測(cè)技術(shù)與工具[J];信息化縱橫;2009年09期

，

本文編號(hào)：970065