本文關(guān)鍵詞：J2EE平臺下的web應(yīng)用缺陷的靜態(tài)檢測技術(shù)研究

  更多相關(guān)文章： Java EE web應(yīng)用 靜態(tài)缺陷檢測 逆向分析 數(shù)據(jù)庫語言

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,人們的各種行為越來越離不開互聯(lián)網(wǎng),互聯(lián)網(wǎng)如同一把雙刃劍,在帶給人們方便的同時也帶來了極大的安全隱患,互聯(lián)網(wǎng)用戶的隱私、財產(chǎn)及電腦安全都受到了嚴重的威脅。因此如何保證互聯(lián)網(wǎng)用戶的安全也變得越來越重要。為了保證互聯(lián)網(wǎng)用戶的安全,需要在互聯(lián)網(wǎng)應(yīng)用發(fā)布之前對其進行安全缺陷掃描,避免代碼缺陷給攻擊者帶來可乘之機。 現(xiàn)有的各種代碼缺陷檢測技術(shù)都分別存在缺點,在檢測效率或準確率方面都還有可提升的地方。人工分析檢測效率低、動態(tài)分析漏報率高、靜態(tài)分析誤報率高,它們都各有其局限性。 靜態(tài)檢測,是指不運行程序進行就能對程序進行自動化缺陷檢測的技術(shù)。靜態(tài)檢測技術(shù)通過將程序源代碼抽象為中間語言,然后對中間抽象語言進行分析,發(fā)現(xiàn)其中存在的安全缺陷。本文在深入研究靜態(tài)缺陷檢測技術(shù)的基礎(chǔ)上,針對Java EE平臺下的web應(yīng)用采用一種基于數(shù)據(jù)庫查詢語言的方式進行靜態(tài)缺陷檢測。為了使缺陷檢測結(jié)果更加精確,本文深入地研究了在進行代碼抽象分析過程中的基于污點數(shù)據(jù)的別名分析和基于克隆的上下文敏感的別名分析技術(shù)。除此之外,本文針對Java EE平臺下的web應(yīng)用缺陷的特點,提出一種以危險數(shù)據(jù)為入口的逆向缺陷檢測技術(shù),從可能引發(fā)安全缺陷的危險數(shù)據(jù)進行逆向分析檢測安全缺陷。通過一系列實驗和大量的實驗數(shù)據(jù),證明了本文采用的檢測方法和提出的基于危險數(shù)據(jù)的逆向分析模型的具有更高的檢測效率和準確率。 針對Java EE平臺下的web應(yīng)用缺陷的靜態(tài)檢測技術(shù),本文創(chuàng)新性地提出了從可能引發(fā)缺陷的危險數(shù)據(jù)為入口進行逆向分析的靜態(tài)缺陷檢測模型,對保護互聯(lián)網(wǎng)中企業(yè)和用戶的隱私及財產(chǎn)安全具有十分重要的意義。
【關(guān)鍵詞】：Java EE web應(yīng)用 靜態(tài)缺陷檢測 逆向分析 數(shù)據(jù)庫語言
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• abstract5-9
• 第一章 緒論9-15
• 1.1. 研究背景及意義9-10
• 1.2. 軟件缺陷檢測技術(shù)研究現(xiàn)狀10-11
• 1.3. 論文主要工作11-13
• 1.4. 論文組織結(jié)構(gòu)13-15
• 第二章 Java EE平臺下的WEB應(yīng)用缺陷分析15-23
• 2.1. Java EE平臺下的web應(yīng)用介紹15-17
• 2.1.1. Java EE綜述15
• 2.1.2. Java EE分層結(jié)構(gòu)15-17
• 2.2. Java EE平臺下的web應(yīng)用中常見缺陷類型17-20
• 2.2.1. SQL注入漏洞17-18
• 2.2.2. 跨站腳本漏洞18-19
• 2.2.3. 命令注入漏洞19
• 2.2.4. 路徑遍歷漏洞19-20
• 2.3. 缺陷模式提取總結(jié)20-22
• 2.4. 本章小結(jié)22-23
• 第三章 WEB應(yīng)用缺陷靜態(tài)檢測技術(shù)23-39
• 3.1. 基于Datalog的程序分析23-29
• 3.1.1. Datalog分析術(shù)語23-24
• 3.1.2. Datalog的程序分析過程24-26
• 3.1.3. Datalog轉(zhuǎn)化為BDD26-29
• 3.2. 基于污點數(shù)據(jù)的別名分析技術(shù)29-33
• 3.2.1. 別名分析概述29-30
• 3.2.2. 基于污點數(shù)據(jù)的別名分析規(guī)則30-33
• 3.3. 基于克隆的上下文敏感的別名分析技術(shù)33-38
• 3.3.1. 上下文敏感分析概述33-34
• 3.3.2. 上下文敏感分析處理方法34-35
• 3.3.3. 上下文敏感程序調(diào)用路徑分析35-38
• 3.4. 本章小結(jié)38-39
• 第四章 針對Java EE web應(yīng)用的逆向靜態(tài)缺陷檢測技術(shù)39-47
• 4.1. Java EE web應(yīng)用逆向缺陷檢測原理39-44
• 4.1.1. 缺陷描述域39-40
• 4.1.2. 缺陷描述關(guān)系40-41
• 4.1.3. 缺陷逆向分析規(guī)則41-44
• 4.2. 實驗結(jié)果與分析44-45
• 4.2.1. 構(gòu)造實驗結(jié)果44-45
• 4.2.2. 逆向分析與正向分析效率試驗結(jié)果比較45
• 4.3. 本章小結(jié)45-47
• 第五章 Java EE下web應(yīng)用缺陷靜態(tài)檢測系統(tǒng)設(shè)計與實現(xiàn)47-62
• 5.1. 系統(tǒng)功能及模塊設(shè)計47-52
• 5.1.1. 系統(tǒng)功能描述47
• 5.1.2. 系統(tǒng)處理流程設(shè)計47-49
• 5.1.3. 系統(tǒng)模塊劃分49
• 5.1.4. 各個模塊功能簡介49-52
• 5.2. 特殊問題處理及優(yōu)化52-58
• 5.2.1. 傳播函數(shù)類型的補充52-53
• 5.2.2. 其他特殊傳播53-54
• 5.2.3. 有關(guān)字符串常量的檢測54-56
• 5.2.4. 虛方法的調(diào)用56-58
• 5.3. 實驗結(jié)果與分析58-61
• 5.4. 本章小結(jié)61-62
• 總結(jié)和展望62-63
• 參考文獻63-65
• 致謝65-66
• 攻讀碩士學位期間發(fā)表的學術(shù)論文目錄66

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 ;中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組成立:中國從網(wǎng)絡(luò)大國加速邁向網(wǎng)絡(luò)強國[J];信息安全與通信保密;2014年03期

2 楊洪路;宮云戰(zhàn);高文齡;白哥樂;;軟件安全靜態(tài)檢測技術(shù)與工具[J];信息化縱橫;2009年09期

，

本文編號：970065