【摘要】：針對數(shù)據(jù)流分析常面臨的高誤報率等問題,提出基于圖模型的C程序數(shù)據(jù)流分析方法,構建包含抽象語法樹、控制流信息、程序依賴信息及函數(shù)調用信息的多維圖模型,從安全敏感程序點(sink)溯源得到所有相關的外界可控輸入源(source),通過基于圖模型的過程內和過程間定值分析,實現(xiàn)對污點型缺陷的檢測.結果表明,依賴完備的代碼屬性指導和區(qū)間運算支撐,可以有效降低數(shù)據(jù)流分析的誤報率,減少人工審計代碼的工作量.
[Abstract]:Aiming at the problems of high false alarm rate in data flow analysis, this paper presents a C program data stream analysis method based on graph model, and constructs a multi-dimensional graph model which includes abstract syntax tree, control flow information, program dependence information and function call information. All the related external controllable input sources (source),) are traced from the (sink) of the security sensitive program, and the detection of stain defects is realized by analyzing the internal and inter-process values based on the graph model. The results show that, depending on complete code attribute guidance and interval operation support, the false positive rate of data stream analysis can be reduced effectively, and the workload of manual audit code can be reduced.
【作者單位】： 解放軍電子工程學院
【基金】：國家自然科學基金資助項目(61272491)
【分類號】：TP312.1

【參考文獻】

相關期刊論文 前7條

1 萬志遠;周波;;支持局部調用圖生成的指針分析[J];浙江大學學報(工學版);2015年06期

2 萬志遠;周波;;基于靜態(tài)信息流跟蹤的輸入驗證漏洞檢測方法[J];浙江大學學報(工學版);2015年04期

3 李舟軍;張俊賢;廖湘科;馬金鑫;;軟件安全漏洞檢測技術[J];計算機學報;2015年04期

4 董玉坤;宮云戰(zhàn);金大海;;基于區(qū)域內存模型的空指針引用缺陷檢測[J];電子學報;2014年09期

5 張迎周;符煒;;一種過程間單子切片方法[J];電子學報;2013年08期

6 王蕊;馮登國;楊軼;蘇璞睿;;基于語義的惡意代碼行為特征提取及檢測方法[J];軟件學報;2012年02期

7 王雅文;宮云戰(zhàn);肖慶;楊朝紅;;基于抽象解釋的變量值范圍分析及應用[J];電子學報;2011年02期

【共引文獻】

相關期刊論文 前10條

1 張志華;;基于滲透測試的網(wǎng)絡安全漏洞實時偵測技術[J];科學技術與工程;2018年20期

2 張國強;殷博;邱宇;王偉靜;;基于概率層次分析的緩沖區(qū)溢出檢測工具評估[J];計算機應用與軟件;2018年07期

3 羅娜;魏松杰;時召偉;吳高翔;;采用LSTM模型的Android應用行為一致性檢測[J];浙江大學學報(工學版);2018年06期

4 莫培弘;衷璐潔;;LLVM中靜態(tài)程序信息的過程間分析方法[J];計算機工程與設計;2018年06期

5 張長勝;周洌;任小波;李川;;基于粗糙集理論的惡意代碼特征分析[J];電子科技;2018年06期

6 張晨斌;張云春;鄭楊;張鵬程;林森;;基于灰度圖紋理指紋的惡意軟件分類[J];計算機科學;2018年S1期

7 張婧;周安民;劉亮;賈鵬;劉露平;;Crash可利用性分析方法研究綜述[J];計算機科學;2018年05期

8 劉賀翔;李英娜;張長勝;任小波;李川;;基于隨機森林算法的Android惡意代碼特征分析[J];電子科技;2018年05期

9 董玉坤;;基于符號約束集的條件表達式數(shù)據(jù)流分析[J];科學技術與工程;2018年07期

10 Jin Li;Jinfu Chen;Minhuan Huang;Minmin Zhou;Wanggen Xie;Zhifeng Zeng;Shujie Chen;Zufa Zhang;;An Integration Testing Framework and Evaluation Metric for Vulnerability Mining Methods[J];中國通信;2018年02期

【二級參考文獻】

相關期刊論文 前10條

1 董玉坤;金大海;宮云戰(zhàn);邢穎;;基于區(qū)域內存模型的C程序靜態(tài)分析[J];軟件學報;2014年02期

2 黃強;曾慶凱;;基于信息流策略的污點傳播分析及動態(tài)驗證[J];軟件學報;2011年09期

3 崔展齊;王林章;李宣東;;一種目標制導的混合執(zhí)行測試方法[J];計算機學報;2011年06期

4 王雅文;宮云戰(zhàn);肖慶;楊朝紅;;基于抽象解釋的變量值范圍分析及應用[J];電子學報;2011年02期

5 陳平;韓浩;沈曉斌;殷新春;茅兵;謝立;;基于動靜態(tài)程序分析的整形漏洞檢測工具[J];電子學報;2010年08期

6 梅宏;王千祥;張路;王戟;;軟件分析技術進展[J];計算機學報;2009年09期

7 王雷;李吉;李博洋;;緩沖區(qū)溢出漏洞精確檢測方法研究[J];電子學報;2008年11期

8 張迎周;徐寶文;;一種新型形式化程序切片方法[J];中國科學(E輯:信息科學);2008年02期

9 李夢君;李舟軍;陳火旺;;基于抽象解釋理論的程序驗證技術[J];軟件學報;2008年01期

10 李勇;左志宏;;目標代碼混淆技術綜述[J];計算機技術與發(fā)展;2007年04期

【相似文獻】

相關期刊論文 前10條

1 常超;劉克勝;譚龍丹;賈文超;;基于圖模型的C程序數(shù)據(jù)流分析[J];浙江大學學報(工學版);2017年05期

2 周寬久;楊廣;賴曉晨;崔凱;姚艷雙;;基于控制流切片的代碼安全缺陷檢測方法[J];計算機工程與設計;2012年06期

3 蘆運照,張兆慶;控制流路徑敏感的深層代碼優(yōu)化技術[J];計算機工程;2004年10期

4 馬國強，張凈;管理控制流的三種途徑[J];微型電腦應用;1996年04期

5 宋正興;;一個計算機測驗、復習系統(tǒng)[J];湘潭大學自然科學學報;1988年04期

6 黃琳;一個新的斷言語言ALC及其實現(xiàn)[J];計算機應用與軟件;1989年02期

7 胡剛;張平;李清寶;張翠艷;;基于靜態(tài)模擬的二進制控制流恢復算法[J];計算機工程;2011年05期

8 呂榮;王紀;歐慶于;;基于控制流隱藏的輕量級密碼安全防護方法研究[J];計算機與數(shù)字工程;2014年12期

9 武成崗;李建軍;;控制流完整性的發(fā)展歷程[J];中國教育網(wǎng)絡;2016年04期

10 汪淼;趙榮彩;蔡國明;丁志芳;;軟件流水中隱式控制流恢復技術[J];計算機科學;2008年10期

相關會議論文 前3條

1 金大海;宮云戰(zhàn);楊朝紅;肖慶;;運行時異常對軟件靜態(tài)測試的影響研究[A];第六屆中國測試學術會議論文集[C];2010年

2 朱偉;徐拾義;;軟件控制流故障診斷的研究[A];第四屆中國測試學術會議論文集[C];2006年

3 宋亞奇;李莉;;基于EL的Java混淆器設計與實現(xiàn)[A];2008通信理論與技術新進展——第十三屆全國青年通信學術會議論文集（上）[C];2008年

相關博士學位論文 前1條

1 李游;統(tǒng)一的軟件測試控制流覆蓋準則體系及其符號執(zhí)行制導技術研究[D];南京大學;2016年

相關碩士學位論文 前10條

1 楊廣;控制流提取模型及軟件可靠性評價應用研究[D];大連理工大學;2013年

2 王旭;基于目標代碼的控制流混淆技術研究[D];北京郵電大學;2013年

3 牛歡;基于控制流上的必經關系識別程序的用例結構[D];東南大學;2015年

4 李劍明;面向星載計算機瞬時故障的軟件控制流錯誤檢測技術[D];國防科學技術大學;2009年

5 劉絮穎;反編譯中控制流重構與控制結構恢復技術研究[D];解放軍信息工程大學;2011年

6 沈若也;一種全局數(shù)據(jù)流分析方法研究及實現(xiàn)[D];北京郵電大學;2018年

7 李宏韜;面向數(shù)據(jù)流貝葉斯分類的動態(tài)學習策略研究[D];北京交通大學;2018年

8 邢雨辰;用于程序驗證的數(shù)據(jù)流分析技術的整合[D];南京大學;2013年

9 杭繼春;一種基于控制流平整的代碼混淆算法研究與實現(xiàn)[D];西北大學;2010年

10 方登輝;基于抽象語法樹的代碼靜態(tài)缺陷檢測工具開發(fā)[D];北京郵電大學;2018年

，

本文編號：2447064