軟件漏洞發(fā)現(xiàn)、識別及診斷技術(shù)的研究
發(fā)布時間:2021-01-19 08:46
軟件系統(tǒng)已經(jīng)應(yīng)用到現(xiàn)實世界中的各個方面,因此軟件系統(tǒng)的漏洞嚴重威脅著用戶,企業(yè),甚至國家。而即使軟件開發(fā)者用盡最大努力,軟件漏洞在現(xiàn)實世界中大量存在,且無法避免。軟件公司建立自己的測試團隊,并利用各種方式,如模糊測試(Fuzz Testing)來發(fā)現(xiàn)各種軟件系統(tǒng)中的存在的漏洞。然而,隨著軟件復(fù)雜度的日益增加及軟件開發(fā)周期的日益縮短,檢測軟件漏洞變得更加具有挑戰(zhàn)性,這導(dǎo)致軟件公司的內(nèi)部測試團隊已然無暇在軟件發(fā)布之前檢測到所有可能的漏洞。當這些漏洞被有意或無意間觸發(fā)之后,軟件系統(tǒng)就會非正常退出或者崩潰,從而嚴重影響軟件的可靠性以及用戶的使用體驗。為了修復(fù)軟件系統(tǒng)中的安全漏洞使其不再受攻擊,如今的軟件廠商除了軟件漏洞挖掘技術(shù)之外,還采取以下兩種新的策略。一,軟件供應(yīng)商通過各種漏洞報告網(wǎng)站,或漏洞賞金計劃來鼓勵軟件用戶(如黑客,安全分析人員,研究學(xué)者,普通用戶等)提交漏洞報告。隨后,軟件開發(fā)者通過分析漏洞報告并重現(xiàn)該漏洞來識別這些軟件漏洞。通過漏洞重現(xiàn),軟件開發(fā)者可以很容易找到漏洞的根本原因。二,軟件供應(yīng)商會自動化地收集軟件崩潰報告,并從中分析并定位軟件漏洞的根本原因。軟件開發(fā)者對崩潰報告中的...
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:135 頁
【學(xué)位級別】:博士
【文章目錄】:
摘要
Abstract
前言
1 緒論
1.1 研究背景與相關(guān)工作
1.1.1 漏洞挖掘
1.1.2 漏洞重現(xiàn)
1.1.3 崩潰分析
1.1.4 二進制分析中的機器學(xué)習(xí)
1.2 研究內(nèi)容
1.2.1 軟件漏洞挖掘
1.2.2 軟件漏洞重現(xiàn)
1.2.3 軟件崩潰分析
1.3 本工作的意義和價值
2 軟件漏洞挖掘
2.1 引言
2.2 背景知識
2.2.1 American Fuzzy Lop
2.2.2 Intel PT
2.3 設(shè)計
2.3.1 綜述
2.3.2 流程細節(jié)
2.3.3 效率提升
2.3.4 新型反饋機制的附帶好處
2.4 評價
2.4.1 實驗設(shè)置
2.4.2 執(zhí)行速度評價
2.4.3 代碼覆蓋評測
2.4.4 現(xiàn)實案例研究
2.5 總結(jié)
3 軟件漏洞重現(xiàn)
3.1 研究方法及數(shù)據(jù)集
3.1.1 研究方法綜述
3.1.2 漏洞報告數(shù)據(jù)集
3.2 重現(xiàn)實驗設(shè)計
3.2.1 重現(xiàn)工作流程
3.2.2 分析團隊
3.2.3 默認設(shè)置
3.2.4 可控信息源
3.3 評估結(jié)果
3.3.1 時間消耗
3.3.2 可重現(xiàn)性
3.3.3 缺失信息
3.3.4 補充因素
3.4 縮小差距
3.4.1 方法與結(jié)果概述
3.4.2 案例研究
3.4.3 觀察和經(jīng)驗
3.5 討論
3.5.1 建議
3.5.2 限制
3.5.3 未來展望
3.5.4 重現(xiàn)漏洞數(shù)據(jù)集
3.6 總結(jié)
4 軟件崩潰分析之POMP++
4.1 引言
4.2 威脅模型
4.3 綜述
4.3.1 目標
4.3.2 逆向執(zhí)行
4.3.3 Value-set Analysis確認別名關(guān)系
4.3.4 定位根本原因
4.4 設(shè)計
4.4.1 定制Value-setAnalysis
4.4.2 逆向執(zhí)行
4.4.3 后向染色分析
4.5 評價
4.5.1 實驗設(shè)置
4.5.2 實驗結(jié)果
4.6 總結(jié)
5 軟件崩潰分析之RENN
5.1 背景和動機
5.1.1 逆向執(zhí)行
5.1.2 局限性
5.2 關(guān)鍵技術(shù)
5.2.1 現(xiàn)有神經(jīng)網(wǎng)絡(luò)框架
5.2.2 我們提出的技術(shù)
5.2.3 討論
5.3 實現(xiàn)
5.4 評估
5.4.1 數(shù)據(jù)集
5.4.2 實驗設(shè)置
5.4.3 實驗結(jié)果
5.5 總結(jié)
6 結(jié)論
致謝
參考文獻
簡歷與科研成果
本文編號:2986699
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:135 頁
【學(xué)位級別】:博士
【文章目錄】:
摘要
Abstract
前言
1 緒論
1.1 研究背景與相關(guān)工作
1.1.1 漏洞挖掘
1.1.2 漏洞重現(xiàn)
1.1.3 崩潰分析
1.1.4 二進制分析中的機器學(xué)習(xí)
1.2 研究內(nèi)容
1.2.1 軟件漏洞挖掘
1.2.2 軟件漏洞重現(xiàn)
1.2.3 軟件崩潰分析
1.3 本工作的意義和價值
2 軟件漏洞挖掘
2.1 引言
2.2 背景知識
2.2.1 American Fuzzy Lop
2.2.2 Intel PT
2.3 設(shè)計
2.3.1 綜述
2.3.2 流程細節(jié)
2.3.3 效率提升
2.3.4 新型反饋機制的附帶好處
2.4 評價
2.4.1 實驗設(shè)置
2.4.2 執(zhí)行速度評價
2.4.3 代碼覆蓋評測
2.4.4 現(xiàn)實案例研究
2.5 總結(jié)
3 軟件漏洞重現(xiàn)
3.1 研究方法及數(shù)據(jù)集
3.1.1 研究方法綜述
3.1.2 漏洞報告數(shù)據(jù)集
3.2 重現(xiàn)實驗設(shè)計
3.2.1 重現(xiàn)工作流程
3.2.2 分析團隊
3.2.3 默認設(shè)置
3.2.4 可控信息源
3.3 評估結(jié)果
3.3.1 時間消耗
3.3.2 可重現(xiàn)性
3.3.3 缺失信息
3.3.4 補充因素
3.4 縮小差距
3.4.1 方法與結(jié)果概述
3.4.2 案例研究
3.4.3 觀察和經(jīng)驗
3.5 討論
3.5.1 建議
3.5.2 限制
3.5.3 未來展望
3.5.4 重現(xiàn)漏洞數(shù)據(jù)集
3.6 總結(jié)
4 軟件崩潰分析之POMP++
4.1 引言
4.2 威脅模型
4.3 綜述
4.3.1 目標
4.3.2 逆向執(zhí)行
4.3.3 Value-set Analysis確認別名關(guān)系
4.3.4 定位根本原因
4.4 設(shè)計
4.4.1 定制Value-setAnalysis
4.4.2 逆向執(zhí)行
4.4.3 后向染色分析
4.5 評價
4.5.1 實驗設(shè)置
4.5.2 實驗結(jié)果
4.6 總結(jié)
5 軟件崩潰分析之RENN
5.1 背景和動機
5.1.1 逆向執(zhí)行
5.1.2 局限性
5.2 關(guān)鍵技術(shù)
5.2.1 現(xiàn)有神經(jīng)網(wǎng)絡(luò)框架
5.2.2 我們提出的技術(shù)
5.2.3 討論
5.3 實現(xiàn)
5.4 評估
5.4.1 數(shù)據(jù)集
5.4.2 實驗設(shè)置
5.4.3 實驗結(jié)果
5.5 總結(jié)
6 結(jié)論
致謝
參考文獻
簡歷與科研成果
本文編號:2986699
本文鏈接:http://sikaile.net/kejilunwen/ruanjiangongchenglunwen/2986699.html
最近更新
教材專著
