本文關(guān)鍵詞：基于漏洞分析的軟件綜合檢測(cè)方法研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著信息共享的普及,各種應(yīng)用軟件相繼出現(xiàn)。軟件功能越來(lái)越多樣,代碼的控制結(jié)構(gòu)也越來(lái)越復(fù)雜。隨之而來(lái)的安全問(wèn)題也引起社會(huì)各方面的廣泛關(guān)注。為了維護(hù)信息系統(tǒng)的安全,高效實(shí)用的軟件安全檢測(cè)及漏洞分析技術(shù)供不應(yīng)求。越來(lái)越多的研究團(tuán)隊(duì)加入到軟件漏洞檢測(cè)這一研究項(xiàng)目中,研究重點(diǎn)大多只集中在漏洞檢測(cè)的某一方面,并且對(duì)軟件漏洞分析技術(shù)的理解也不全面。本文以漏洞分析為基礎(chǔ),研究綜合性的軟件安全檢測(cè)方法。論文的主要研究?jī)?nèi)容如下。首先,在閱讀大量相關(guān)文獻(xiàn)的基礎(chǔ)上,深入研究軟件漏洞的定義及其特點(diǎn)、軟件漏洞的分類與分級(jí),同時(shí)從靜態(tài)分析和動(dòng)態(tài)分析兩方面歸納總結(jié)目前國(guó)內(nèi)外關(guān)于軟件安全檢測(cè)方法及工具的主要研究成果,為論文進(jìn)一步研究工作奠定基礎(chǔ)。其次,針對(duì)基于源碼的軟件安全檢測(cè),提出逆向跟蹤的符號(hào)執(zhí)行方法。該方法首先通過(guò)模式匹配技術(shù)收集源碼中所有安全敏感函數(shù),并以這些安全敏感函數(shù)作為節(jié)點(diǎn)構(gòu)建數(shù)據(jù)流樹,從數(shù)據(jù)流樹中計(jì)算并得到可能的執(zhí)行路徑。然后通過(guò)輸入符號(hào),執(zhí)行所有產(chǎn)生的執(zhí)行路徑來(lái)生成程序約束；根據(jù)預(yù)定義的安全需求,計(jì)算所有執(zhí)行路徑上的安全約束；給出程序約束生成及安全約束生成算法。最后在生成的程序約束和安全約束基礎(chǔ)上,給出檢測(cè)源碼程序中漏洞的方法。再次,針對(duì)基于二進(jìn)制程序的軟件安全檢測(cè),提出基于污點(diǎn)分析的動(dòng)態(tài)符號(hào)執(zhí)行方法。首先給出方法的描述,該方法采用污點(diǎn)分析技術(shù)對(duì)程序中的數(shù)據(jù)流進(jìn)行分析,并快速定位與符號(hào)輸入相關(guān)的首條指令。然后,根據(jù)輸入的符號(hào)執(zhí)行二進(jìn)制程序,為了提高符號(hào)執(zhí)行階段的速度提出了三種優(yōu)化策略,包括白名單的構(gòu)建、無(wú)關(guān)狀態(tài)消除和路徑搜索優(yōu)化。最后,為了驗(yàn)證本文提出的兩種軟件檢測(cè)方法的有效性,分別進(jìn)行了實(shí)驗(yàn),同時(shí)進(jìn)行工具的對(duì)比分析。經(jīng)過(guò)對(duì)數(shù)據(jù)結(jié)果的分析,表明本文中提出的基于源代碼的逆向追蹤符號(hào)分析技術(shù)在精確性和查全率方面具有優(yōu)勢(shì)、基于二進(jìn)制程序的動(dòng)態(tài)符號(hào)執(zhí)行優(yōu)化方法在執(zhí)行速度上也具有優(yōu)勢(shì)。
【關(guān)鍵詞】：安全漏洞 符號(hào)執(zhí)行 靜態(tài)分析 污點(diǎn)分析 動(dòng)態(tài)二進(jìn)制
【學(xué)位授予單位】：大連海事大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP309
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第1章 緒論10-18
• 1.1 研究背景及意義10-12
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀12-16
• 1.2.1 軟件漏洞的研究現(xiàn)狀12-13
• 1.2.2 軟件安全檢測(cè)方法及工具的研究現(xiàn)狀13-16
• 1.3 論文結(jié)構(gòu)安排16-17
• 1.4 本章小結(jié)17-18
• 第2章 基礎(chǔ)理論和相關(guān)技術(shù)18-32
• 2.1 軟件漏洞18-20
• 2.1.1 漏洞定義18-19
• 2.1.2 漏洞特點(diǎn)19-20
• 2.2 軟件漏洞分類與分級(jí)20-25
• 2.2.1 軟件漏洞的分類20-24
• 2.2.2 軟件漏洞的分級(jí)24-25
• 2.3 軟件漏洞安全檢測(cè)技術(shù)25-31
• 2.3.1 軟件靜態(tài)分析技術(shù)25-28
• 2.3.2 軟件動(dòng)態(tài)分析技術(shù)28-31
• 2.4 本章小結(jié)31-32
• 第3章 基于源碼的軟件安全檢測(cè)32-45
• 3.1 符號(hào)執(zhí)行分析技術(shù)32-34
• 3.1.1 基本原理及應(yīng)用32-34
• 3.1.2 與其他漏洞分析技術(shù)的結(jié)合34
• 3.2 逆向跟蹤的符號(hào)執(zhí)行技術(shù)34-35
• 3.3 逆向跟蹤的符號(hào)執(zhí)行技術(shù)優(yōu)化35-44
• 3.3.1 節(jié)點(diǎn)檢測(cè)37
• 3.3.2 數(shù)據(jù)流樹的構(gòu)建37-39
• 3.3.3 生成可能的執(zhí)行路徑39-40
• 3.3.4 程序約束和安全約束40-43
• 3.3.5 PC和SC驗(yàn)證43-44
• 3.4 本章小結(jié)44-45
• 第4章 基于二進(jìn)制程序的軟件安全檢測(cè)45-53
• 4.1 動(dòng)靜結(jié)合的漏洞分析技術(shù)原理45-47
• 4.2 基于二進(jìn)制程序的污點(diǎn)分析技術(shù)47-48
• 4.2.1 采用污點(diǎn)分析技術(shù)的原因47
• 4.2.2 符號(hào)化的污點(diǎn)分析47-48
• 4.3 動(dòng)態(tài)符號(hào)執(zhí)行技術(shù)的優(yōu)化48-51
• 4.3.1 具體執(zhí)行和符號(hào)執(zhí)行48-49
• 4.3.2 動(dòng)態(tài)符號(hào)執(zhí)行優(yōu)化策略49-51
• 4.4 漏洞檢查階段51-52
• 4.5 本章小節(jié)52-53
• 第5章 基于漏洞分析的軟件安全綜合檢測(cè)方法實(shí)驗(yàn)與數(shù)據(jù)分析53-61
• 5.1 實(shí)驗(yàn)環(huán)境53-55
• 5.1.1 基于源碼的軟件檢測(cè)模塊工具介紹53-54
• 5.1.2 基于二進(jìn)制程序的軟件檢測(cè)模塊工具介紹54-55
• 5.2 基于源碼的軟件檢測(cè)實(shí)驗(yàn)及結(jié)果分析55-58
• 5.2.1 實(shí)驗(yàn)評(píng)價(jià)指標(biāo)55-56
• 5.2.2 實(shí)驗(yàn)數(shù)據(jù)56-57
• 5.2.3 實(shí)驗(yàn)結(jié)果分析57
• 5.2.4 與其他測(cè)試工具的測(cè)試結(jié)果對(duì)比分析57-58
• 5.3 基于二進(jìn)制程序的軟件檢測(cè)實(shí)驗(yàn)及結(jié)果分析58-60
• 5.4 本章小結(jié)60-61
• 第6章 總結(jié)與展望61-63
• 6.1 論文工作總結(jié)61-62
• 6.2 下一步的研究工作62-63
• 參考文獻(xiàn)63-67
• 致謝67

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 ;教你安全專家常用的漏洞分析方法[J];網(wǎng)絡(luò)與信息;2009年08期

2 小金;;輸入法漏洞分析與回顧 小心! 打字也可能不安全[J];新電腦;2007年05期

3 袁江;喬佩利;;基于模式比較的漏洞分析技術(shù)研究[J];信息技術(shù);2008年03期

4 高麗;張歡慶;;計(jì)算機(jī)系統(tǒng)的漏洞分析與檢測(cè)[J];商丘職業(yè)技術(shù)學(xué)院學(xué)報(bào);2010年02期

5 ;2011年2月份十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2011年03期

6 ;2012年4月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年06期

7 ;2012年5月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年07期

8 ;成功執(zhí)行信息安全漏洞分析的關(guān)鍵步驟[J];計(jì)算機(jī)與網(wǎng)絡(luò);2012年06期

9 ;2012年6月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年08期

10 ;2012年7月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年09期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前4條

1 ;2012年6月十大重要安全漏洞分析[A];第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2012年

2 ;2013年8月十大重要安全漏洞分析[A];第28次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2013年

3 ;2011年8月份十大重要安全漏洞分析[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

4 馬英杰;肖麗萍;何文才;李彥兵;;FlashFXP安全漏洞分析[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前7條

1 王宏陽(yáng);基于漏洞分析的軟件綜合檢測(cè)方法研究[D];大連海事大學(xué);2016年

2 李舸;信息安全風(fēng)險(xiǎn)評(píng)估的漏洞分析及評(píng)估方法改進(jìn)[D];重慶大學(xué);2007年

3 王羅惠;基于Rails的軟件安全漏洞分析管理工具的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2008年

4 李建軍;基于邏輯的網(wǎng)絡(luò)安全漏洞分析研究[D];解放軍信息工程大學(xué);2012年

5 易新明;某大型工礦企業(yè)信息系統(tǒng)安全測(cè)評(píng)與漏洞分析及其改進(jìn)[D];湖南大學(xué);2013年

6 睢辰萌;基于漏洞分析的軟件安全性評(píng)估系統(tǒng)研究[D];北京交通大學(xué);2013年

7 趙暉;面向軍工應(yīng)用軟件的源代碼漏洞分析系統(tǒng)的研究與實(shí)現(xiàn)[D];北京交通大學(xué);2015年

  本文關(guān)鍵詞：基于漏洞分析的軟件綜合檢測(cè)方法研究，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：319249