本文關(guān)鍵詞：基于漏洞分析的軟件綜合檢測方法研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著信息共享的普及,各種應(yīng)用軟件相繼出現(xiàn)。軟件功能越來越多樣,代碼的控制結(jié)構(gòu)也越來越復(fù)雜。隨之而來的安全問題也引起社會各方面的廣泛關(guān)注。為了維護(hù)信息系統(tǒng)的安全,高效實用的軟件安全檢測及漏洞分析技術(shù)供不應(yīng)求。越來越多的研究團隊加入到軟件漏洞檢測這一研究項目中,研究重點大多只集中在漏洞檢測的某一方面,并且對軟件漏洞分析技術(shù)的理解也不全面。本文以漏洞分析為基礎(chǔ),研究綜合性的軟件安全檢測方法。論文的主要研究內(nèi)容如下。首先,在閱讀大量相關(guān)文獻(xiàn)的基礎(chǔ)上,深入研究軟件漏洞的定義及其特點、軟件漏洞的分類與分級,同時從靜態(tài)分析和動態(tài)分析兩方面歸納總結(jié)目前國內(nèi)外關(guān)于軟件安全檢測方法及工具的主要研究成果,為論文進(jìn)一步研究工作奠定基礎(chǔ)。其次,針對基于源碼的軟件安全檢測,提出逆向跟蹤的符號執(zhí)行方法。該方法首先通過模式匹配技術(shù)收集源碼中所有安全敏感函數(shù),并以這些安全敏感函數(shù)作為節(jié)點構(gòu)建數(shù)據(jù)流樹,從數(shù)據(jù)流樹中計算并得到可能的執(zhí)行路徑。然后通過輸入符號,執(zhí)行所有產(chǎn)生的執(zhí)行路徑來生成程序約束；根據(jù)預(yù)定義的安全需求,計算所有執(zhí)行路徑上的安全約束；給出程序約束生成及安全約束生成算法。最后在生成的程序約束和安全約束基礎(chǔ)上,給出檢測源碼程序中漏洞的方法。再次,針對基于二進(jìn)制程序的軟件安全檢測,提出基于污點分析的動態(tài)符號執(zhí)行方法。首先給出方法的描述,該方法采用污點分析技術(shù)對程序中的數(shù)據(jù)流進(jìn)行分析,并快速定位與符號輸入相關(guān)的首條指令。然后,根據(jù)輸入的符號執(zhí)行二進(jìn)制程序,為了提高符號執(zhí)行階段的速度提出了三種優(yōu)化策略,包括白名單的構(gòu)建、無關(guān)狀態(tài)消除和路徑搜索優(yōu)化。最后,為了驗證本文提出的兩種軟件檢測方法的有效性,分別進(jìn)行了實驗,同時進(jìn)行工具的對比分析。經(jīng)過對數(shù)據(jù)結(jié)果的分析,表明本文中提出的基于源代碼的逆向追蹤符號分析技術(shù)在精確性和查全率方面具有優(yōu)勢、基于二進(jìn)制程序的動態(tài)符號執(zhí)行優(yōu)化方法在執(zhí)行速度上也具有優(yōu)勢。
【關(guān)鍵詞】：安全漏洞 符號執(zhí)行 靜態(tài)分析 污點分析 動態(tài)二進(jìn)制
【學(xué)位授予單位】：大連海事大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP309
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第1章 緒論10-18
• 1.1 研究背景及意義10-12
• 1.2 國內(nèi)外研究現(xiàn)狀12-16
• 1.2.1 軟件漏洞的研究現(xiàn)狀12-13
• 1.2.2 軟件安全檢測方法及工具的研究現(xiàn)狀13-16
• 1.3 論文結(jié)構(gòu)安排16-17
• 1.4 本章小結(jié)17-18
• 第2章 基礎(chǔ)理論和相關(guān)技術(shù)18-32
• 2.1 軟件漏洞18-20
• 2.1.1 漏洞定義18-19
• 2.1.2 漏洞特點19-20
• 2.2 軟件漏洞分類與分級20-25
• 2.2.1 軟件漏洞的分類20-24
• 2.2.2 軟件漏洞的分級24-25
• 2.3 軟件漏洞安全檢測技術(shù)25-31
• 2.3.1 軟件靜態(tài)分析技術(shù)25-28
• 2.3.2 軟件動態(tài)分析技術(shù)28-31
• 2.4 本章小結(jié)31-32
• 第3章 基于源碼的軟件安全檢測32-45
• 3.1 符號執(zhí)行分析技術(shù)32-34
• 3.1.1 基本原理及應(yīng)用32-34
• 3.1.2 與其他漏洞分析技術(shù)的結(jié)合34
• 3.2 逆向跟蹤的符號執(zhí)行技術(shù)34-35
• 3.3 逆向跟蹤的符號執(zhí)行技術(shù)優(yōu)化35-44
• 3.3.1 節(jié)點檢測37
• 3.3.2 數(shù)據(jù)流樹的構(gòu)建37-39
• 3.3.3 生成可能的執(zhí)行路徑39-40
• 3.3.4 程序約束和安全約束40-43
• 3.3.5 PC和SC驗證43-44
• 3.4 本章小結(jié)44-45
• 第4章 基于二進(jìn)制程序的軟件安全檢測45-53
• 4.1 動靜結(jié)合的漏洞分析技術(shù)原理45-47
• 4.2 基于二進(jìn)制程序的污點分析技術(shù)47-48
• 4.2.1 采用污點分析技術(shù)的原因47
• 4.2.2 符號化的污點分析47-48
• 4.3 動態(tài)符號執(zhí)行技術(shù)的優(yōu)化48-51
• 4.3.1 具體執(zhí)行和符號執(zhí)行48-49
• 4.3.2 動態(tài)符號執(zhí)行優(yōu)化策略49-51
• 4.4 漏洞檢查階段51-52
• 4.5 本章小節(jié)52-53
• 第5章 基于漏洞分析的軟件安全綜合檢測方法實驗與數(shù)據(jù)分析53-61
• 5.1 實驗環(huán)境53-55
• 5.1.1 基于源碼的軟件檢測模塊工具介紹53-54
• 5.1.2 基于二進(jìn)制程序的軟件檢測模塊工具介紹54-55
• 5.2 基于源碼的軟件檢測實驗及結(jié)果分析55-58
• 5.2.1 實驗評價指標(biāo)55-56
• 5.2.2 實驗數(shù)據(jù)56-57
• 5.2.3 實驗結(jié)果分析57
• 5.2.4 與其他測試工具的測試結(jié)果對比分析57-58
• 5.3 基于二進(jìn)制程序的軟件檢測實驗及結(jié)果分析58-60
• 5.4 本章小結(jié)60-61
• 第6章 總結(jié)與展望61-63
• 6.1 論文工作總結(jié)61-62
• 6.2 下一步的研究工作62-63
• 參考文獻(xiàn)63-67
• 致謝67

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 ;教你安全專家常用的漏洞分析方法[J];網(wǎng)絡(luò)與信息;2009年08期

2 小金;;輸入法漏洞分析與回顧 小心! 打字也可能不安全[J];新電腦;2007年05期

3 袁江;喬佩利;;基于模式比較的漏洞分析技術(shù)研究[J];信息技術(shù);2008年03期

4 高麗;張歡慶;;計算機系統(tǒng)的漏洞分析與檢測[J];商丘職業(yè)技術(shù)學(xué)院學(xué)報;2010年02期

5 ;2011年2月份十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2011年03期

6 ;2012年4月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年06期

7 ;2012年5月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年07期

8 ;成功執(zhí)行信息安全漏洞分析的關(guān)鍵步驟[J];計算機與網(wǎng)絡(luò);2012年06期

9 ;2012年6月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年08期

10 ;2012年7月十大重要安全漏洞分析[J];信息網(wǎng)絡(luò)安全;2012年09期

中國重要會議論文全文數(shù)據(jù)庫 前4條

1 ;2012年6月十大重要安全漏洞分析[A];第27次全國計算機安全學(xué)術(shù)交流會論文集[C];2012年

2 ;2013年8月十大重要安全漏洞分析[A];第28次全國計算機安全學(xué)術(shù)交流會論文集[C];2013年

3 ;2011年8月份十大重要安全漏洞分析[A];第26次全國計算機安全學(xué)術(shù)交流會論文集[C];2011年

4 馬英杰;肖麗萍;何文才;李彥兵;;FlashFXP安全漏洞分析[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前7條

1 王宏陽;基于漏洞分析的軟件綜合檢測方法研究[D];大連海事大學(xué);2016年

2 李舸;信息安全風(fēng)險評估的漏洞分析及評估方法改進(jìn)[D];重慶大學(xué);2007年

3 王羅惠;基于Rails的軟件安全漏洞分析管理工具的設(shè)計與實現(xiàn)[D];西安電子科技大學(xué);2008年

4 李建軍;基于邏輯的網(wǎng)絡(luò)安全漏洞分析研究[D];解放軍信息工程大學(xué);2012年

5 易新明;某大型工礦企業(yè)信息系統(tǒng)安全測評與漏洞分析及其改進(jìn)[D];湖南大學(xué);2013年

6 睢辰萌;基于漏洞分析的軟件安全性評估系統(tǒng)研究[D];北京交通大學(xué);2013年

7 趙暉;面向軍工應(yīng)用軟件的源代碼漏洞分析系統(tǒng)的研究與實現(xiàn)[D];北京交通大學(xué);2015年

  本文關(guān)鍵詞：基于漏洞分析的軟件綜合檢測方法研究，，由筆耕文化傳播整理發(fā)布。

本文編號：319249