隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,各行各業(yè)對(duì)軟件的需求越來越大,越來越多的人享受著信息系統(tǒng)帶來的方便快捷。在信息技術(shù)不斷發(fā)展過程中不可避免要面對(duì)的問題就是軟件漏洞。在軟件開發(fā)過程中開發(fā)人員都會(huì)犯一些錯(cuò)誤,有些錯(cuò)誤是致命的,如果不及時(shí)找出來會(huì)造成很嚴(yán)重的后果。如今我們遇到的絕大多數(shù)安全漏洞都是不安全代碼引起的,對(duì)計(jì)算機(jī)系統(tǒng)的保護(hù)在很大程度上取決于對(duì)軟件漏洞的識(shí)別。因此,對(duì)軟件漏洞的分析與研究日益成為信息安全領(lǐng)域關(guān)注的重點(diǎn)。在多年的研究過程中,國內(nèi)外的研究人員從不同的角度研究了軟件漏洞,并都取得了一定的進(jìn)展。盡管目前在漏洞研究方面已經(jīng)取了豐碩的成果,但是針對(duì)緩沖區(qū)溢出漏洞而言,目前在代碼形式化方面的研究仍然不夠全面,在漏洞挖掘方面的應(yīng)用還不夠充分,主要體現(xiàn)在以下的兩個(gè)方面:一是目前在代碼形式化的研究主要集中于定義化的描述,不能夠很好地運(yùn)用到實(shí)際的漏洞檢測中;二是在現(xiàn)有代碼形式化漏洞檢測方法中,缺乏比較有效的權(quán)威性方法。以下對(duì)本文的主要工作進(jìn)行闡述:1.本研究通過分析漏洞源代碼,提出了一種基于數(shù)據(jù)控制流圖（Data Control Flow Graph,DCFG）的危險(xiǎn)函數(shù)識(shí)別方法。首先在數(shù)據(jù)控制流... 

【文章來源】：江蘇大學(xué)江蘇省

【文章頁數(shù)】：71 頁

【學(xué)位級(jí)別】：碩士

【圖文】：

DCFG生成界面

49圖 5.3 DCVDM 界面4）單擊“添加用例”按鈕添加對(duì)應(yīng)的測試用例，單擊“刪除用例”按鈕可除選中的測試用例；（5）單擊“開始運(yùn)行”按鈕開始檢測漏洞�！罢f明”文顯示了運(yùn)行過程中和運(yùn)行結(jié)束后報(bào)告的相關(guān)信息，其中運(yùn)行結(jié)束后報(bào)告的相息主要包括測試用例中存在漏洞數(shù)、報(bào)告漏洞數(shù)、報(bào)告中真正漏洞數(shù)、漏報(bào)誤報(bào)率等檢測信息。最后可以導(dǎo)出檢測結(jié)果，并保存成.csv 文件。檢測報(bào)告示測試用例中存在漏洞數(shù)、報(bào)告漏洞數(shù)、報(bào)告中真正漏洞數(shù)、漏報(bào)率及誤報(bào)

3.方法對(duì)比分析界面如圖 5.4 所示，單擊“方法對(duì)比分析”選項(xiàng)卡，可以進(jìn)入方法對(duì)比分析模塊了進(jìn)行方法對(duì)比，需要進(jìn)行以下幾個(gè)步驟：（1）選擇需要對(duì)比的方法（可選法包括 DCVDM、cppcheck、flawfinder 和 splint 四種方法），可以一次選擇或者多個(gè)方法；（2）選擇需要對(duì)比的指標(biāo)（包括漏報(bào)率和誤報(bào)率兩種指標(biāo)以一次選擇一個(gè)或者多個(gè)指標(biāo)；（3）單擊“選擇文件”按鈕選擇測試用例描件，描述文件以.csv 格式保存，其中描述了所有待測測試用例中存在的漏洞應(yīng)行號(hào)；（4）單擊“添加用例”按鈕添加對(duì)應(yīng)的測試用例，單擊“刪除用例鈕可以刪除選中的測試用例；（5）單擊“開始運(yùn)行”按鈕開始檢測漏洞�！啊蔽谋究蝻@示了運(yùn)行過程中和運(yùn)行結(jié)束后報(bào)告的相關(guān)信息，其中運(yùn)行結(jié)束后的相關(guān)信息主要包括測試用例中存在漏洞數(shù)、不同方法的報(bào)告漏洞數(shù)、報(bào)告正漏洞數(shù)、漏報(bào)率以及誤報(bào)率等檢測信息，方便進(jìn)行方法對(duì)比。

【參考文獻(xiàn)】：
期刊論文
[1]A Vulnerability Model Construction Method Based on Chemical Abstract Machine[J]. LI Xiang,CHEN Jinfu,LIN Zhechao,ZHANG Lin,WANG Zibin,ZHOU Minmin,XIE Wanggen.  Wuhan University Journal of Natural Sciences. 2018(02)
[2]Android應(yīng)用中SQL注入漏洞靜態(tài)檢測方法[J]. 潘秋紅,崔展齊,王林章.  計(jì)算機(jī)科學(xué)與探索. 2018(08)
[3]二進(jìn)制程序中的use-after-free漏洞檢測技術(shù)[J]. 韓心慧,魏爽,葉佳奕,張超,葉志遠(yuǎn).  清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2017(10)
[4]基于模糊測試和遺傳算法的XSS漏洞挖掘[J]. 程誠,周彥暉.  計(jì)算機(jī)科學(xué). 2016(S1)
[5]Sword DTA: A Dynamic Taint Analysis Tool for Software Vulnerability Detection[J]. CAI Jun,ZOU Peng,MA Jinxin,HE Jun.  Wuhan University Journal of Natural Sciences. 2016(01)
[6]基于動(dòng)態(tài)測試的XSS漏洞檢測方法研究[J]. 曹黎波,曹天杰.  計(jì)算機(jī)應(yīng)用與軟件. 2015(08)
[7]軟件安全漏洞檢測技術(shù)[J]. 李舟軍,張俊賢,廖湘科,馬金鑫.  計(jì)算機(jī)學(xué)報(bào). 2015(04)
[8]基于LDA主題模型的安全漏洞分類[J]. 廖曉鋒,王永吉,范修斌,吳敬征.  清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2012(10)
[9]國家安全漏洞庫的設(shè)計(jì)與實(shí)現(xiàn)[J]. 張玉清,吳舒平,劉奇旭,梁芳芳.  通信學(xué)報(bào). 2011(06)

博士論文
[1]緩沖區(qū)溢出漏洞的靜態(tài)檢測方法研究[D]. 夏一民.國防科學(xué)技術(shù)大學(xué) 2007



本文編號(hào)：3303216