代碼安全在軟件開發(fā)過程中日益受到重視,人們總是期望在軟件正式發(fā)布前發(fā)現(xiàn)并解決所有潛在的缺陷,為此提出許多軟件安全測試技術(shù),如人工靜態(tài)檢測、自動化模糊測試等。但是,一些軟件缺陷及漏洞只有在程序運行過程中才可能被發(fā)現(xiàn),因此為了解決此類問題,一些動態(tài)檢測技術(shù)與解決方法被提出,其中動態(tài)符號執(zhí)行因其自動探索程序路徑空間的特點而得到重視,故成為近幾年代碼安全研究領(lǐng)域中的一個熱點技術(shù)。動態(tài)符號執(zhí)行可以自動探索程序的路徑空間,分析進(jìn)入各路徑的約束條件并生成對應(yīng)路徑的測試用例,具有自動化和路徑覆蓋率高等優(yōu)點。但是依然存在諸多瓶頸問題制約著動態(tài)符號執(zhí)行的發(fā)展,如應(yīng)用于大型軟件測試難度大、動態(tài)符號執(zhí)行代碼結(jié)構(gòu)復(fù)雜的程序時易產(chǎn)生路徑爆炸問題、對于特殊的程序路徑難以生成精確的測試用例、對于循環(huán)等復(fù)雜程序結(jié)構(gòu)沒有針對性的處理、條件復(fù)雜程序約束求解器難以求解等問題。針對上述問題,本文以提高動態(tài)符號執(zhí)行效率和緩解路徑爆炸為研究目的進(jìn)行了深入研究,主要成果如下:（1）提出基于參數(shù)約束的分支覆蓋動態(tài)符號執(zhí)行優(yōu)化算法。通過識別程序代碼中具有特殊參數(shù)的函數(shù),并通過檢索獲取函數(shù)對應(yīng)的特殊參數(shù),利用這些特殊參數(shù)作為該路徑的約束條... 

【文章來源】：哈爾濱師范大學(xué)黑龍江省

【文章頁數(shù)】：47 頁

【學(xué)位級別】：碩士

【部分圖文】：

路徑覆蓋數(shù)對比

第4章基于約束圖的DSE優(yōu)化方法31圖4-7執(zhí)行時間對比Figure4-7Comparisonofexecutiontime表4-4分支覆蓋數(shù)Table4-4Branchcoverage方法gzipgrep實例代碼CREST15011384096約束圖方法16111604096態(tài)符號執(zhí)行需要更多的時間，而通過預(yù)處理得到約束圖后，動態(tài)符號執(zhí)行需要的時間更短。由分支覆蓋數(shù)表4-4可知，本文的方法和CREST均可以對實例代碼進(jìn)行全覆蓋，雖然實例代碼路徑分支多、約束條件復(fù)雜，但代碼量較少，在時間允許的情況下可以檢測所有的路徑。但grep和gzip的路徑空間更為復(fù)雜、代碼量較大，由于循環(huán)造成的大量路徑，CREST在有限的資源下不能對所有路徑進(jìn)行檢測，而約束圖的優(yōu)化方法減少了循環(huán)的影響，在有限的資源下檢測了更多的路徑分支。傳統(tǒng)動態(tài)符號執(zhí)行對程序進(jìn)行檢測時，會對程序中的循環(huán)進(jìn)行展開，產(chǎn)生大量的可檢測路徑，對有限時間下的代碼檢測造成壓力的同時也對大量的冗余路徑進(jìn)行重復(fù)檢測。而基于約束圖的優(yōu)化方法減少了對循環(huán)體的重復(fù)檢測，從而減少了檢測路徑的數(shù)量和冗余路徑，在可接受的時間內(nèi)可以檢測更多的代碼，也證明了基于約束圖的優(yōu)化方法可以降低循環(huán)對動態(tài)符號執(zhí)行的影響。

【參考文獻(xiàn)】：
期刊論文
[1]基于符號執(zhí)行與模糊測試的混合測試方法[J]. 謝肖飛,李曉紅,陳翔,孟國柱,劉楊.  軟件學(xué)報. 2019(10)
[2]基于輸入約束的符號執(zhí)行優(yōu)化[J]. 汪孫律,林渝淇,楊秋松,李明樹.  通信學(xué)報. 2019(03)
[3]符號執(zhí)行研究綜述[J]. 葉志斌,嚴(yán)波.  計算機科學(xué). 2018(S1)
[4]基于自適應(yīng)模糊測試的IaaS層漏洞挖掘方法[J]. 沙樂天,肖甫,楊紅柯,喻輝,王汝傳.  軟件學(xué)報. 2018(05)
[5]基于懶符號執(zhí)行的軟件脆弱性路徑求解算法[J]. 秦曉軍,周林,陳左寧,甘水滔.  計算機學(xué)報. 2015(11)
[6]基于動態(tài)插樁的C/C++內(nèi)存泄漏檢測工具的設(shè)計與實現(xiàn)[J]. 曾佳平,楊秋輝,汪華龍,徐保平,黃蔚.  計算機應(yīng)用研究. 2015(06)
[7]軟件安全漏洞檢測技術(shù)[J]. 李舟軍,張俊賢,廖湘科,馬金鑫.  計算機學(xué)報. 2015(04)

博士論文
[1]動態(tài)符號執(zhí)行關(guān)鍵技術(shù)研究[D]. 安靖.北京郵電大學(xué) 2014

碩士論文
[1]程序測試輸入的自動生成技術(shù)框架及其優(yōu)化實現(xiàn)[D]. 曹陽.南京大學(xué) 2019
[2]基于符號摘要的動態(tài)符號執(zhí)行的研究[D]. 羅榮森.電子科技大學(xué) 2016
[3]基于插樁技術(shù)的漏洞自動化驗證研究與實現(xiàn)[D]. 向琦.電子科技大學(xué) 2016
[4]分段式混合執(zhí)行測試方法的研究[D]. 劉春宏.華東師范大學(xué) 2014
[5]動態(tài)符號執(zhí)行的性能優(yōu)化[D]. 吉小麗.電子科技大學(xué) 2013
[6]基于二進(jìn)制代碼的動態(tài)符號執(zhí)行工具[D]. 倪康奇.上海交通大學(xué) 2011
[7]基于動態(tài)符號執(zhí)行的二進(jìn)制代碼漏洞挖掘系統(tǒng)研究與設(shè)計[D]. 國鵬飛.北京郵電大學(xué) 2011



本文編號：3407629