本文關(guān)鍵詞：基于符號執(zhí)行的Android系統(tǒng)漏洞分析技術(shù)研究　出處：《南京理工大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： Android安全 漏洞檢測 符號執(zhí)行 隱私泄露

【摘要】：隨著Android手機(jī)平臺的快速發(fā)展,Android系統(tǒng)擁有龐大的用戶數(shù)量和應(yīng)用市場,但是其安全性卻令人堪憂。由于Android應(yīng)用程序的編寫門檻較低,許多應(yīng)用程序是由缺乏安全監(jiān)管的小公司或個人開發(fā),因而存在嚴(yán)重的安全問題。大多數(shù)Android市場沒有對市場內(nèi)的應(yīng)用程序進(jìn)行嚴(yán)格審核和漏洞檢測,導(dǎo)致Android應(yīng)用程序漏洞肆虐。這些潛在的安全漏洞可能會給Android用戶帶來巨大損失,因此,檢測Android系統(tǒng)的安全漏洞十分必要。本文在深入分析Android系統(tǒng)特點及安全現(xiàn)狀的基礎(chǔ)上,對靜態(tài)分析方法中的符號執(zhí)行技術(shù)進(jìn)行優(yōu)化,提出一種基于目標(biāo)型符號執(zhí)行技術(shù)的Android系統(tǒng)漏洞分析方法。該方法將敏感關(guān)鍵字匹配、信息流分析和符號執(zhí)行技術(shù)相結(jié)合,能夠有效分析出Android系統(tǒng)應(yīng)用程序中潛在的安全漏洞。論文的主要工作如下:(1)研究Android安全機(jī)制,分析其安全目標(biāo)及存在的性能缺陷。研究Android安全漏洞,了解漏洞的種類、特性,漏洞產(chǎn)生的原因和所利用的方法。收集整理Android系統(tǒng)中隱私信息的類別特征、典型實例、獲取方式及泄露途徑。(2)結(jié)合Android平臺編程模型的特點,提出一種適用于Android系統(tǒng)且更為高效的目標(biāo)型符號執(zhí)行分析方法,并給出該方法的整體架構(gòu)、算法實現(xiàn)和優(yōu)化方案。目標(biāo)型符號執(zhí)行分析方法能夠解決符號執(zhí)行技術(shù)中普遍存在的路徑爆炸問題,路徑覆蓋率高、資源消耗少,適用于Android平臺的漏洞檢測。(3)將目標(biāo)型符號執(zhí)行方法應(yīng)用到Android隱私泄露漏洞分析之中。該方法在反編譯的基礎(chǔ)上精確構(gòu)建應(yīng)用程序的控制流圖和函數(shù)調(diào)用圖,并對隱私信息進(jìn)行識別和定位。以敏感節(jié)點為入口、以符號值為輸入、以目標(biāo)函數(shù)的關(guān)心變量為導(dǎo)引,對程序進(jìn)行逆向符號執(zhí)行,得出漏洞分析結(jié)果。(4)基于該方法,本文設(shè)計并實現(xiàn)一個Android隱私泄露漏洞分析工具SymFinder。從準(zhǔn)確率、漏檢率、分析效率及分析全面性四個角度對其進(jìn)行評估,并與其他Android漏洞分析方法進(jìn)行橫向?qū)Ρ确治觥y試結(jié)果表明,該方法準(zhǔn)確率高、漏檢率低、分析效率較高,是一種有效的Android系統(tǒng)漏洞分析方法。
【學(xué)位授予單位】：南京理工大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP309;TP316

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前5條

1 張玉清;方U喚，

本文編號：1319286