基于静态信息流跟踪的输入验证漏洞检测方法

发布时间：2017-10-21 04:34

  本文关键词：基于静态信息流跟踪的输入验证漏洞检测方法

  更多相关文章： 漏洞检测 静态分析 信息流跟踪 数据流分析 输入验证 FindBugs Web应用程序

【摘要】：针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具FindBugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将FindBugs的输入验证漏洞检测误报率降低了55.7%.
【作者单位】： 浙江大学计算机科学与技术学院;
【关键词】： 漏洞检测 静态分析 信息流跟踪 数据流分析 输入验证 FindBugs Web应用程序
【分类号】：TP393.08
【正文快照】： 随着互联网在全球范围内的普及与发展,Web应用程序已经成为各种类型的服务供应商和客户之间最重要的交流渠道.然而,由Web应用程序的安全漏洞遭攻击而引发的经济财产损失逐年递增.其中,输入验证漏洞是Web应用程序中最普遍且威胁最大的漏洞类型之一.输入验证漏洞是指由恶意的外

【参考文献】

中国期刊全文数据库 前2条

1 张鸣华;半格基础上的数据流分析[J];计算机学报;1980年04期

2 黄强;曾庆凯;;基于信息流策略的污点传播分析及动态验证[J];软件学报;2011年09期

【共引文献】

中国期刊全文数据库 前10条

1 叶永宏;武东英;陈扬;;一种基于细粒度污点分析的逆向平台[J];计算机工程与应用;2012年28期

2 曹珲;熊胜超;张焕国;严飞;;Flume系统的隐蔽信道搜索问题研究[J];计算机研究与发展;2013年11期

3 史大伟;袁天伟;;一种粗细粒度结合的动态污点分析方法[J];计算机工程;2014年03期

4 SUN Cong;XI Ning;GAO Sheng;CHEN Zhong;MA JianFeng;;Automated enforcement for relaxed information release with reference points[J];Science China(Information Sciences);2014年11期

5 孙浩;李会朋;曾庆凯;;基于信息流的整数漏洞插装和验证[J];软件学报;2013年12期

6 习宁;马建峰;孙聪;卢笛;张涛;;基于模型检测的服务链信息流安全可组合验证方法[J];通信学报;2014年11期

7 舒辉;李政廉;康绯;张媛媛;;基于环境智能匹配的恶意代码完整性分析方法[J];计算机工程与设计;2015年02期

8 倪程;李志蜀;;基于数据流的Java字节码分析[J];微计算机信息;2009年12期

9 陆平;钱煜明;朱科支;;一种分布式复杂消息处理引擎的设计与实现[J];中兴通讯技术;2013年04期

10 Ping Lu;Yuming Qian;Kezhi Zhu;;Design and Implementation a Distributed Complex-Event Processing Engine[J];ZTE Communications;2014年01期

中国博士学位论文全文数据库 前4条

1 杨欢;协议漏洞挖掘及Android平台恶意应用检测技术研究[D];西安电子科技大学;2014年

2 朱浩;基于程序语言机制的信息释放策略[D];南京航空航天大学;2013年

3 习宁;可组合信息流安全验证模型及方法研究[D];西安电子科技大学;2014年

4 孙强;面向对象程序的指向分析技术研究[D];上海交通大学;2013年

中国硕士学位论文全文数据库 前6条

1 杨嘉;基于信息流的SELinux策略分析与调整技术研究[D];南京大学;2012年

2 姜曙光;基于符号执行的Web安全检测系统的研究与实现[D];湖南大学;2012年

3 叶志伟;面向云计算数据隐私保护的访问控制策略研究[D];哈尔滨工业大学;2012年

4 文碧望;基于多层序列的攻击特征自动提取方法研究[D];中南大学;2013年

5 尤作赛;基于动态污点分析的恶意代码行为依赖图挖掘技术的研究与实现[D];国防科学技术大学;2012年

6 刘苏洲;基于Muscle的攻击特征自动提取方法研究[D];中南大学;2014年

【二级参考文献】

中国期刊全文数据库 前1条

1 张鸣华;全局数据流分析[J];计算机学报;1979年02期

【相似文献】

中国期刊全文数据库 前10条

1 ;漏洞检测代表产品[J];每周电脑报;2003年46期

2 杨阔朝,蒋凡;模拟攻击测试方式的漏洞检测系统的设计与实现[J];计算机应用;2005年07期

3 龙银香;一种新的漏洞检测系统方案[J];微计算机信息;2005年05期

4 贾永杰,王恩堂;一种新的漏洞检测系统方案[J];中国科技信息;2005年09期

5 刘完芳;;基于网络的漏洞检测系统的设计[J];湘潭师范学院学报(自然科学版);2006年03期

6 金怡;蔡勉;王亚军;;基于中间件的漏洞检测系统设计[J];信息安全与通信保密;2007年04期

7 花青;高岭;张林;;分布式漏洞检测系统的设计与实现[J];东南大学学报(自然科学版);2008年S1期

8 张林;高岭;汤声潮;杨e，

本文编号：1071327