论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

J2EE平台下的web应用缺陷的静态检测技术研究

发布时间:2017-10-04 10:13

  本文关键词:J2EE平台下的web应用缺陷的静态检测技术研究


  更多相关文章: Java EE web应用 静态缺陷检测 逆向分析 数据库语言


【摘要】:随着互联网技术的发展,人们的各种行为越来越离不开互联网,互联网如同一把双刃剑,在带给人们方便的同时也带来了极大的安全隐患,互联网用户的隐私、财产及电脑安全都受到了严重的威胁。因此如何保证互联网用户的安全也变得越来越重要。为了保证互联网用户的安全,需要在互联网应用发布之前对其进行安全缺陷扫描,避免代码缺陷给攻击者带来可乘之机。 现有的各种代码缺陷检测技术都分别存在缺点,在检测效率或准确率方面都还有可提升的地方。人工分析检测效率低、动态分析漏报率高、静态分析误报率高,它们都各有其局限性。 静态检测,是指不运行程序进行就能对程序进行自动化缺陷检测的技术。静态检测技术通过将程序源代码抽象为中间语言,然后对中间抽象语言进行分析,发现其中存在的安全缺陷。本文在深入研究静态缺陷检测技术的基础上,针对Java EE平台下的web应用采用一种基于数据库查询语言的方式进行静态缺陷检测。为了使缺陷检测结果更加精确,本文深入地研究了在进行代码抽象分析过程中的基于污点数据的别名分析和基于克隆的上下文敏感的别名分析技术。除此之外,本文针对Java EE平台下的web应用缺陷的特点,提出一种以危险数据为入口的逆向缺陷检测技术,从可能引发安全缺陷的危险数据进行逆向分析检测安全缺陷。通过一系列实验和大量的实验数据,证明了本文采用的检测方法和提出的基于危险数据的逆向分析模型的具有更高的检测效率和准确率。 针对Java EE平台下的web应用缺陷的静态检测技术,本文创新性地提出了从可能引发缺陷的危险数据为入口进行逆向分析的静态缺陷检测模型,对保护互联网中企业和用户的隐私及财产安全具有十分重要的意义。
【关键词】:Java EE web应用 静态缺陷检测 逆向分析 数据库语言
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
  • 摘要4-5
  • abstract5-9
  • 第一章 绪论9-15
  • 1.1. 研究背景及意义9-10
  • 1.2. 软件缺陷检测技术研究现状10-11
  • 1.3. 论文主要工作11-13
  • 1.4. 论文组织结构13-15
  • 第二章 Java EE平台下的WEB应用缺陷分析15-23
  • 2.1. Java EE平台下的web应用介绍15-17
  • 2.1.1. Java EE综述15
  • 2.1.2. Java EE分层结构15-17
  • 2.2. Java EE平台下的web应用中常见缺陷类型17-20
  • 2.2.1. SQL注入漏洞17-18
  • 2.2.2. 跨站脚本漏洞18-19
  • 2.2.3. 命令注入漏洞19
  • 2.2.4. 路径遍历漏洞19-20
  • 2.3. 缺陷模式提取总结20-22
  • 2.4. 本章小结22-23
  • 第三章 WEB应用缺陷静态检测技术23-39
  • 3.1. 基于Datalog的程序分析23-29
  • 3.1.1. Datalog分析术语23-24
  • 3.1.2. Datalog的程序分析过程24-26
  • 3.1.3. Datalog转化为BDD26-29
  • 3.2. 基于污点数据的别名分析技术29-33
  • 3.2.1. 别名分析概述29-30
  • 3.2.2. 基于污点数据的别名分析规则30-33
  • 3.3. 基于克隆的上下文敏感的别名分析技术33-38
  • 3.3.1. 上下文敏感分析概述33-34
  • 3.3.2. 上下文敏感分析处理方法34-35
  • 3.3.3. 上下文敏感程序调用路径分析35-38
  • 3.4. 本章小结38-39
  • 第四章 针对Java EE web应用的逆向静态缺陷检测技术39-47
  • 4.1. Java EE web应用逆向缺陷检测原理39-44
  • 4.1.1. 缺陷描述域39-40
  • 4.1.2. 缺陷描述关系40-41
  • 4.1.3. 缺陷逆向分析规则41-44
  • 4.2. 实验结果与分析44-45
  • 4.2.1. 构造实验结果44-45
  • 4.2.2. 逆向分析与正向分析效率试验结果比较45
  • 4.3. 本章小结45-47
  • 第五章 Java EE下web应用缺陷静态检测系统设计与实现47-62
  • 5.1. 系统功能及模块设计47-52
  • 5.1.1. 系统功能描述47
  • 5.1.2. 系统处理流程设计47-49
  • 5.1.3. 系统模块划分49
  • 5.1.4. 各个模块功能简介49-52
  • 5.2. 特殊问题处理及优化52-58
  • 5.2.1. 传播函数类型的补充52-53
  • 5.2.2. 其他特殊传播53-54
  • 5.2.3. 有关字符串常量的检测54-56
  • 5.2.4. 虚方法的调用56-58
  • 5.3. 实验结果与分析58-61
  • 5.4. 本章小结61-62
  • 总结和展望62-63
  • 参考文献63-65
  • 致谢65-66
  • 攻读硕士学位期间发表的学术论文目录66

【参考文献】

中国期刊全文数据库 前2条

1 ;中央网络安全和信息化领导小组成立:中国从网络大国加速迈向网络强国[J];信息安全与通信保密;2014年03期

2 杨洪路;宫云战;高文龄;白哥乐;;软件安全静态检测技术与工具[J];信息化纵横;2009年09期



本文编号:970065

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/970065.html

上一篇:基于微博属性的股票联动性预测研究  
下一篇:基于知识元和集成学习的中文微博情感分析
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户dc0c6***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com