基于脆弱点特征导向的软件安全测试

发布时间：2018-08-21 09:47

【摘要】：为克服模糊测试方法具有盲目性和覆盖率不高的缺点,缓解当前符号执行方法所面临的空间爆炸问题,该文提出一种基于脆弱点特征导向的软件安全测试方法。该方法结合模糊测试和符号执行方法的特点,针对缓冲区溢出,精确分析了具备该脆弱点特征的代码,并以此为测试目标,力图提高测试针对性;通过域收敛路径遍历策略生成新测试数据进行测试。实验数据表明:该方法的缓冲区溢出可疑点识别率比现有的以经验为主的识别方法至少提高41%,与CUTE符号执行工具相比,较好地缓解了空间爆炸问题,并有效验证了OpenSSL等常用软件的脆弱点。
[Abstract]:In order to overcome the blindness and low coverage of fuzzy test method and to alleviate the space explosion problem faced by the current symbolic execution method, a new software security test method based on feature orientation of fragile points is proposed in this paper. According to the characteristics of fuzzy test and symbol execution method, the code with the feature of the vulnerable point is analyzed accurately in view of buffer overflow, and it is regarded as the test target to improve the pertinence of the test. New test data are generated by domain convergence path traversal strategy. The experimental data show that the recognition rate of the buffer overflow suspicious points in this method is at least 41% higher than that of the existing empirical methods. Compared with the CUTE symbol execution tool, this method can better alleviate the problem of space explosion. And effectively verify the vulnerability of OpenSSL and other commonly used software.
【作者单位】： 解放军信息工程大学数学工程与先进计算国家重点实验室;中国信息安全测评中心;
【基金】：国家“八六三”高技术项目(2012AA012902)
【分类号】：TP311.53

【相似文献】

相关期刊论文 前10条

1 宋吉广;;开源软件安全现状[J];软件世界;2007年Z1期

2 ;2008中国软件安全峰会在京召开[J];信息网络安全;2008年12期

3 ;软件安全十诫[J];计算机与网络;2012年21期

4 潘博;;浅谈计算机软件安全检测方法[J];电脑知识与技术;2013年13期

5 杨晓东;;海外归来话软件安全产品[J];程序员;2004年12期

6 江北书生;;用得放心 常见软件安全措施大放送[J];电脑爱好者;2007年21期

7 李添;叶少信;余萍;;多方努力共保应用软件安全[J];每周电脑报;2008年37期

8 文伟平;吴兴丽;蒋建春;;软件安全漏洞挖掘的研究思路及发展趋势[J];信息网络安全;2009年10期

9 ;2009中国软件安全峰会在京成功举行[J];数字通信世界;2009年12期

10 大江东去;;为软件安全搬家[J];电脑迷;2010年13期

相关会议论文 前1条

1 陈云超;马兆丰;;基于API函数拦截技术的跨进程攻击防护研究[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年

相关重要报纸文章 前6条

1 Kenneth van Wyk　沈建苗 编译;软件安全故障的真正根源[N];计算机世界;2013年

2 博文;应用软件安全不容忽视[N];计算机世界;2007年

3 ; SaaS模式办公软件安全问题值得关注[N];中国电子报;2009年

4 本报记者 尹琨;预装软件安全引发业界关注[N];中国新闻出版报;2013年

5 陕西 西格玛;给软件安全搬家[N];电脑报;2006年

6 本报记者 张伟　记者 戈清平;可信互联网 软件安全开发成金钥匙[N];中国高新技术产业导报;2009年

相关博士学位论文 前2条

1 冯博;软件安全开发关键技术的研究和实现[D];北京邮电大学;2010年

2 张秀峰;AOP技术及其在软件安全中的应用[D];北京邮电大学;2008年

相关硕士学位论文 前9条

1 张楠;软件安全开发方法消化的影响因素及行为研究[D];大连理工大学;2015年

2 黄奕;基于模糊测试的软件安全漏洞发掘技术研究[D];中国科学技术大学;2010年

3 翟宇;基于软件安全契约的AOP监控方法[D];吉林大学;2011年

4 王晓飞;软件安全漏洞发掘技术研究[D];国防科学技术大学;2006年

5 管铭;基于程序分析的软件安全漏洞检测技术研究[D];西北工业大学;2007年

6 张f[媈;基于Windows平台的软件安全漏洞发掘技术研究[D];电子科技大学;2010年

7 严炜;基于iOS平台的应用软件安全检测关键技术的研究与实现[D];北京邮电大学;2014年

8 邓凡;软件安全检查工具前端的设计与实现[D];西安电子科技大学;2009年

9 王越凡;基于源码分析的软件安全测试技术研究[D];北京邮电大学;2009年

，

本文编号：2195327