二进制漏洞自动化利用技术研究

发布时间：2021-01-27 23:13

　　互联网的日益普及使得各类软件系统得到广泛应用,同时信息安全问题也变得越来越突出。软件作为信息系统功能的重要载体,其中存在的漏洞是绝大多数信息安全问题的根源。为确保信息系统的安全性,需检测软件中存在的漏洞,并准确评估其危害性。目前漏洞检测与漏洞危害性评估方法自动化程度较低,需要依靠人工参与才能完成该过程。在软件规模与复杂度不断增大,以及漏洞类型与原理多样化的形势下,通过人工分析已难以应对上述挑战。为了提高软件安全性评估的效率,本文在对二进制漏洞原理与程序分析方法进行研究的基础上,提出了一种基于二进制程序的漏洞自动化利用方法,通过检测程序中存在的缓冲区溢出漏洞,并从攻击者角度利用漏洞以验证程序的安全性。该方法使用符号执行引擎虚拟运行目标程序,运行过程中根据检测规则判断当前程序状态是否存在漏洞,对可利用的漏洞构造利用约束表达式,通过求解约束表达式实现自动构造利用数据。论文的主要研究内容包括以下几个方面:（1）分析与总结手工方式构造漏洞利用数据的过程并建立漏洞利用模型,将漏洞利用过程抽象为漏洞约束表达式与利用约束表达式,以实现自动生成利用数据。（2）设计了脆弱点导向的漏洞检测方法。针对漏洞检测... 

【文章来源】：西安电子科技大学陕西省 211工程院校 教育部直属院校

【文章页数】：78 页

【学位级别】：硕士

【部分图文】：

漏洞检测时间效率对比图

【参考文献】：
期刊论文
[1]2017年国内外信息安全漏洞情况[J].   中国信息安全. 2018(01)



本文编号：3003899