基于漏洞分析的软件综合检测方法研究
本文关键词:基于漏洞分析的软件综合检测方法研究,由笔耕文化传播整理发布。
【摘要】:随着信息共享的普及,各种应用软件相继出现。软件功能越来越多样,代码的控制结构也越来越复杂。随之而来的安全问题也引起社会各方面的广泛关注。为了维护信息系统的安全,高效实用的软件安全检测及漏洞分析技术供不应求。越来越多的研究团队加入到软件漏洞检测这一研究项目中,研究重点大多只集中在漏洞检测的某一方面,并且对软件漏洞分析技术的理解也不全面。本文以漏洞分析为基础,研究综合性的软件安全检测方法。论文的主要研究内容如下。首先,在阅读大量相关文献的基础上,深入研究软件漏洞的定义及其特点、软件漏洞的分类与分级,同时从静态分析和动态分析两方面归纳总结目前国内外关于软件安全检测方法及工具的主要研究成果,为论文进一步研究工作奠定基础。其次,针对基于源码的软件安全检测,提出逆向跟踪的符号执行方法。该方法首先通过模式匹配技术收集源码中所有安全敏感函数,并以这些安全敏感函数作为节点构建数据流树,从数据流树中计算并得到可能的执行路径。然后通过输入符号,执行所有产生的执行路径来生成程序约束;根据预定义的安全需求,计算所有执行路径上的安全约束;给出程序约束生成及安全约束生成算法。最后在生成的程序约束和安全约束基础上,给出检测源码程序中漏洞的方法。再次,针对基于二进制程序的软件安全检测,提出基于污点分析的动态符号执行方法。首先给出方法的描述,该方法采用污点分析技术对程序中的数据流进行分析,并快速定位与符号输入相关的首条指令。然后,根据输入的符号执行二进制程序,为了提高符号执行阶段的速度提出了三种优化策略,包括白名单的构建、无关状态消除和路径搜索优化。最后,为了验证本文提出的两种软件检测方法的有效性,分别进行了实验,同时进行工具的对比分析。经过对数据结果的分析,表明本文中提出的基于源代码的逆向追踪符号分析技术在精确性和查全率方面具有优势、基于二进制程序的动态符号执行优化方法在执行速度上也具有优势。
【关键词】:安全漏洞 符号执行 静态分析 污点分析 动态二进制
【学位授予单位】:大连海事大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP309
【目录】:
- 摘要5-6
- ABSTRACT6-10
- 第1章 绪论10-18
- 1.1 研究背景及意义10-12
- 1.2 国内外研究现状12-16
- 1.2.1 软件漏洞的研究现状12-13
- 1.2.2 软件安全检测方法及工具的研究现状13-16
- 1.3 论文结构安排16-17
- 1.4 本章小结17-18
- 第2章 基础理论和相关技术18-32
- 2.1 软件漏洞18-20
- 2.1.1 漏洞定义18-19
- 2.1.2 漏洞特点19-20
- 2.2 软件漏洞分类与分级20-25
- 2.2.1 软件漏洞的分类20-24
- 2.2.2 软件漏洞的分级24-25
- 2.3 软件漏洞安全检测技术25-31
- 2.3.1 软件静态分析技术25-28
- 2.3.2 软件动态分析技术28-31
- 2.4 本章小结31-32
- 第3章 基于源码的软件安全检测32-45
- 3.1 符号执行分析技术32-34
- 3.1.1 基本原理及应用32-34
- 3.1.2 与其他漏洞分析技术的结合34
- 3.2 逆向跟踪的符号执行技术34-35
- 3.3 逆向跟踪的符号执行技术优化35-44
- 3.3.1 节点检测37
- 3.3.2 数据流树的构建37-39
- 3.3.3 生成可能的执行路径39-40
- 3.3.4 程序约束和安全约束40-43
- 3.3.5 PC和SC验证43-44
- 3.4 本章小结44-45
- 第4章 基于二进制程序的软件安全检测45-53
- 4.1 动静结合的漏洞分析技术原理45-47
- 4.2 基于二进制程序的污点分析技术47-48
- 4.2.1 采用污点分析技术的原因47
- 4.2.2 符号化的污点分析47-48
- 4.3 动态符号执行技术的优化48-51
- 4.3.1 具体执行和符号执行48-49
- 4.3.2 动态符号执行优化策略49-51
- 4.4 漏洞检查阶段51-52
- 4.5 本章小节52-53
- 第5章 基于漏洞分析的软件安全综合检测方法实验与数据分析53-61
- 5.1 实验环境53-55
- 5.1.1 基于源码的软件检测模块工具介绍53-54
- 5.1.2 基于二进制程序的软件检测模块工具介绍54-55
- 5.2 基于源码的软件检测实验及结果分析55-58
- 5.2.1 实验评价指标55-56
- 5.2.2 实验数据56-57
- 5.2.3 实验结果分析57
- 5.2.4 与其他测试工具的测试结果对比分析57-58
- 5.3 基于二进制程序的软件检测实验及结果分析58-60
- 5.4 本章小结60-61
- 第6章 总结与展望61-63
- 6.1 论文工作总结61-62
- 6.2 下一步的研究工作62-63
- 参考文献63-67
- 致谢67
【相似文献】
中国期刊全文数据库 前10条
1 ;教你安全专家常用的漏洞分析方法[J];网络与信息;2009年08期
2 小金;;输入法漏洞分析与回顾 小心! 打字也可能不安全[J];新电脑;2007年05期
3 袁江;乔佩利;;基于模式比较的漏洞分析技术研究[J];信息技术;2008年03期
4 高丽;张欢庆;;计算机系统的漏洞分析与检测[J];商丘职业技术学院学报;2010年02期
5 ;2011年2月份十大重要安全漏洞分析[J];信息网络安全;2011年03期
6 ;2012年4月十大重要安全漏洞分析[J];信息网络安全;2012年06期
7 ;2012年5月十大重要安全漏洞分析[J];信息网络安全;2012年07期
8 ;成功执行信息安全漏洞分析的关键步骤[J];计算机与网络;2012年06期
9 ;2012年6月十大重要安全漏洞分析[J];信息网络安全;2012年08期
10 ;2012年7月十大重要安全漏洞分析[J];信息网络安全;2012年09期
中国重要会议论文全文数据库 前4条
1 ;2012年6月十大重要安全漏洞分析[A];第27次全国计算机安全学术交流会论文集[C];2012年
2 ;2013年8月十大重要安全漏洞分析[A];第28次全国计算机安全学术交流会论文集[C];2013年
3 ;2011年8月份十大重要安全漏洞分析[A];第26次全国计算机安全学术交流会论文集[C];2011年
4 马英杰;肖丽萍;何文才;李彦兵;;FlashFXP安全漏洞分析[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
中国硕士学位论文全文数据库 前7条
1 王宏阳;基于漏洞分析的软件综合检测方法研究[D];大连海事大学;2016年
2 李舸;信息安全风险评估的漏洞分析及评估方法改进[D];重庆大学;2007年
3 王罗惠;基于Rails的软件安全漏洞分析管理工具的设计与实现[D];西安电子科技大学;2008年
4 李建军;基于逻辑的网络安全漏洞分析研究[D];解放军信息工程大学;2012年
5 易新明;某大型工矿企业信息系统安全测评与漏洞分析及其改进[D];湖南大学;2013年
6 睢辰萌;基于漏洞分析的软件安全性评估系统研究[D];北京交通大学;2013年
7 赵晖;面向军工应用软件的源代码漏洞分析系统的研究与实现[D];北京交通大学;2015年
本文关键词:基于漏洞分析的软件综合检测方法研究,,由笔耕文化传播整理发布。
本文编号:319249
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/319249.html
