基于数据控制流图的缓冲区溢出漏洞检测方法
发布时间:2021-07-26 08:32
随着计算机技术的不断发展,各行各业对软件的需求越来越大,越来越多的人享受着信息系统带来的方便快捷。在信息技术不断发展过程中不可避免要面对的问题就是软件漏洞。在软件开发过程中开发人员都会犯一些错误,有些错误是致命的,如果不及时找出来会造成很严重的后果。如今我们遇到的绝大多数安全漏洞都是不安全代码引起的,对计算机系统的保护在很大程度上取决于对软件漏洞的识别。因此,对软件漏洞的分析与研究日益成为信息安全领域关注的重点。在多年的研究过程中,国内外的研究人员从不同的角度研究了软件漏洞,并都取得了一定的进展。尽管目前在漏洞研究方面已经取了丰硕的成果,但是针对缓冲区溢出漏洞而言,目前在代码形式化方面的研究仍然不够全面,在漏洞挖掘方面的应用还不够充分,主要体现在以下的两个方面:一是目前在代码形式化的研究主要集中于定义化的描述,不能够很好地运用到实际的漏洞检测中;二是在现有代码形式化漏洞检测方法中,缺乏比较有效的权威性方法。以下对本文的主要工作进行阐述:1.本研究通过分析漏洞源代码,提出了一种基于数据控制流图(Data Control Flow Graph,DCFG)的危险函数识别方法。首先在数据控制流...
【文章来源】:江苏大学江苏省
【文章页数】:71 页
【学位级别】:硕士
【图文】:
DCFG生成界面
49图 5.3 DCVDM 界面4)单击“添加用例”按钮添加对应的测试用例,单击“删除用例”按钮可除选中的测试用例;(5)单击“开始运行”按钮开始检测漏洞。“说明”文显示了运行过程中和运行结束后报告的相关信息,其中运行结束后报告的相息主要包括测试用例中存在漏洞数、报告漏洞数、报告中真正漏洞数、漏报误报率等检测信息。最后可以导出检测结果,并保存成.csv 文件。检测报告示测试用例中存在漏洞数、报告漏洞数、报告中真正漏洞数、漏报率及误报
3.方法对比分析界面如图 5.4 所示,单击“方法对比分析”选项卡,可以进入方法对比分析模块了进行方法对比,需要进行以下几个步骤:(1)选择需要对比的方法(可选法包括 DCVDM、cppcheck、flawfinder 和 splint 四种方法),可以一次选择或者多个方法;(2)选择需要对比的指标(包括漏报率和误报率两种指标以一次选择一个或者多个指标;(3)单击“选择文件”按钮选择测试用例描件,描述文件以.csv 格式保存,其中描述了所有待测测试用例中存在的漏洞应行号;(4)单击“添加用例”按钮添加对应的测试用例,单击“删除用例钮可以删除选中的测试用例;(5)单击“开始运行”按钮开始检测漏洞。“”文本框显示了运行过程中和运行结束后报告的相关信息,其中运行结束后的相关信息主要包括测试用例中存在漏洞数、不同方法的报告漏洞数、报告正漏洞数、漏报率以及误报率等检测信息,方便进行方法对比。
【参考文献】:
期刊论文
[1]A Vulnerability Model Construction Method Based on Chemical Abstract Machine[J]. LI Xiang,CHEN Jinfu,LIN Zhechao,ZHANG Lin,WANG Zibin,ZHOU Minmin,XIE Wanggen. Wuhan University Journal of Natural Sciences. 2018(02)
[2]Android应用中SQL注入漏洞静态检测方法[J]. 潘秋红,崔展齐,王林章. 计算机科学与探索. 2018(08)
[3]二进制程序中的use-after-free漏洞检测技术[J]. 韩心慧,魏爽,叶佳奕,张超,叶志远. 清华大学学报(自然科学版). 2017(10)
[4]基于模糊测试和遗传算法的XSS漏洞挖掘[J]. 程诚,周彦晖. 计算机科学. 2016(S1)
[5]Sword DTA: A Dynamic Taint Analysis Tool for Software Vulnerability Detection[J]. CAI Jun,ZOU Peng,MA Jinxin,HE Jun. Wuhan University Journal of Natural Sciences. 2016(01)
[6]基于动态测试的XSS漏洞检测方法研究[J]. 曹黎波,曹天杰. 计算机应用与软件. 2015(08)
[7]软件安全漏洞检测技术[J]. 李舟军,张俊贤,廖湘科,马金鑫. 计算机学报. 2015(04)
[8]基于LDA主题模型的安全漏洞分类[J]. 廖晓锋,王永吉,范修斌,吴敬征. 清华大学学报(自然科学版). 2012(10)
[9]国家安全漏洞库的设计与实现[J]. 张玉清,吴舒平,刘奇旭,梁芳芳. 通信学报. 2011(06)
博士论文
[1]缓冲区溢出漏洞的静态检测方法研究[D]. 夏一民.国防科学技术大学 2007
本文编号:3303216
【文章来源】:江苏大学江苏省
【文章页数】:71 页
【学位级别】:硕士
【图文】:
DCFG生成界面
49图 5.3 DCVDM 界面4)单击“添加用例”按钮添加对应的测试用例,单击“删除用例”按钮可除选中的测试用例;(5)单击“开始运行”按钮开始检测漏洞。“说明”文显示了运行过程中和运行结束后报告的相关信息,其中运行结束后报告的相息主要包括测试用例中存在漏洞数、报告漏洞数、报告中真正漏洞数、漏报误报率等检测信息。最后可以导出检测结果,并保存成.csv 文件。检测报告示测试用例中存在漏洞数、报告漏洞数、报告中真正漏洞数、漏报率及误报
3.方法对比分析界面如图 5.4 所示,单击“方法对比分析”选项卡,可以进入方法对比分析模块了进行方法对比,需要进行以下几个步骤:(1)选择需要对比的方法(可选法包括 DCVDM、cppcheck、flawfinder 和 splint 四种方法),可以一次选择或者多个方法;(2)选择需要对比的指标(包括漏报率和误报率两种指标以一次选择一个或者多个指标;(3)单击“选择文件”按钮选择测试用例描件,描述文件以.csv 格式保存,其中描述了所有待测测试用例中存在的漏洞应行号;(4)单击“添加用例”按钮添加对应的测试用例,单击“删除用例钮可以删除选中的测试用例;(5)单击“开始运行”按钮开始检测漏洞。“”文本框显示了运行过程中和运行结束后报告的相关信息,其中运行结束后的相关信息主要包括测试用例中存在漏洞数、不同方法的报告漏洞数、报告正漏洞数、漏报率以及误报率等检测信息,方便进行方法对比。
【参考文献】:
期刊论文
[1]A Vulnerability Model Construction Method Based on Chemical Abstract Machine[J]. LI Xiang,CHEN Jinfu,LIN Zhechao,ZHANG Lin,WANG Zibin,ZHOU Minmin,XIE Wanggen. Wuhan University Journal of Natural Sciences. 2018(02)
[2]Android应用中SQL注入漏洞静态检测方法[J]. 潘秋红,崔展齐,王林章. 计算机科学与探索. 2018(08)
[3]二进制程序中的use-after-free漏洞检测技术[J]. 韩心慧,魏爽,叶佳奕,张超,叶志远. 清华大学学报(自然科学版). 2017(10)
[4]基于模糊测试和遗传算法的XSS漏洞挖掘[J]. 程诚,周彦晖. 计算机科学. 2016(S1)
[5]Sword DTA: A Dynamic Taint Analysis Tool for Software Vulnerability Detection[J]. CAI Jun,ZOU Peng,MA Jinxin,HE Jun. Wuhan University Journal of Natural Sciences. 2016(01)
[6]基于动态测试的XSS漏洞检测方法研究[J]. 曹黎波,曹天杰. 计算机应用与软件. 2015(08)
[7]软件安全漏洞检测技术[J]. 李舟军,张俊贤,廖湘科,马金鑫. 计算机学报. 2015(04)
[8]基于LDA主题模型的安全漏洞分类[J]. 廖晓锋,王永吉,范修斌,吴敬征. 清华大学学报(自然科学版). 2012(10)
[9]国家安全漏洞库的设计与实现[J]. 张玉清,吴舒平,刘奇旭,梁芳芳. 通信学报. 2011(06)
博士论文
[1]缓冲区溢出漏洞的静态检测方法研究[D]. 夏一民.国防科学技术大学 2007
本文编号:3303216
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3303216.html
