基于软件动静态分析的漏洞检测研究：以Internet Socket安全漏洞为例

发布时间：2022-01-25 04:18

　　Android操作系统在过去十年内获得了巨大的成功,数以百万计的Android应用程序为人们提供了各种各样的服务,极大的方便了人们的生活。但是,Android应用程序数量的快速增加,导致了Android应用程序质量良莠不齐,安全漏洞事故频发,严重威胁用户的信息安全。为此,工业界和学术界将目光聚集到了Android应用程序的安全漏洞检测,但实现Android应用程序的安全漏洞检测有诸多难点。一方面,工业界所面临的Android应用程序安全漏洞检测对象往往是大规模的Android应用程序集,以国内领先的安全服务提供商犇众信息为例,安全服务提供商需要在一次安全漏洞检测中完成对超过1100万个Android应用程序的检测,这需要安全漏洞检测系统能够保持较高的检测效率。另一方面,商业化Android应用程序具有较高的复杂性,在现有的程序分析技术中,静态分析技术通过探寻程序所有可能的执行路径,检查其是否符合特定的安全规范来完成安全分析,在对复杂性高的商业化Android应用程序进行安全分析时,会极大的拉长单个Android应用程序的分析时间。最后,现有的静态分析技术一个重要的技术难点Java反射调... 

【文章来源】：华东师范大学上海市 211工程院校 985工程院校 教育部直属院校

【文章页数】：73 页

【学位级别】：硕士

【部分图文】：

图12009年12月到2018年3月谷歌应用市场上架应用数量趋势图

Activity关闭onStart()onResume()onDestroy()onStop()onPause()Activity运行中另一个Activity进入前台当前Activity不可见Activity结束或者被系统回收

图 4 Amandroid 工作流程Amandroid 以 APK 文件作为输入，输出数据流图（DFG）和数据依赖图（ 4 所示[7]，从具体流程上来看，Amandroid 工作流程主要分为 4 个步骤：1）Amandroid 将 APK 应用程序从 Dalvik 字节码转换成一种叫做 Jawa[54]的R），并解压其他资源文件；2）为每个组件生成对应的模拟 Android 系统的入口方法；3）使用基于组件的分析方法构建全局的数据流图和数据依赖图，全局的数依赖图都是过程间的并且是跨组件的。其中数据流图是带有语句数据清单act）的控制流图，语句数据清单记录了当前语句所依赖的详细信息，通过，我们可以清楚的知道当前变量实际的值。数据依赖图则是在数据流图上使用点到其定义点的依赖边。基于组件的分析方法构建数据流图详见下一4）使用数据流图和数据依赖图，我们可以完成多种安全分析任务，如数据

【参考文献】：
期刊论文
[1]面向Android生态系统中的第三方SDK安全性分析[J]. 马凯,郭山清.  软件学报. 2018(05)
[2]Android安全研究进展[J]. 卿斯汉.  软件学报. 2016(01)



本文编号：3607884