CAJ | 학술논문

与传统的程序分析相比,模型检测具有较高的检测精度,但无法将其直接应用于缓冲区溢出、代码注入等安全漏洞的检测.为解决此问题,提出了基于约束分析与模型检测相结合的安全漏洞自动检测方法.首先,通过约束分析跟踪代码中缓冲区的信息,在涉及缓冲区操作的危险点生成相应的属性传递和属性约束语句,并将安全漏洞检测问题转化为模型检测方法可接受的可达性检测问题.然后,采用模型检测方法对安全漏洞的可达性进行判断.同时采用程序切片技术,以减少状态空间.对6个开源软件的检测结果表明,基于该方法实现的CodeAuditor原型系统发现了18个新漏洞,误报率为23％.对minicom的切片实验显示,检测性能有较大提高.
여전통적정서분석상비,모형검측구유교고적검측정도,단무법장기직접응용우완충구일출、대마주입등안전루동적검측.위해결차문제,제출료기우약속분석여모형검측상결합적안전루동자동검측방법.수선,통과약속분석근종대마중완충구적신식,재섭급완충구조작적위험점생성상응적속성전체화속성약속어구,병장안전루동검측문제전화위모형검측방법가접수적가체성검측문제.연후,채용모형검측방법대안전루동적가체성진행판단.동시채용정서절편기술,이감소상태공간.대6개개원연건적검측결과표명,기우해방법실현적CodeAuditor원형계통발현료18개신루동,오보솔위23％.대minicom적절편실험현시,검측성능유교대제고.