计算机研究与发展
計算機研究與髮展
계산궤연구여발전
JOURNAL OF COMPUTER RESEARCH AND DEVELOPMENT
2011年
9期
1659-1666
,共8页
约束分析%模型检测%安全漏洞%程序切片%静态分析
約束分析%模型檢測%安全漏洞%程序切片%靜態分析
약속분석%모형검측%안전루동%정서절편%정태분석
与传统的程序分析相比,模型检测具有较高的检测精度,但无法将其直接应用于缓冲区溢出、代码注入等安全漏洞的检测.为解决此问题,提出了基于约束分析与模型检测相结合的安全漏洞自动检测方法.首先,通过约束分析跟踪代码中缓冲区的信息,在涉及缓冲区操作的危险点生成相应的属性传递和属性约束语句,并将安全漏洞检测问题转化为模型检测方法可接受的可达性检测问题.然后,采用模型检测方法对安全漏洞的可达性进行判断.同时采用程序切片技术,以减少状态空间.对6个开源软件的检测结果表明,基于该方法实现的CodeAuditor原型系统发现了18个新漏洞,误报率为23%.对minicom的切片实验显示,检测性能有较大提高.
與傳統的程序分析相比,模型檢測具有較高的檢測精度,但無法將其直接應用于緩遲區溢齣、代碼註入等安全漏洞的檢測.為解決此問題,提齣瞭基于約束分析與模型檢測相結閤的安全漏洞自動檢測方法.首先,通過約束分析跟蹤代碼中緩遲區的信息,在涉及緩遲區操作的危險點生成相應的屬性傳遞和屬性約束語句,併將安全漏洞檢測問題轉化為模型檢測方法可接受的可達性檢測問題.然後,採用模型檢測方法對安全漏洞的可達性進行判斷.同時採用程序切片技術,以減少狀態空間.對6箇開源軟件的檢測結果錶明,基于該方法實現的CodeAuditor原型繫統髮現瞭18箇新漏洞,誤報率為23%.對minicom的切片實驗顯示,檢測性能有較大提高.
여전통적정서분석상비,모형검측구유교고적검측정도,단무법장기직접응용우완충구일출、대마주입등안전루동적검측.위해결차문제,제출료기우약속분석여모형검측상결합적안전루동자동검측방법.수선,통과약속분석근종대마중완충구적신식,재섭급완충구조작적위험점생성상응적속성전체화속성약속어구,병장안전루동검측문제전화위모형검측방법가접수적가체성검측문제.연후,채용모형검측방법대안전루동적가체성진행판단.동시채용정서절편기술,이감소상태공간.대6개개원연건적검측결과표명,기우해방법실현적CodeAuditor원형계통발현료18개신루동,오보솔위23%.대minicom적절편실험현시,검측성능유교대제고.