软件脆弱性论文-刘臻,武泽慧,曹琰,魏强

软件脆弱性论文-刘臻,武泽慧,曹琰,魏强

导读:本文包含了软件脆弱性论文开题报告文献综述及选题提纲参考文献,主要关键词:软件脆弱性检测,脆弱性代码,漏洞指纹,代码复用

软件脆弱性论文文献综述

刘臻,武泽慧,曹琰,魏强[1](2018)在《基于漏洞指纹的软件脆弱性代码复用检测方法》一文中研究指出针对传统脆弱性代码复用检测技术漏报率高的问题,提出基于漏洞指纹的检测方法.分析开源项目漏洞补丁的结构与脆弱性代码特征,总结代码复用过程中常见修改手段的特点,设计基于哈希值的漏洞指纹模型.开展代码预处理消除无关因素的影响,选取固定行数的代码块作为特征抽象粒度,利用哈希算法抽取关键代码特征.通过搜集开源项目漏洞信息与相关代码片段构建漏洞样本库,利用基于LCS的相似性评估算法定位漏洞样本的复用并且标记为敏感代码,使用漏洞指纹进行检测并根据识别策略完成对脆弱性代码的判定.实验结果表明,基于漏洞指纹的检测方法能够有效地应对多种代码修改手段的影响,明显提高检测效率,检测时间与输入代码量呈线性增长关系.(本文来源于《浙江大学学报(工学版)》期刊2018年11期)

况晓辉,刘强,李响,聂原平[2](2018)在《基于机器学习的软件脆弱性分析方法综述》一文中研究指出随着被披露脆弱性代码样本数量的不断增加和机器学习方法的广泛应用,基于机器学习的软件脆弱性分析逐渐成为信息安全领域的热点研究方向。首先,通过分析已有研究工作,提出了基于机器学习的软件脆弱性挖掘框架;然后,从程序分析角度对已有研究工作进行了分类综述;最后,对研究成果进行了对比分析,并分析了当前基于机器学习的脆弱性分析方法面临的挑战,展望了未来的发展方向。(本文来源于《计算机工程与科学》期刊2018年11期)

王同磊,陈朝晖[3](2018)在《一种软件脆弱性自动分析定位的方法》一文中研究指出为了更好地满足航空航天领域中使用的多种嵌入式软件的高可靠性要求,设计一种软件脆弱性自动分析定位的方法.该方法基于程序切片技术,改进现有的前向计算动态切片算法,利用动态程序切片收集程序运行时的动态信息,构造程序切片谱,设定相关统计量统计程序语句的脆弱性可疑度,生成脆弱性定位报告.在发现软件中存在的脆弱性后,该方法对导致此脆弱性的程序代码根源实现了自动分析定位.基于此方法设计开发了软件脆弱性自动定位工具并进行了实例验证分析,实验证明了该方法的有效性.(本文来源于《空间控制技术与应用》期刊2018年02期)

黄梦媛[4](2016)在《动静结合的Android应用软件脆弱性分析技术研究》一文中研究指出Android系统是由Google公司开发的一种基于Linux的开放源代码操作系统。随着Android系统的普及,Android应用市场飞速发展,Android应用软件也开始成为黑客和恶意攻击者的目标。同时,随着漏洞挖掘技术的不断完善,Android.平台暴露出越来越多的应用程序漏洞。恶意攻击者利用Android应用程序漏洞进行恶意操作,给用户的隐私和财产安全造成了严重威胁。为此,本文针对Android应用软件的脆弱性分析技术进行研究,具体内容包括在对Android应用软件的脆弱性进行定义的基础上,对脆弱性产生的原因进行了分析;对Android应用软件的常见漏洞进行了分类和研究;设计并实现了一个动静结合的Android应用软件脆弱性检测系统——AAVS。本文具体研究内容及成果如下:1、研究了 Android系统的系统架构和安全机制,深入研究了Adroid漏洞检测常用分析方法,包括静态分析技术和动态分析技术的技术原理等内容,并重点研究了污点追踪技术和动态Fuzzing技术。2、研究了 Android应用软件的脆弱性,对Android应用软件的脆弱性进行了定义,对脆弱性原因进行了分析,并对Android应用软件常见漏洞的漏洞原理和攻击场景进行了研究。3、根据以上研究内容,设计并实现了一套针对Android应用软件的脆弱性检测系统——AAVS。本系统结合静态污点分析技术和基于协议Fuzzing的动态模糊测试技术,能快速定位到Android应用软件中潜在的安全漏洞和风险。AAVS不仅检测准确、扫描快速,而且具有30个漏洞扫描项,覆盖面广。(本文来源于《北京邮电大学》期刊2016-12-29)

秦晓军,周林,陈左宁,甘水滔[5](2015)在《基于懒符号执行的软件脆弱性路径求解算法》一文中研究指出为了解决软件测试中路径爆炸、新路径发现率低以及静态分析中虚报率高等问题,提出了动静态分析结合的脆弱性挖掘框架,并针对循环爆炸问题设计了基于懒符号执行的路径求解算法,该路径求解算法应用最短路径、条件约束集概率和可达路径数量3种静态信息制导符号执行,提高了路径选择的准确率,能较快地逼近脆弱点,并利用懒符号执行技术自动识别循环结构,通过推迟变量实例化等方法,有效地缓解了循环结构的路径组合爆炸问题,最终生成到达脆弱点集的数据包.对coreutils6.10命令包的实验结果表明,与现有的方法 KLEE、Otter和SAGE相比,该文提出的方法可以有效地对具有较多分支的程序进行分析,当测试程序越大其优势越明显.(本文来源于《计算机学报》期刊2015年11期)

甘水滔,秦晓军,陈左宁,王林章[6](2015)在《一种基于特征矩阵的软件脆弱性代码克隆检测方法》一文中研究指出提出了一种基于特征矩阵的软件代码克隆检测方法.在此基础上,实现了针对多类脆弱性的检测模型.基于对脆弱代码的语法和语义特征分析,从语法分析树抽取特定的关键节点类型描述不同的脆弱性类型,将4种基本克隆类型细化拓展到更多类,通过遍历代码片段对应的语法分析树中关键节点的数量,构造对应的特征矩阵.从公开漏洞数据库中抽取部分实例作为基本知识库,通过对代码进行基于多种克隆类型的聚类计算,达到了从被测软件代码中检测脆弱代码的目的.与基于单一特征向量的检测方法相比,对脆弱性特征的描述更加精确,更具有针对性,并且弥补了形式化检测方法在脆弱性类型覆盖能力上的不足.在对android-kernel代码的测试中发现了9个脆弱性.对不同规模软件代码的测试结果表明,该方法的时间开销和被测代码规模成线性关系.(本文来源于《软件学报》期刊2015年02期)

范巍[7](2014)在《面向软件脆弱性的并行检测系统相关技术研究与实现》一文中研究指出软件脆弱性作为信息安全问题的根源之一,对信息安全构成了严重威胁。当前,普遍使用的符号执行技术受限于运算复杂度和计算能力,无法实现大规模应用。为此课题组提出了基于动态符号执行的软件脆弱性并行检测系统。并行调度是软件脆弱性并行检测系统的关键技术之一,与系统的检测效率紧密相关。本文提出了基于节点状态的子系统调度算法和基于路径广度优先遍历的任务调度算法,分别实现了并行系统的子系统调度和任务调度。两个算法在实现上简单易行,并且具有很高的效率。本文对具体编程的细节进行了介绍和分析。(本文来源于《中国新通信》期刊2014年24期)

范巍[8](2014)在《面向软件脆弱性的并行检测系统相关技术研究与实现》一文中研究指出软件脆弱性作为信息安全问题的根源之一,对信息安全构成了严重威胁。当前,普遍使用的符号执行技术受限于运算复杂度和计算能力,无法实现大规模应用。为此课题组提出了基于动态符号执行的软件脆弱性并行检测系统。并行调度是软件脆弱性并行检测系统的关键技术之一,与系统的检测效率紧密相关。本文提出了基于节点状态的子系统调度算法和基于路径广度优先遍历的任务调度算法,分别实现了并行系统的子系统调度和任务调度。两个算法在实现上简单易行,并且具有很高的效率。本文对具体编程的细节进行了介绍和分析。(本文来源于《电子制作》期刊2014年20期)

王雅丽,李建良[9](2014)在《基于检测工具的软件脆弱性分析模型研究》一文中研究指出针对使用单一检测工具进行软件脆弱性分析,存在较高误报率、漏报率和重报率的问题,研究和设计一个基于多检测工具的软件脆弱性分析模型。该模型通过对不同检测工具的集成,对不同检测结果的优化处理,有效地降低了检测工具的误报率、漏报率和重报率。基于该模型设计一个实例,对其实用性和有效性进行验证,结果表明,经过多层次等级处理,有效降低了误报率、漏报率和重报率。(本文来源于《计算机应用与软件》期刊2014年07期)

曹琰[10](2013)在《面向软件脆弱性分析的并行符号执行技术研究》一文中研究指出符号执行技术在软件脆弱性分析领域的应用已经取得了较大的发展,相比于传统的模糊测试,在测试数据生成和程序执行路径分析方面具有较大优势,提高了脆弱性分析的能力。但是由于软件执行路径数巨大,在有限的资源条件下逐条路径分析效率较低,测试覆盖率难以提高,成为符号执行发展的瓶颈。随着高性能硬件平台和新型计算模型的发展,并行符号执行技术逐渐成为国内外研究的热点。在提高软件安全并行测试效率方面,算法的并行度及漏洞挖掘方法成为研究的关键问题。本文从符号执行、约束求解及其并行化技术等方面,对软件脆弱性分析进行了研究,主要工作可概括如下:1、在静态符号执行方面,为了提高符号执行的并行度,提出了以路径簇为负载单位的并行执行方法。通过程序依赖分析,将与程序目标点具有共享控制依赖条件多路径按规则归约成路径簇,以路径簇链为单位进行并行测试的负载调度,在有效减少实际执行路径数目的同时提高执行分析的并行度。2、为了处理环境交互问题,提出了基于混合输入的环境交互方法。通过定义程序执行的一致性模型,系统化地分析了符号执行与实际执行的逼近问题;提出了符号执行与具体执行的转换方法及维护一致性的启发式策略。通过区分可求解约束和复杂约束条件,提出了具体值和符号值混合代入法化简复杂约束的路径求解算法。3、在动态符号执行方面,为了提高针对特定目标的测试覆盖率,提出了基于敏感点逼近的并行测试方法。该方法结合了动静态分析两方面的优势。利用静态分析技术,提出了基于调用链回溯的敏感点到程序执行路径的距离计算方法,能够为导向型测试提供依据;设计了基于动态符号执行的分布式测试模型,实现了“距离分析——路径求解——用例生成——实际测试”反复迭代的测试过程。以敏感点为导向、以符号执行技术为基础的测试方法,加强了测试的针对性。4、在约束求解方面,提出了基于集中式存储的全局约束并行相容模型,并将该技术与回溯搜索结合,实现了并行求解方法。该模型利用动态分配约束条件的方法解决负载均衡问题,通过对变量域的集中式管理,保证了冲突检测的及时性,利用变量域剪枝单调性的特点,实现了异步相容检查,提高多节点间相容检查的并行程度。在并行搜索方面,依赖对搜索空间划分与调度,与相容技术进行融合,进一步提高了约束求解的效率。5、将静态符号执行技术应用于软件补丁比对,实现基本块级的语义差异分析。在函数级利用基于图形同构的匹配方法,找到最大同构子图;在此基础上,利用静态符号执行技术对基本块的输入输出行为进行分析,判断其功能的相似性,借以进行语义的差异分析。通过对比实验验证了匹配结果准确率的提升。本文提出的相关模型和算法已在课题组研制的大规模分布式并行漏洞挖掘系统中得到应用。实验结果表明了相关技术的可行性和有效性,对于提高软件脆弱性分析的效率有着很好的帮助。(本文来源于《解放军信息工程大学》期刊2013-04-15)

软件脆弱性论文开题报告

(1)论文研究背景及目的

此处内容要求:

首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。

写法范例:

随着被披露脆弱性代码样本数量的不断增加和机器学习方法的广泛应用,基于机器学习的软件脆弱性分析逐渐成为信息安全领域的热点研究方向。首先,通过分析已有研究工作,提出了基于机器学习的软件脆弱性挖掘框架;然后,从程序分析角度对已有研究工作进行了分类综述;最后,对研究成果进行了对比分析,并分析了当前基于机器学习的脆弱性分析方法面临的挑战,展望了未来的发展方向。

(2)本文研究方法

调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。

观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。

实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。

文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。

实证研究法:依据现有的科学理论和实践的需要提出设计。

定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。

定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。

跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。

功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。

模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。

软件脆弱性论文参考文献

[1].刘臻,武泽慧,曹琰,魏强.基于漏洞指纹的软件脆弱性代码复用检测方法[J].浙江大学学报(工学版).2018

[2].况晓辉,刘强,李响,聂原平.基于机器学习的软件脆弱性分析方法综述[J].计算机工程与科学.2018

[3].王同磊,陈朝晖.一种软件脆弱性自动分析定位的方法[J].空间控制技术与应用.2018

[4].黄梦媛.动静结合的Android应用软件脆弱性分析技术研究[D].北京邮电大学.2016

[5].秦晓军,周林,陈左宁,甘水滔.基于懒符号执行的软件脆弱性路径求解算法[J].计算机学报.2015

[6].甘水滔,秦晓军,陈左宁,王林章.一种基于特征矩阵的软件脆弱性代码克隆检测方法[J].软件学报.2015

[7].范巍.面向软件脆弱性的并行检测系统相关技术研究与实现[J].中国新通信.2014

[8].范巍.面向软件脆弱性的并行检测系统相关技术研究与实现[J].电子制作.2014

[9].王雅丽,李建良.基于检测工具的软件脆弱性分析模型研究[J].计算机应用与软件.2014

[10].曹琰.面向软件脆弱性分析的并行符号执行技术研究[D].解放军信息工程大学.2013

标签:;  ;  ;  ;  

软件脆弱性论文-刘臻,武泽慧,曹琰,魏强
下载Doc文档

猜你喜欢