返回
漏洞检测静态分析方法的优化策略.pdf

漏洞检测静态分析方法的优化策略.pdf

ID:52491584

大小:339.29 KB

页数:4页

时间:2020-03-28

漏洞检测静态分析方法的优化策略.pdf_第1页
漏洞检测静态分析方法的优化策略.pdf_第2页
漏洞检测静态分析方法的优化策略.pdf_第3页
漏洞检测静态分析方法的优化策略.pdf_第4页
资源描述:

《漏洞检测静态分析方法的优化策略.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、总第216期舰船电子工程Vol-32No.62012年第6期ShipElectronicEngineering89漏洞检测静态分析方法的优化策略王烈戴志华(武汉数字工程研究所软件测评中心武汉430074)摘要目前软件漏洞静态解决方案大都有针对性的检测某些方面的软件漏洞,无法做到全面、高效、准确的检测出所有漏洞。通过讨论目前已有的一些漏洞检测技术与工具,并研究这些工具与技术各自存在的优势与缺陷。在此基础上提出改进漏洞检测静态分析的优化策略。关键词漏洞检测;静态分析;优化策略;软件漏洞;软件测试中图分类号TP311.5OptimizationStaticAnalysisforDetectingS

2、oftwareVulnerabilitiesWANGLieDAIZhihua(SoftwareTestingCenter,WuhanDigitalEngineeringInstitute,Wuhan430074)AbstractAlmostexistingsolutionsfordetectingsoftwarevulnerabilitiesprocesssomebreaches,noneofthemcandetectallofthevul—nerabilitiesefficientlyandtrustworthily.Bydiscussingsometechniquesandtoolsfo

3、rvulnerabilitydetectionandadvantagesanddisadvantagesofthetoolsandtechniques.Onthisbasis,thepaperproposedanoptimizationstrategyonimprovingthestaticdetectionandanalysisofvul—nerabilities.KeyWordsvulnerabilitydetection,staticanalysis,optimizationstrategy,softwarevulnerability,softwaretestingCIassNun'l

4、~rTP31】.5码必要的解析,采用该技术的工具不能区分源代码与注释,1引言使得该类工具存在很高的误报率。软件漏洞主要是由于软件开发人员在开发过程中的疏Grep通过对比预先设定的模式列表逐行检索输人文忽所造成的,这些漏洞能被攻击者利用影响其安全性与稳件,输出文件中包含列表中所列模式的代码行。采用模式匹定性等,例如,我们所熟知的缓冲区溢出和字符串格式化漏配的另外的一个工具是FlawFinderE,该工具对c/c++的洞就是这一漏洞类型。为了全面系统的识别出软件漏洞就缺陷按危害严重程度分级,并建立模式数据库,通过匹配数必须采用合适的技术解决方案。据库中缺陷模型检测出源代码中存在的缓冲区溢出漏洞和

5、目前存在许多软件工具和技术用来发现和排除这些漏字符串格式化漏洞。洞,可以分为两类主要方法:其中一些工具直接通过对源代2.2词法分析码的分析从而发现可能会出现的软件漏洞,我们统称这些该技术的代表检测工具是ITS4E。ITS4是最早的以工具为静态工具,例如ITS4和Splintcd。另一类工具就是命令行方式工作在Linux和Unix环境中的一种静态扫描动态工具,通过监控软件运行时信息检测其存在的软件缺C/C++源代码中安全漏洞的简单工具。ITS4构造了一种陷,例如ProPolice和CERt/。本文将研究这些漏洞和用具有安全威胁模型结构的数据库,然后使用词法分析技术于检测这些漏洞的静态检测技术和

6、工具,通过分析各自存对源码进行对应模式的搜索匹配。它可以发现一些最普遍在的优势与缺陷的基础上,提出改进漏洞检查静态分析的的安全漏洞。优化策略。2001年发布的基于Python语言开发的用来安全审查c/c++语言程序的工具FlawFinder和同年发布的2现有静态分析技术与工具研究RATS[1l_与ITS4的工作原理相同,都是先建立漏洞数据目前对漏洞的检测学界提出了许多好的思路并实现了库,然后通过对源程序进行词法分析进行模式匹配,找到潜一些用于静态漏洞检测的工具。以下将详细描述这些静态在的漏洞。检测技术及相关工具。这类检测技术的特点是实现简单、算法效率高,但是由2.1模式匹配于没有考虑到语法和

7、语义层次的信息,容易出现漏报和错模式匹配技术尽可能查找源代码中调用字符串拷贝后报问题l_5J。的字符串打印操作的所有情形。Unix/Linux的grep命令2.3程序注解是采用该技术的简单字符匹配工具。但是由于缺乏对源代基于程序注解的分析。基于程序注解的轻量级(Light一收稿日期:2011年12月10日,修回日期:2012年1月18日作者简介:王烈,男,硕士,工程师,研究方向:软件测试,漏洞检测。戴志华,女

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。