基于程序分析的軟件安全漏洞檢測技術研究.pdf

1、本文的主要目的就是研究那些能夠在軟件開發(fā)周期中有效減少軟件安全漏洞的方法和技術，尤其側重于程序分析技術在代碼層安全漏洞檢測上的應用。程序分析技術分為靜態(tài)分析和動態(tài)分析兩種。靜態(tài)分析掃描源碼，在無需程序執(zhí)行的情況下進行漏洞的檢測，但是容易產生誤報。動態(tài)分析執(zhí)行程序，通過收集運行時的信息進行漏洞的檢測，結果精確但容易產生漏報?；诂F有的方法和經驗，設計了一個代碼層軟件安全漏洞的檢測模型，主要工作如下： 1．研究了軟件開發(fā)周期中的軟件

2、安全問題并對軟件需求階段、設計階段和測試階段中一些能有效減少軟件安全漏洞的實踐方法進行了詳細的分析。總結了現有的常見軟件安全漏洞和代碼層的軟件安全漏洞分類。 2．總結了用于漏洞檢測的靜態(tài)分析和動態(tài)分析手段，詳細分析了兩種方法的特點和不足，討論了它們結合互補的方式。 3．提出了一個靜態(tài)分析，動態(tài)驗證的安全漏洞檢測模型。說明了模型中的各個功能部件和分析流程。詳細介紹了程序抽象表示形式，漏洞描述問題，別名信息分析問題和代碼植入

3、問題。 4．對輸入驗證相關漏洞進行實例分析，總結了這類漏洞的本質，并給出了一種Java數據流跟蹤模式。 5．研究了一種基于關系數據庫的程序分析方法，設計了模型靜態(tài)分析部分的實現結構，構造了SQL注入攻擊漏洞的Datalog檢測規(guī)則。同時設計了Java數據流動態(tài)跟蹤的方案，說明了代碼植入的實現手段，并利用Javassist工具包進行了字節(jié)碼植入的實驗。 6．最后對漏洞檢測的實現做了整體的概述，并對模型的優(yōu)缺點進行了