基于模型檢測(cè)的漏洞挖掘方法研究.pdf_第1頁(yè)
已閱讀1頁(yè),還剩98頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、從技術(shù)因素上講,互聯(lián)網(wǎng)安全的本質(zhì)就是軟件安全。軟件出現(xiàn)安全問(wèn)題,不僅僅影響個(gè)人隱私和數(shù)據(jù),企業(yè)發(fā)展,甚至國(guó)家安全也可能受到威脅。在軟件安全領(lǐng)域,軟件漏洞處于絕對(duì)核心位置。美國(guó)商務(wù)部已經(jīng)將軟件漏洞列為一種戰(zhàn)略資源。2015年7月,Hacking Team曝出數(shù)據(jù)表明,目前大量未公開(kāi)的軟件漏洞正在侵害網(wǎng)絡(luò)。因此,挖掘軟件漏洞已經(jīng)是各國(guó)、各相關(guān)研究單位必須面對(duì)和重視的課題。
  目前,對(duì)于軟件漏洞挖掘的研究主要從源代碼和二進(jìn)制程序兩個(gè)層

2、次展開(kāi)。其中面向二進(jìn)制程序的漏洞挖掘,從其現(xiàn)實(shí)意義到實(shí)現(xiàn)難度都是源代碼層無(wú)法比擬的。針對(duì)二進(jìn)制程序的漏洞挖掘已經(jīng)成為當(dāng)前的研究熱點(diǎn)和焦點(diǎn),學(xué)術(shù)界和工業(yè)界相繼提出以模糊測(cè)試、污點(diǎn)分析、模型檢測(cè)、符號(hào)執(zhí)行等方法為代表的基礎(chǔ)理論和平臺(tái)實(shí)現(xiàn)。這些方法在特定情況下針對(duì)特定二進(jìn)制程序可以產(chǎn)生很好的檢測(cè)效果,但仍然存在一些很難突破的先天缺陷,比如:模糊測(cè)試的代碼覆蓋率問(wèn)題,模型檢測(cè)的狀態(tài)爆炸,以及符號(hào)執(zhí)行的路徑爆炸問(wèn)題。鑒于此,本文提出一種以模型檢測(cè)

3、為基礎(chǔ),融合動(dòng)靜結(jié)合、漏洞模式檢測(cè)的漏洞挖掘新方法。該方法弱化二進(jìn)制程序的平臺(tái)限制和層次要求,旨在實(shí)現(xiàn)一個(gè)跨平臺(tái)、多層次的漏洞挖掘系統(tǒng)。
  本文在對(duì)模型檢測(cè)平臺(tái)SPIN進(jìn)行研究的基礎(chǔ)上,提出一種面向二進(jìn)制程序的新型漏洞挖掘方法。該方法融合靜態(tài)分析與動(dòng)態(tài)執(zhí)行,用靜態(tài)分析結(jié)果去優(yōu)化模型檢測(cè)的模擬執(zhí)行。為了實(shí)現(xiàn)自動(dòng)化建模,該方法引入中間語(yǔ)言作為二進(jìn)制程序和Promela模型之間的橋梁。具體實(shí)現(xiàn)上,該方法采用IDApython進(jìn)行靜態(tài)分

4、析;利用程序切片、細(xì)粒度轉(zhuǎn)化與特征池相結(jié)合的方法實(shí)現(xiàn)中間語(yǔ)言到Promela模型的智能轉(zhuǎn)化;針對(duì)模型檢測(cè),該方法引入外部C代碼對(duì)SPIN進(jìn)行優(yōu)化和擴(kuò)展,從而使該設(shè)計(jì)方案得到最終實(shí)現(xiàn)。同時(shí),本文對(duì)所提出的漏洞挖掘方法進(jìn)行了系統(tǒng)實(shí)現(xiàn),開(kāi)發(fā)了基于模型檢測(cè)的漏洞挖掘系統(tǒng)。最后,使用該漏洞挖掘系統(tǒng),本文對(duì)Freefloat和libzip程序進(jìn)行了漏洞挖掘測(cè)試。測(cè)試結(jié)果表明,本文所實(shí)現(xiàn)的漏洞挖掘系統(tǒng)可以挖掘出已存在的軟件漏洞,且能得到精確的漏洞位置

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論