首页 | 本学科首页   官方微博 | 高级检索  
     

污点分析技术的原理和实践应用
引用本文:王蕾,李丰,李炼,冯晓兵.污点分析技术的原理和实践应用[J].软件学报,2017,28(4):860-882.
作者姓名:王蕾  李丰  李炼  冯晓兵
作者单位:中国科学院计算技术研究所 计算机系统结构国家重点实验室 北京 海淀 100190;中国科学院大学 北京 海淀 100190,中国科学院计算技术研究所 计算机系统结构国家重点实验室 北京 海淀 100190,中国科学院计算技术研究所 计算机系统结构国家重点实验室 北京 海淀 100190,中国科学院计算技术研究所 计算机系统结构国家重点实验室 北京 海淀 100190
基金项目:国家自然科学基金(61303053,61402303)
摘    要:信息流分析可以有效保证计算机系统中信息的保密性和完整性.污点分析,作为其实践被广泛用于软件系统的安全保障技术领域.本文对近些年来面向解决应用程序安全问题的污点分析技术进行综述.首先总结了污点分析的基本原理以及在应用中的通用技术,即使用动态和静态的方法解决污点传播;随后分析该技术在移动终端、互联网平台上的应用过程中遇到的问题和解决方案,包括解决Android应用隐私泄露与检测Web系统安全漏洞的污点分析技术;最后展望该技术的研究前景和发展趋势.

关 键 词:污点分析  信息流分析  软件安全  静态分析与动态分析  Android  Web
收稿时间:2016/6/18 0:00:00
修稿时间:2016/9/8 0:00:00

Principle and Practice of Taint Analysis
WANG Lei,LI Feng,LI Lian and FENG Xiao-Bing.Principle and Practice of Taint Analysis[J].Journal of Software,2017,28(4):860-882.
Authors:WANG Lei  LI Feng  LI Lian and FENG Xiao-Bing
Affiliation:State Key Laboratory of Computer Architecture, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China;University of Chinese Academy of Sciences, Beijing 100190, China,State Key Laboratory of Computer Architecture, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China,State Key Laboratory of Computer Architecture, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China and State Key Laboratory of Computer Architecture, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China
Abstract:Information flow analysis is a promising way to protect the confidentiality and integrity of information manipulated by computing systems. Taint analysis, as its practice, is widely used in the area of software security assurance. This survey summarizes the latest advances on taint analysis, specially the solutions applied in different platform applications. We firstly introduce the basic principle of taint analysis and the general technology of taint propagation implemented by dynamic and static analyses. Then, we analyze the proposals applied in different platform frameworks, including techniques protecting privacy leakage on Android and finding security vulnerabilities on Web. At last, we conclude and discuss further research points and future work.
Keywords:taint analysis  information flow analysis  software security  static and dynamic analyses  Android  Web
点击此处可从《软件学报》浏览原始摘要信息
点击此处可从《软件学报》下载全文
设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号