共查询到18条相似文献,搜索用时 171 毫秒
1.
基于源代码的静态分析技术是检测软件脆弱性的一种重要手段.针对不可信数据输入导致软件脆弱性的问题,提出一种基于污点分析的脆弱性检测方法.通过跟踪程序参数、环境变量等各种外部输入,标记输入的类型,在构造控制流图基础上,利用数据流分析中的相关信息,污点传播至各类脆弱性函数,从而解决缓冲区溢出、格式化字符串等问题.利用控制流、数据流分析的相关信息,提高了准确率,降低了漏报率.实验表明,该技术是一种有效的脆弱性分析方法. 相似文献
2.
缓冲区溢出漏洞是目前惟一最重要最常见的安全威胁.文中分析了防止缓冲区溢出攻击的运行时方法的不足.介绍了一种静态检测缓冲区溢出漏洞的方法及工具.给源代码添加注解,用注解辅助静态分析,用这种方法能够在软件交付使用前,检测出程序中潜在的安全漏洞. 相似文献
3.
4.
已有的检测缓冲区溢出漏洞的方法有静态的也有动态的.静态分析在软件运行前,析其源代码,找出可能存在的漏洞;动态方法在运行时对可能存在漏洞的软件行为进行监视,发现异常后,进行判断,然后做出适当处理.在分析了传统缓冲区溢出方法的基础上,依据缓冲区溢出攻击的发展趋势,针对非控制数据的缓冲区溢出攻击,提出了一种主要针对非控制数据缓冲区溢出攻击的测试方法,使用变量标识来测试是否发生了缓冲区溢出攻击.这种方法综合了静态和动态分析的优点,能够有效地防御缓冲区溢出攻击. 相似文献
5.
缓冲区溢出漏洞是一种危害严重且常见的软件安全漏洞。静态分析方法不需要执行源代码,便可以提取软件的静态信息,从而检测出软件中安全漏洞。针对静态检测工具Splint在检测缓冲区溢出攻击漏洞方面存在的不足,从检测的功能和可检测的"危险函数"类型两个方面进行了改进。最后使用改进后的Splint工具对几个常用的与网络应用相关的软件包进行检测,检测结果表明改进后的Splint检测工具能够大大地提高检测缓冲区溢出漏洞的效率。 相似文献
6.
静态检测缓冲区溢出漏洞 总被引:4,自引:0,他引:4
缓冲区溢出漏洞是目前惟一最重要最常见的安全威胁。文中分析了防止缓冲区溢出攻击的运行时方法的不足:介绍了一种静态检测缓冲区溢出漏洞的方法及工具。给源代码添加注解,用注解辅助静态分析,用这种方法能够在软件交付使用前,检测出程序中潜在的安全漏洞。 相似文献
7.
缓冲区溢出的建模分析 总被引:1,自引:0,他引:1
论文介绍了一种检测缓冲区溢出漏洞的建模方法。该方法的关键是对C语言的源代码做静态分析,把缓冲区溢出这个事件作为一个整数区域问题来看待,从而建立缓冲区溢出的数学模型。该模型的一个优点是在代码编译以前可以通过静态分析的方法来发现潜在的缓冲区溢出漏洞。 相似文献
8.
根据缓冲区溢出的基本原理,提出一种基于状态转换模型的二进制代码缓冲区溢出漏洞检测方法。该方法以可执行程序为分析目标,从而使漏洞检测过程摆脱对程序源代码的依赖。详细描述该漏洞检测方法的技术细节,并给出该方法与流行的缓冲区溢出漏洞检测方法的对比。 相似文献
9.
ZHANG Chuan-juan 《数字社区&智能家居》2008,(36)
基于缓冲区溢出的攻击是一种常见的安全攻击手段,也是目前惟一最重要最常见的安全威胁。在所有的软件安全漏洞中,缓冲区溢出漏洞大约占一半。该文从编程的角度分析了缓冲区溢出攻击,并提出在源代码阶段尽量避免缓冲区溢出的方法。 相似文献
10.
11.
基于有限状态自动机的漏洞检测模型 总被引:1,自引:0,他引:1
漏洞是软件安全的一个严重威胁,如何检测软件中存在的漏洞对提高其安全性具有重要的意义.经过分析缓冲区溢出漏洞产生的原因,得出了其形成的3个必要条件,并根据产生原因的不同,针对函数调用出错和循环拷贝出错而导致的两类缓冲区溢出漏洞,分别提出了相应的基于有限状态自动机的漏洞检测模型. 相似文献
12.
13.
14.
随着信息安全愈发严峻的趋势,软件漏洞已成为计算机安全的主要威胁之一.如何准确地挖掘程序中存在的漏洞,是信息安全领域的关键问题.然而,现有的静态漏洞挖掘方法在挖掘漏洞特征不明显的漏洞时准确率明显下降.一方面,基于规则的方法通过在目标源程序中匹配专家预先定义的漏洞模式挖掘漏洞,其预定义的漏洞模式较为刻板单一,无法覆盖到细节特征,导致其存在准确率低、误报率高等问题;另一方面,基于学习的方法无法充分地对程序源代码的特征信息进行建模,并且无法有效地捕捉关键特征信息,导致其在面对漏洞特征不明显的漏洞时,无法准确地进行挖掘.针对上述问题,提出了一种基于代码属性图及注意力双向LSTM的源码级漏洞挖掘方法.该方法首先将程序源代码转换为包含语义特征信息的代码属性图,并对其进行切片以剔除与敏感操作无关的冗余信息;其次,使用编码算法将代码属性图编码为特征张量;然后,利用大规模特征数据集训练基于双向LSTM和注意力机制的神经网络;最后,使用训练完毕的神经网络实现对目标程序中的漏洞进行挖掘.实验结果显示,在SARD缓冲区错误数据集、SARD资源管理错误数据集及它们两个C语言程序构成的子集上,该方法的F1分数分别达到了82.8%,77.4%,82.5%和78.0%,与基于规则的静态挖掘工具Flawfinder和RATS以及基于学习的程序分析模型TBCNN相比,有显著的提高. 相似文献
15.
软件安全的根源在于软件开发人员开发的源代码,但随着软件规模和复杂性不断提高,仅靠人工检测漏洞代价高昂且难以扩展,而现有的代码分析工具有较高的误报率与漏报率。为此,提出一种基于关系图卷积网络(RGCN)的自动化漏洞检测方法以进一步提高漏洞检测的精度。首先将程序源代码转换为包含语法、语义特征信息的CPG;然后使用RGCN对图结构进行表示学习;最后训练神经网络模型预测程序源代码中的漏洞。为验证所提方法的有效性,在真实的软件漏洞样本上开展了实验验证,结果表明所提方法的漏洞检测结果的召回率和F1值分别达到了80.27%和63.78%。与Flawfinder、VulDeepecker和基于图卷积网络(GCN)的同类方法相比,所提方法的F1值分别提高了182%、12%和55%,可见所提方法能有效提高漏洞检测能力。 相似文献
16.
17.
一种静态检测缓冲区溢出的方法 总被引:1,自引:0,他引:1
网络安全日益引起人们的重视,而利用缓冲区溢出进行攻击是黑客和病毒较为常用的手段。如果程序员能够采取足够的重视并且写出安全性较高的代码将大大降低被攻击的危险。该文介绍了一种针对C/C++源程序的静态分析方法,给程序编写者和修改者提供一定的漏洞提示。 相似文献