免费论文：基于程序分析与模型检测的缓冲区漏洞检测工具研究与实现

为保证系统和信息的安全，避免遭受恶意入侵，最重要的方法是对相关的程序进行严格的安全性验证，特别是C语言程序中经常存在影响系统安全性的严重漏洞，利用工具有效地检测并消除出这些漏洞，可以大大提高系统的安全性。在代码安全漏洞静态检查方法中，传统工具多采用模式匹配、类型验证等算法，检查结果的误报率较高。本文提出了基于程序分析与模型检测相结合的缓冲区溢出漏洞检查方法。模型检测是一种静态检测方法，在提高检测精度方面有较大的优势，但将其应用于缓冲区溢出漏洞的检测时，不能自动提取漏洞模型，因而无法直接用于这类漏洞的检测。为解决此问题，本文首先将基于约束的分析跟模型检测结合起来，用以跟踪程序缓冲区信息，在涉及缓冲区操作的程序点插入相应的缓冲区属性初始化、属性传递和属性断言信息，建立起关于缓冲区属性的约束系统，将安全漏洞模型转化为模型检测技术可接受的可达性模型，最后用模型检测算法完成系统安全性的检测。本文还实现了基于GCC抽象语法树的过程内别名分析算法，以提高前端约束分析的精确度。CodeAuditor是我们基于这种方法实现的原型系统，最后将CodeAuditor应用于几个开源软件的检测，并发现了一些新的漏洞，说明使用该方法可以较精确地检测并定位出代码中的缓冲区溢出漏洞。

来源：半壳优胜鲸鱼幸运星转载请保留出处和链接！

本文链接：http://87cpy.com/265422.html