论文降重
免费查重- 钛学术文献服务平台 \
- 学术期刊 \
- 工业技术期刊 \
- 无线电电子学与电信技术期刊 \
- 信息安全学报期刊 \
基于目标制导符号执行的静态缓冲区溢出警报自动确认技术
基于目标制导符号执行的静态缓冲区溢出警报自动确认技术
基本信息来源于合作网站,原文需代理用户跳转至来源网站获取
摘要:
缓冲区溢出漏洞是一类严重的安全性缺陷。目前存在动态测试和静态分析技术来检测缓冲区溢出缺陷:动态测试技术的有效性取决于测试用例的设计,而且往往会引入执行开销;静态分析技术及自动化工具已经被广泛运用于缓冲区溢出缺陷检测中,然而静态分析由于采取了保守的策略,其结果往往包含数量巨大的误报,需要通过进一步人工确认来甄别误报,但人工确认静态分析的结果耗时且容易出错,严重限制了静态分析技术的实用性。符号执行技术使用符号代替实际输入,能系统地探索程序的状态空间并生成高覆盖度的测试用例。本文提出一种基于目标制导符号执行的静态缓冲区溢出警报确认方法,使用静态分析工具的输出结果作为目标,制导符号执行确认警报。我们的方法分为3步:首先在过程间控制流图中检测静态分析警报路径片段的可达性,并将可达的警报路径片段集合映射为用于确认的完整确认路径集合;其次在符号执行中通过修剪与溢出缺陷疑似语句无关的路径,指导符号执行沿特定确认路径执行;最后在溢出缺陷疑似语句收集路径约束并加入溢出条件,通过约束求解的结果,对静态分析的警报进行分类。基于上述方法我们实现了原型工具 BOVTool,实验结果表明在实际开源程序上BOVTool能够代替人工减少检查59.9%的缓冲区溢出误报。
推荐文章
基于符号执行的缓冲区溢出漏洞自动化利用
缓冲区溢出
符号执行
程序切片
自动化利用
基于可执行文件的缓冲区溢出检测模型
缓冲区溢出
可执行文件
静态检测
动态检测
人工分析
静态检测缓冲区溢出漏洞
缓冲区溢出
安全漏洞
静态分析
静态检测
注解
Splint
基于可执行代码的缓冲区溢出检测模型
可执行代码
缓冲区溢出
缓冲区溢出检测
约束求解
内容分析
关键词云
关键词热度
相关文献总数
(/次)
(/年)
引文网络
引文网络
二级参考文献 (11)
共引文献 (73)
参考文献 (2)
节点文献
引证文献 (4)
同被引文献 (0)
二级引证文献 (0)
1984(1)
- 参考文献(0)
- 二级参考文献(1)
1995(1)
- 参考文献(0)
- 二级参考文献(1)
1997(1)
- 参考文献(0)
- 二级参考文献(1)
1998(1)
- 参考文献(0)
- 二级参考文献(1)
2000(1)
- 参考文献(0)
- 二级参考文献(1)
2002(2)
- 参考文献(1)
- 二级参考文献(1)
2006(2)
- 参考文献(0)
- 二级参考文献(2)
2008(3)
- 参考文献(0)
- 二级参考文献(3)
2009(1)
- 参考文献(1)
- 二级参考文献(0)
2016(2)
- 参考文献(0)
- 二级参考文献(0)
- 引证文献(2)
- 二级引证文献(0)
2016(2)
- 引证文献(2)
- 二级引证文献(0)
2017(2)
- 引证文献(2)
- 二级引证文献(0)
研究主题发展历程
节点文献
符号执行
缓冲区溢出
警报确认
目标制导
研究起点
研究来源
研究分支
研究去脉
引文网络交叉学科
相关学者/机构
期刊影响力
信息安全学报
主办单位:
中国科学院信息工程研究所
中国科技出版传媒股份有限公司
出版周期:
双月刊
ISSN:
2096-1146
CN:
10-1380/TN
开本:
大16开
出版地:
北京市海淀区闵庄路甲89号
邮发代号:
创刊时间:
2016
语种:
chi
出版文献量(篇)
252
总下载数(次)
7
总被引数(次)
629
期刊文献
相关文献
推荐文献
