軟件漏洞測試若干問題研究.pdf

1、軟件安全漏洞是威脅網(wǎng)絡與信息系統(tǒng)安全的關鍵因素之一。惡意的攻擊者可以利用安全漏洞訪問未授權資源，破壞敏感數(shù)據(jù)，進而威脅信息系統(tǒng)的安全。如果能在軟件發(fā)布之前發(fā)現(xiàn)安全漏洞，或者在軟件運行時檢測到漏洞并阻止漏洞被利用，則可大大提高軟件的安全性。
　　 軟件漏洞測試技術旨在預先發(fā)現(xiàn)軟件潛在的安全漏洞，是保證信息安全的重要技術，近20年來一直受到學術界和工業(yè)界的高度關注。實踐證明，軟件測試是挖掘軟件漏洞的有效方法。
　　 本文從軟

2、件測試的角度出發(fā)，在充分調研了現(xiàn)有的軟件測試技術的基礎上，對軟件測試尤其是漏洞測試的若干關鍵問題進行了深入分析，提出了相應的解決方案并用實例驗證了方案的有效性。
　　 論文的主要工作和創(chuàng)新之處如下：
　　 (1)提出了用包裹函數(shù)實現(xiàn)軟件故障注入測試的方法。論文從分析基于EAI模型的軟件故障注入測試的具體實現(xiàn)所面臨的關鍵技術入手，針對如何高效靈活地在被測進程中注入軟件故障的問題，提出了用包裹函數(shù)替換安全相關函數(shù)以實現(xiàn)故障注

3、入和安全檢測的方法，通過實驗證明了該方法的可行性。
　　 (2)提出了基于廣義EAI模型的軟件測試方法。論文提出了把漏洞測試經(jīng)驗總結為知識庫，利用先驗知識構造測試用例的思想，可以在一定程度上避免軟件漏洞測試的盲目性，從而提高測試用例的揭錯能力；針對很難控制和監(jiān)測被測進程的狀態(tài)問題，論文提出了基于“虛擬執(zhí)行機”的動態(tài)測試方法，可以解決被測試進程的狀態(tài)可觀測和可控制問題。論文用Xen實現(xiàn)基于廣義EAI模型的軟件測試，證實了該模型的有

4、效性。
　　 (3)提出了基于屬性相關分析的測試集縮減方法。針對測試用例集合中存在大量冗余測試用例的問題，論文從分析測試需求中各個屬性的相互關系入手，提出了基于屬性相關性分析的測試用例集合縮減方法。實驗結果表明，論文提出的方法可以大幅度地縮減測試用例集合。
　　 (4)提出了利用進程完整性實現(xiàn)漏洞檢測的方法。論文從脆弱性類別的安全關系出發(fā)，定義了一種進程完整性度量，在此基礎上提出了基于函數(shù)調用的脆弱性測試方法，利用源碼轉