軟件脆弱性模型檢查與測(cè)試技術(shù)研究.pdf

1、網(wǎng)絡(luò)信息時(shí)代，Internet已深入到人們工作、生活的方方面面，其安全問(wèn)題引起了社會(huì)和學(xué)術(shù)界的廣泛關(guān)注。信息安全的核心問(wèn)題之一就是存在于計(jì)算機(jī)系統(tǒng)中的軟件脆弱性，惡意的攻擊者可以利用安全脆弱性來(lái)提升權(quán)限，訪問(wèn)未授權(quán)系統(tǒng)資源，甚至修改敏感數(shù)據(jù)。為保護(hù)系統(tǒng)和數(shù)據(jù)，如何盡可能地檢測(cè)出潛在的軟件脆弱性已成為當(dāng)今信息安全領(lǐng)域重要研究方向。
　　 本文的主要研究的問(wèn)題是如何發(fā)現(xiàn)計(jì)算機(jī)軟件中存在的安全脆弱性，側(cè)重于研究二進(jìn)制文件的模型檢查與測(cè)

2、試技術(shù)，對(duì)現(xiàn)有脆弱性分析方法提出改進(jìn)意見(jiàn)。
　　 本文對(duì)目前軟件中存在的各種安全脆弱性做出簡(jiǎn)介，并對(duì)脆弱性原理和如何進(jìn)行分析做出描述。文章著重描述了目前已有的各種脆弱性分析方法和和相關(guān)分析工具，并對(duì)其進(jìn)行分析對(duì)比。目前已有的技術(shù)基本上集中在靜態(tài)分析和動(dòng)態(tài)分析方面，在這兩方面的探討有大量的論文和實(shí)際的模型可以參考。
　　 在靜態(tài)分析方法方面本文為了使分析結(jié)果更加接近真實(shí)，直接分析機(jī)器指令，建立相應(yīng)的形式化模型，研究相應(yīng)的模

3、型檢查方法，實(shí)驗(yàn)表明這是模型檢查方法在二進(jìn)制文件分析方向的有益嘗試。
　　 本文提出了一種靜態(tài)和動(dòng)態(tài)結(jié)合的分析方法，擴(kuò)展了隨機(jī)Fuzzing測(cè)試方法。該方法利用靜態(tài)分析技術(shù)收集程序的結(jié)構(gòu)、接口信息及感興趣的代碼區(qū)域，形成使感興趣的代碼區(qū)域被執(zhí)行的測(cè)試需求；再結(jié)合此需求，利用遺傳算法智能地指導(dǎo)測(cè)試數(shù)據(jù)生成，克服隨機(jī)FuZzing方法測(cè)試數(shù)據(jù)集大、沒(méi)有針對(duì)性的缺點(diǎn)。同時(shí)該方法直接對(duì)可執(zhí)行文件進(jìn)行分析，不需要程序源代碼。