軟件脆弱性模型檢查與測試技術(shù)研究.pdf

1、網(wǎng)絡信息時代，Internet已深入到人們工作、生活的方方面面，其安全問題引起了社會和學術(shù)界的廣泛關(guān)注。信息安全的核心問題之一就是存在于計算機系統(tǒng)中的軟件脆弱性，惡意的攻擊者可以利用安全脆弱性來提升權(quán)限，訪問未授權(quán)系統(tǒng)資源，甚至修改敏感數(shù)據(jù)。為保護系統(tǒng)和數(shù)據(jù)，如何盡可能地檢測出潛在的軟件脆弱性已成為當今信息安全領域重要研究方向。
　　 本文的主要研究的問題是如何發(fā)現(xiàn)計算機軟件中存在的安全脆弱性，側(cè)重于研究二進制文件的模型檢查與測

2、試技術(shù)，對現(xiàn)有脆弱性分析方法提出改進意見。
　　 本文對目前軟件中存在的各種安全脆弱性做出簡介，并對脆弱性原理和如何進行分析做出描述。文章著重描述了目前已有的各種脆弱性分析方法和和相關(guān)分析工具，并對其進行分析對比。目前已有的技術(shù)基本上集中在靜態(tài)分析和動態(tài)分析方面，在這兩方面的探討有大量的論文和實際的模型可以參考。
　　 在靜態(tài)分析方法方面本文為了使分析結(jié)果更加接近真實，直接分析機器指令，建立相應的形式化模型，研究相應的模

3、型檢查方法，實驗表明這是模型檢查方法在二進制文件分析方向的有益嘗試。
　　 本文提出了一種靜態(tài)和動態(tài)結(jié)合的分析方法，擴展了隨機Fuzzing測試方法。該方法利用靜態(tài)分析技術(shù)收集程序的結(jié)構(gòu)、接口信息及感興趣的代碼區(qū)域，形成使感興趣的代碼區(qū)域被執(zhí)行的測試需求；再結(jié)合此需求，利用遺傳算法智能地指導測試數(shù)據(jù)生成，克服隨機FuZzing方法測試數(shù)據(jù)集大、沒有針對性的缺點。同時該方法直接對可執(zhí)行文件進行分析，不需要程序源代碼。