一种基于安全状态跟踪检查的漏洞静态检测方法
现有的采用基于源代码分析的漏洞静态检测方法中存在的主要问题是误报率和漏报率较高.主要原因之一是缺乏对数据合法性检查与非可信数据源等程序安全相关元素的精确有效的识别分析.文中提出了一种基于数据安全状态跟踪和检查的安全漏洞静态检测方法.该方法对漏洞状态机模型的状态空间进行了扩展,使用对应多个安全相关属性的向量标识变量安全状态,细化了状态转换的粒度以提供更为精确的程序安全行为识别;在漏洞状态机中引入了对合法性检查的识别,有效降低了误报的发生;建立了系统化的非可信数据鉴别方法,可防止由于 遗漏非可信数据源而产生的漏报.基于此方法的原型系统的检测实验表明:文中方法能够有效检测出软件系统中存在的缓冲区溢出等安全漏洞,误报率明显降低,并能避免现有主流静态检测方法中存在的一些严重漏报.
漏洞检测、静态分析、状态机、漏报、误报
32
TP309(计算技术、计算机技术)
国家自然科学基金60703102,60873213;北京市自然科学基金4082018;国家"八六三"高技术研究发展计划项目基金2007AA01ZA14
2009-06-16(万方平台首次上网日期,不代表论文的发表时间)
共11页
899-909
