基于动态信息协同的源代码漏洞自动化分析技术研究

基本信息

批准号：61272493

项目类别：面上项目

资助金额：82.00

负责人：吴世忠

学科分类：

依托单位：中国信息安全测评中心

批准年份：2012

结题年份：2016

起止时间：2013-01-01 - 2016-12-31

项目状态：已结题

项目参与者：李守鹏,郭涛,张普含,崔宝江,董国伟,王嘉捷,时志伟,章磊,崔化良

关键词：

漏洞分析协同动态信息源代码自动化

结项摘要

Vulnerability analysis of source code is an important method for software security assurance. Existing researches only focus on static analysis and manual verification, but the requirements of automation and efficiency's improvement are imminent. To guarantee the efficiency of analysis, we should integrally consider the program informations from static analysis and the execution informations from dynamic analysis, and then discuss more about source code vulnerability analysis. In this issue, we will discuss the technologies of security defect filtering, complicated dynamic program structure analysis and collaboration of defect mode and vulnerability mode for C++ source code. For the filtering of security defect, we will provide the automatic excluding method for false defects based on the harm model; For the analysis of complicated dynamic program structures, we will detect the vulnerabilities with hybrid methods of static analysis and dynamic analysis, and summarize defect modes for improving the static analysis of these structures; For the collaboration of defect mode and vulnerability mode, we will construct vulnerability modes and analyze the relevance between defect modes and vulnerability modes to discover the nature of vulnerabilities and improve the efficiency. All of these will provide most effective support for the securtiy vulnerability analysis.

源代码漏洞分析是保障软件安全性的一项重要手段。即有的源代码分析技术研究主要局限在静态分析和人工确认上，而漏洞分析的自动化和效率的提高已经成为迫在眉睫的要求，为了保证分析的有效性，需要综合考虑静态分析得到的程序信息和动态分析得到的运行信息，并在此基础上展开更加深入的讨论。为了更加具有针对性，本课题拟以C++程序为对象，在安全缺陷过滤技术、复杂动态结构分析、缺陷漏洞模式协同等方面展开深入研究。在安全缺陷过滤方面，结合危害模型的构造，研究存在误报的缺陷的排除技术，以提高分析的准确性；在复杂动态结构分析方面，针对复杂循环和多态等结构，使用动静结合的方法分析其中的漏洞，并总结缺陷模式指导相应结构的静态分析；缺陷漏洞模式协同方面，研究安全漏洞模式的构造，以及缺陷模式和漏洞模式的关联关系，以发现漏洞分析的本质和机理，提高源代码级漏洞分析的效率。这些研究的开展将能够为源代码的安全漏洞分析提供有力支持。

项目摘要

为提高漏洞分析的自动化和准确率，需要综合考虑程序静态信息和动态分析得到的运行信息，并在此基础上展开更加深入的讨论。项目组从源代码静态缺陷模式分析技术、面向复杂动态程序结构的测试用例生成技术、基于动态信息的程序结构分析技术、面向复杂动态程序结构的缺陷模式分析技术、缺陷模式和漏洞模式关联分析技术等方面开展了研究。在源代码静态缺陷模式分析技术方面，提出了基于 Token 比对的安全缺陷分析方法、基于抽象语法树的代码重用检测方法等；在面向复杂动态程序结构的测试用例生成技术方面，提出了基于控制依赖的测试用例生成方法、基于蜕变关系和遗传算法的自动化软件测试方法等；在基于动态信息的程序结构分析技术方面，提出了基于动态数据流分析的解密内容数据检测方法、基于污点分析的灰盒文件格式自动逆向解析方法等；在面向复杂动态程序结构的缺陷模式分析技术方面，提出了离线污点分析框架、基于污点传播的程序崩溃分析方法等；在缺陷模式和漏洞模式关联分析技术方面，提出了移动应用软件密码误用漏洞分析方法、android应用程序口令保护分析方法等。在提出一系列方法同时，研发了C++源代码安全检测系统。. 在该项目的支持下，出版专著《软件漏洞分析技术》1部，出版译著2部，包括《安全模式最佳实践》和《移动应用安全揭秘及防护措施》，发表（录用）论文29篇，申请国家计算机软件著作权2项，申请国家发明专利5项，研发专用工具原型系统1套，达到课题指标要求。

项目成果

DOI：{{i.doi}}

发表时间：{{i.publish_year}}

暂无此项成果

数据更新时间：2023-05-31

其他相关文献

DOI：

发表时间：

DOI：10.17521/cjpe.2019.0351

发表时间：2020

DOI：10.19713/j.cnki.43-1423/u.t20201185

发表时间：2021

DOI：

发表时间：2018

DOI：10.16383/j.aas.2016.c150880

发表时间：2016

吴世忠的其他基金

批准号：90818021

批准年份：2008

资助金额：260.00

项目类别：重大研究计划

批准号：90104033

批准年份：2001

资助金额：20.00

项目类别：重大研究计划

相似国自然基金

面向动态语言安全性的源代码静态分析技术研究

批准号：61100047

批准年份：2011

负责人：董国伟

学科分类：F0203

资助金额：23.00

项目类别：青年科学基金项目

基于海量代码相似性分析的漏洞信息关联研究

批准号：61602470

批准年份：2016

负责人：袁子牧

学科分类：F0205

资助金额：20.00

项目类别：青年科学基金项目

基于门级信息流分析的集成电路设计安全漏洞检测技术研究

批准号：61672433

批准年份：2016

负责人：慕德俊

学科分类：F0205

资助金额：63.00

项目类别：面上项目

基于漏洞数据集的漏洞特征库分析与预测方法研究

批准号：U1836211

批准年份：2018

负责人：陈恺

学科分类：F0205

资助金额：253.00

项目类别：联合基金项目

基于动态信息协同的源代码漏洞自动化分析技术研究

{{i.achievement_title}}

暂无此项成果

其他相关文献

玉米叶向值的全基因组关联分析

涡度相关技术及其在陆地生态系统通量研究中的应用

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

硬件木马:关键问题研究进展及新动向

基于SSVEP 直接脑控机器人方向和速度研究

吴世忠的其他基金

基于网络环境的软件可信性建模与度量研究

电子商务安全支付协议的研究

相似国自然基金