一种虚拟化环境的脆弱性检测方法
文献类型:期刊论文
| 作者 | 王瑞 ; 连一峰 ; 陈恺 |
| 刊名 | 计算机应用与软件
 |
| 出版日期 | 2012 |
| 卷号 | 29期号:9页码:14-17,53 |
| 关键词 | 虚拟化环境 符号链接 污点传播分析 |
| ISSN号 | 1000-386X |
| 其他题名 | a vulnerability detection method in virtual environment |
| 中文摘要 | 基于源代码的静态分析技术是检测软件脆弱性的重要手段之一。针对Linux平台下由不安全方式创建临时文件问题引起的符号链接脆弱性,提出一种基于污点传播分析的脆弱性检测方法。通过查找打开或创建文件等导致脆弱性的特征函数从源代码中识别漏洞触发变量,采用后向污点传播分析方法分析变量传递路径,判断其是否来源于污点源,从而检测出可能存在符号链接脆弱性。利用该方法对XEN 3.03版本的源代码进行检测,成功发现了2个漏洞,其中包括1个未知漏洞。实验表明,该方法是一种有效的脆弱性检测方法。 |
| 英文摘要 | Source code-based static analysis technology is one of an important means to detect software vulnerabilities.To cope with the problem of unsafe creation of temporary file on Linux platform leading to vulnerabilities in symbol link,a vulnerability detection method based on tainting analysis is proposed.The method recognises the trigger variable of bugs from source code by checking characteristic function of the file open or creation which lead to vulnerabilities,and uses backward tainting analysis method to analyse the variable transition path,and judge whether it comes from the taint data source,so as to find the symbol link vulnerability possibly existing.With this method 2 vulnerabilities have been found in the source code of XEN 3.03,including an unknown vulnerability.The results of experiment show that the method is an effective vulnerability analysis method. |
| 学科主题 | Computer Science (provided by Thomson Reuters) |
| 收录类别 | CNKI ; CSCD ; WANFANG |
| 资助信息 | 国家自然科学基金项目(61100226)|国家高技术研究发展计划项目(2011AA01A203)|北京市自然科学基金项目(4122085)|公安部三所开放基金课题(C10606) |
| 语种 | 中文 |
| CSCD记录号 | CSCD:4641507 |
| 公开日期 | 2013-09-17 |
| 源URL | [http://ir.iscas.ac.cn/handle/311060/14966]  |
| 专题 | 软件研究所_软件所图书馆_期刊论文 |
| 推荐引用方式 GB/T 7714 | 王瑞,连一峰,陈恺. 一种虚拟化环境的脆弱性检测方法[J]. 计算机应用与软件,2012,29(9):14-17,53. |
| APA | 王瑞,连一峰,&陈恺.(2012).一种虚拟化环境的脆弱性检测方法.计算机应用与软件,29(9),14-17,53. |
| MLA | 王瑞,et al."一种虚拟化环境的脆弱性检测方法".计算机应用与软件 29.9(2012):14-17,53. |
入库方式: OAI收割
来源:软件研究所
浏览0
下载0
收藏0
其他版本
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。