面向软件安全缺陷的静态代码分析及防御
文献类型:学位论文
| 作者 | 罗宇翔 |
| 学位类别 | 博士 |
| 答辩日期 | 2007-05-29 |
| 授予单位 | 中国科学院软件研究所 |
| 授予地点 | 软件研究所 |
| 关键词 | 缺陷检查 静态代码分析 缺陷定义语言 安全防御 地址空间随机化 |
| 其他题名 | Static Code Analysis and Defense Oriented to Software Security Bug |
| 中文摘要 | 随着软件规模的日益增大,软件变得越来越复杂。各种软件安全缺陷引起了严重的安全问题,甚至造成资源的重大损失。为了降低这种风险和损失,软件开发人员在实施软件工程的过程中采取了各种手段。静态代码分析技术作为其中一种重要的手段,已经被广泛地用于查找各种软件安全缺陷。但现有的静态代码分析工具,尤其是开源工具,在分析的规模和准确性上还存在较大的问题。本文设计和实现的静态代码分析系统(ABAZER)在增大分析规模和提高准确性上都采取了有效的方法。 本文对ABAZER系统的设计和实现进行了详细的描述。 ABAZER提供了一种缺陷定义语言(BDL),使得用户能够自定义时序逻辑类型的安全缺陷。为了使缺陷定义更为准确,BDL语言还支持一定程度的值分析。ABAZER采用控制流分析等程序分析技术,并且引入等值和别名分析以提高准确性,还通过源代码优化和设置多种不同级别的缓存,以提高检测速度和分析规模。本文将ABAZER系统实际应用于大型操作系统的源代码,实验结果表明,ABAZER具有较高的实用性和有效性。 缓冲区溢出是一种最为常见的软件安全缺陷类型,本文研究了针对缓冲区溢出的一种防御机制——地址空间随机化。本文描述了地址空间随机化在FreeBSD6.0中的设计和实现,并对其防护效果进行了理论评估和实际测试。 |
| 语种 | 中文 |
| 公开日期 | 2011-03-17 |
| 页码 | 62 |
| 源URL | [http://ir.iscas.ac.cn/handle/311060/5670]  |
| 专题 | 软件研究所_中科院软件所_中科院软件所 |
| 推荐引用方式 GB/T 7714 | 罗宇翔. 面向软件安全缺陷的静态代码分析及防御[D]. 软件研究所. 中国科学院软件研究所. 2007. |
入库方式: OAI收割
来源:软件研究所
浏览0
下载0
收藏0
其他版本
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。