| 基于动静态程序分析的整形漏洞检测工具 |
| |
| 引用本文: | 陈平,韩浩,沈晓斌,殷新春,茅兵,谢立.基于动静态程序分析的整形漏洞检测工具[J].电子学报,2010,38(8):1741-1747. |
| |
| 作者姓名: | 陈平 韩浩 沈晓斌 殷新春 茅兵 谢立 |
| |
| 作者单位: | 1. 南京大学软件新技术国家重点实验室,南京大学计算机科学与技术系,江苏南京 210093;2. 扬州大学信息工程学院,江苏扬州 225009 |
| |
| 基金项目: | 国家自然科学基金,国家863高技术研究发展计划,国家973重点基础研究计划,江苏省自然科学基金 |
| |
| 摘 要: | 近几年,针对整形漏洞的攻击数目急剧上升.整形漏洞由于隐蔽性高,成为危害巨大的软件漏洞之一.本文提出了一种自动检测整形漏洞的防御工具,它结合了静态和动态程序分析技术.在静态分析阶段,该工具反编译二进制程序, 并创建可疑的指令集.在动态分析阶段,该工具动态地扫描可疑集中的指令,结合可触发漏洞的输入,判断指令是否是整形漏洞.我们的工具有两个优点:首先,它提供了精确并且充足的类型信息.其次,通过基于反编译器的静态分析,工具减少了动态运行时需要检测的指令数目.实验结果表明,我们的工具可以有效地检测到实际程序中的整形漏洞,并且在我们检测的软件中,没有发现漏报,误报率也很低.
|
| 关 键 词: | 计算机安全 软件安全 软件漏洞 整形漏洞 |
| 收稿时间: | 2009-08-21 |
Detecting Integer Bugs Based on Static and Dynamic Program Analysis |
| |
| CHEN Ping,HAN Hao,SHEN Xiao-bing,YIN Xin-chun,MAO Bing,XIE Li.Detecting Integer Bugs Based on Static and Dynamic Program Analysis[J].Acta Electronica Sinica,2010,38(8):1741-1747. |
| |
| Authors: | CHEN Ping HAN Hao SHEN Xiao-bing YIN Xin-chun MAO Bing XIE Li |
| |
| Affiliation: | 1. State Key Laboratory for Novel Software Technology,Department of Computer Science and Technology,Nanjing University, Nanjing,Jiangsu 210093,China;2. College of Information Engineering,Yangzhou University,Yangzhou,Jiangsu 225009,China |
| |
| Abstract: | In recent years,Integer bugs have been rising sharply and become a potential threat as it is often hidden behind other bugs.In this paper,we propose a tool which can automatically detect Integer bugs.We implement the tool based on static and dynamic program analysis.In the static phase,the tool decompiles a binary and creates the suspect instruction set.In the dynamic phase,it monitors the instructions in the suspect set and generates the test cases to further detect which instructions are real Integer bugs... |
| |
| Keywords: | computer security software security software vulnerability integer bugs |
| 本文献已被 CNKI 万方数据 等数据库收录! |
| 点击此处可从《电子学报》浏览原始摘要信息 |
|
点击此处可从《电子学报》下载全文 |
|
