基于软件动静态分析的漏洞检测研究:以Internet Socket安全漏洞为例

来源 :华东师范大学 | 被引量 : 0次 | 上传用户:guanxing1
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
Android操作系统在过去十年内获得了巨大的成功,数以百万计的Android应用程序为人们提供了各种各样的服务,极大的方便了人们的生活。但是,Android应用程序数量的快速增加,导致了Android应用程序质量良莠不齐,安全漏洞事故频发,严重威胁用户的信息安全。为此,工业界和学术界将目光聚集到了Android应用程序的安全漏洞检测,但实现Android应用程序的安全漏洞检测有诸多难点。一方面,工业界所面临的Android应用程序安全漏洞检测对象往往是大规模的Android应用程序集,以国内领先的安全服务提供商犇众信息为例,安全服务提供商需要在一次安全漏洞检测中完成对超过1100万个Android应用程序的检测,这需要安全漏洞检测系统能够保持较高的检测效率。另一方面,商业化Android应用程序具有较高的复杂性,在现有的程序分析技术中,静态分析技术通过探寻程序所有可能的执行路径,检查其是否符合特定的安全规范来完成安全分析,在对复杂性高的商业化Android应用程序进行安全分析时,会极大的拉长单个Android应用程序的分析时间。最后,现有的静态分析技术一个重要的技术难点Java反射调用尚未解决,Java反射调用的缺失会导致一定程度上的安全漏洞漏报。针对以上难点,本文以Internet Socket安全漏洞为研究目标,设计并实现了对应的安全漏洞检测系统ISVFinder。ISVFinder采用了安全漏洞特征技术过滤与目标安全漏洞不相关的Android应用程序,结合了静态分析技术和动态分析技术探索Android应用程序的内部行为,配合有限的人工审查,可以有效的应对大规模Android应用程序的安全漏洞检测和商业化Android应用程序的复杂性。本文提出了一种处理Java反射调用的算法,实验结果表明ISVFinder在配置了这种算法后可以有效的捕捉到包含Java反射调用的Internet Socket安全漏洞危险执行路径。我们利用ISVFinder找到了24个具有Internet Socket安全漏洞的Android应用程序和3个安全漏洞家族,其中每个安全漏洞家族的Android应用程序下载总量超过了5000万次。我们对3个典型的Internet Socket安全漏洞作了深入的案例分析,并根据本文的研究成果总结了3点经验教训和2条防御方法。
其他文献
从金融危机背景下消费者的消费行为和包装营销模式等方面的调查分析入手,运用文献资料法并结合实例对金融危机背景下的产品包装的策略提出自己的观点和建议,为企业更好地应对产
过氧化氢,化学式为H2O2,其水溶液俗称双氧水,外观为无色透明液体,是一种强氧化剂,适用于伤口消毒及环境、食品消毒,用途非常广泛。本文主要介绍了目前过氧化氢(双氧水)的性质,
某物业管理公司是家成立于1994年的小型集体所有制企业,注册资本为10万元,负责市内五个小区的物业管理工作,并代收所有发生在小区的水电费用.尽管公司已成立了近十年,但公司
目的探讨不同生理浓度葡萄糖对聚氯乙烯材料(PVC)表面表皮葡萄球菌(SEP)ica操纵子表型的影响,为防治临床以生物材料为中心的感染(BCI)提供有益思路。方法分别对ica操纵子阴性
用经验正交函数(experiential orthogonal functions,EOF)表示声速剖面受限于样本声速的测量深度,应用该方法重构声速剖面只能计算到样本中最浅剖面的深度。要想进行全海深声速
对近年来中医药抗非酒精性脂肪性肝炎(NASH)炎性因子的研究作了系统的回顾,从研究意义、发病机制、单味药、中药复方、中成药治疗等方面论述了近年来的研究进展,阐明了中医药抗
为了能有效地从高分辨率遥感影像中提取地物信息,本文通过影像的光谱和纹理特征,利用BP神经网络算法进行影像分类研究。首先提取分类所需的光谱和纹理特征源,然后根据影像和
新闻杂志人物报道运用视觉叙事结构的背景进入21世纪以来,随着景观社会和社会场域构建的日趋成熟,新闻业的竞争也进入以符号为实质的感官媒体竞争时代。
随着经济的不断发展,城市化发展步伐的加快,钢筋混凝土结构在现代化城市建筑工程中的地位也越来越重要。本文主要针对影响混凝土耐久性的相关因素及预防措施进分析研究,针对混凝
本文分连续时间和离散时间两种情况对古典的破产模型做了改进和推广,并给出了统一的破产概率的表达式.