主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公English
2020-2021年专刊出版计划 微信服务介绍 最新一期:2020年第10期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
孙浩,李会朋,曾庆凯.基于信息流的整数漏洞插装和验证.软件学报,2013,24(12):2767-2781
基于信息流的整数漏洞插装和验证
Statically Detect and Run-Time Check Integer-Based Vulnerabilities with Information Flow
投稿时间:2012-08-31  修订日期:2012-12-03
DOI:10.3724/SP.J.1001.2013.04385
中文关键词:  整数漏洞  信息流  污点分析  插装
英文关键词:integer-based vulnerability  information flow  taint analysis  instrumentation
基金项目:国家自然科学基金(61170070,90818022,61021062);国家科技支撑计划(2012BAK26B01);国家高技术研究发展计划(863)(2011AA1A202)
作者单位E-mail
孙浩 计算机软件新技术国家重点实验室. 南京大学, 江苏 南京 210093
南京大学 计算机科学与技术系, 江苏 南京 210093 
 
李会朋 计算机软件新技术国家重点实验室. 南京大学, 江苏 南京 210093
南京大学 计算机科学与技术系, 江苏 南京 210093 
 
曾庆凯 计算机软件新技术国家重点实验室. 南京大学, 江苏 南京 210093
南京大学 计算机科学与技术系, 江苏 南京 210093 
zqk@nju.edu.cn 
摘要点击次数: 3063
全文下载次数: 3144
中文摘要:
      为降低整数漏洞插装验证的运行开销,提出基于信息流的整数漏洞插装方法.从限定分析对象范围的角度出发,将分析对象约减为污染信息流路径上的所有危险整数操作,以降低静态插装密度.在GCC平台上,实现了原型系统DRIVER(detect and run-time check integer-based vulnerabilities with information flow).实验结果表明,该方法具有精度高、开销低、定位精确等优点.
英文摘要:
      An approach to detecting integer-based vulnerabilities is proposed based on information-flow analysis in order to improve the run-time performance. In this approach, only the unsafe integer operations on tainted information flow paths, which can be controlled by users and involved in sensitive operations, need to be instrumented with run-time check code, so that both the density of static instrumentation and performance overhead are reduced. Based on this approach, a prototype system called DRIVER (detect and run-time check integer-based vulnerabilities with information flow) is implemented as an extension to the GCC compiler and tested on a number of real-world applications. The experimental results show that this approach is effective, scalable, light-weight and capable of locating the root cause.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会 京ICP备05046678号-4
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利