主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第12期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
沈维军,汤恩义,陈振宇,陈鑫,李彬,翟娟.数值稳定性相关漏洞隐患的自动化检测方法.软件学报,2018,29(5):1230-1243
数值稳定性相关漏洞隐患的自动化检测方法
Method for Automated Detection of Suspicious Vulnerability Related to Numerical Stability
投稿时间:2017-07-01  修订日期:2017-08-29
DOI:10.13328/j.cnki.jos.005503
中文关键词:  漏洞检测  数值稳定性  程序分析  软件安全
英文关键词:vulnerability detection  numerical stability  program analysis  software security
基金项目:国家自然科学基金(61772260,61402222,61373013);国家重点基础研究发展计划(973)(2014CB340700);江苏省产学研前瞻项目(BY2015069-03)
作者单位E-mail
沈维军 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 软件学院, 江苏 南京 210093 
 
汤恩义 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 软件学院, 江苏 南京 210093 
eytang@nju.edu.cn 
陈振宇 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 软件学院, 江苏 南京 210093 
 
陈鑫 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 计算机科学与技术系, 江苏 南京 210023 
 
李彬 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 计算机科学与技术系, 江苏 南京 210023 
 
翟娟 计算机软件新技术国家重点实验室(南京大学), 江苏 南京 210023
南京大学 软件学院, 江苏 南京 210093 
 
摘要点击次数: 685
全文下载次数: 661
中文摘要:
      安全漏洞检测,是保障软件安全性的重要手段.随着互联网的发展,黑客的攻击手段日趋多样化,且攻击技术不断翻新,使软件安全受到了新的威胁.描述了当前软件中实际存在的一种新类型的安全漏洞隐患,称为数值稳定性相关的安全漏洞隐患.由于黑客可以利用该类漏洞绕过现有的防护措施,且已有的数值稳定性分析方法很难检测到该类漏洞的存在,因而这一新类型的漏洞隐患十分危险.面对这一挑战,首先从数值稳定性引起软件行为改变的角度定义了数值稳定性相关的安全漏洞隐患,并给出了对应的自动化检测方法.该方法基于动静态相结合的程序分析与符号执行技术,通过数值变量符号式提取、静态攻击流程分析以及高精度动态攻击验证这3个步骤来检测和分析软件中可能存在的数值稳定性相关安全漏洞.在业界多个著名开源软件上进行了实例研究,实验结果表明:该方法能够有效检测到实际软件中真实存在的数值稳定性相关漏洞隐患.
英文摘要:
      Vulnerability detection is an important way of improving the security of software.However,the development of the Internet makes it possible for hackers to attack software systems with new techniques.This paper focuses on a new kind of vulnerability that relates to numerical stability.It poses new threat to software security as hackers are able to bypass security protection by the new kind of vulnerability,and numerical analysis is difficult to detect such a vulnerability.In the paper,the vulnerability related to numerical stability is defined from the perspective of software behavior variation caused by numerical errors,and an automatic detection approach is proposed.The approach combines the static analysis and symbolic execution,and detects the vulnerability by three steps:symbolic extraction,static attack analysis,and dynamic attack verification with high precision values.This new approach is evaluated on a few famous open source projects.The results show that the proposed approach effectively detects the vulnerabilities related to numerical stability hidden in the real-world projects.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利