軟件漏洞源代碼的語義標(biāo)注技術(shù)研究.pdf

1、近年來隨著信息技術(shù)的發(fā)展，軟件技術(shù)也得到了飛速的發(fā)展，軟件的數(shù)量和規(guī)模都在不斷的擴張。相應(yīng)的軟件中存在的漏洞也越來越多，據(jù)美國統(tǒng)計平均一千行到一千五百行代碼中，人類編程人員就會在其中留下一個軟件安全漏洞。與軟件技術(shù)的飛速發(fā)展相反，軟件漏洞的檢測技術(shù)已處于瓶頸期，時至今日依然用傳統(tǒng)的靜態(tài)、動態(tài)或動靜結(jié)合的檢測方法。傳統(tǒng)的漏洞檢測技術(shù)已經(jīng)跟不上軟件技術(shù)的發(fā)展。
　　伴隨著軟件數(shù)量的增多，被挖掘出來的軟件漏洞數(shù)量也越來越多，目前世界上信

2、息產(chǎn)業(yè)發(fā)達的國家都建有自己的漏洞數(shù)據(jù)庫，某些企業(yè)和組織也建有自己單獨的漏洞數(shù)據(jù)。這些漏洞數(shù)據(jù)庫大多都遵循CVE標(biāo)準(zhǔn)相互兼容，如此以來就產(chǎn)生了很大的漏洞數(shù)據(jù)。那么如何合理利用現(xiàn)有的漏洞數(shù)據(jù)，為漏洞的檢測提供新的方法越來越是需要面對的一個問題。結(jié)合當(dāng)前的大數(shù)據(jù)技術(shù)，對漏洞數(shù)據(jù)進行分析挖掘是利用這些漏洞數(shù)據(jù)的方式之一。但是當(dāng)前的漏洞數(shù)據(jù)以非結(jié)構(gòu)化的方式存在于漏洞數(shù)據(jù)庫中，不利于計算機的直接處理，因此本文對這些漏洞數(shù)據(jù)進行預(yù)處理使其能被計算機直

3、接處理。為以后基于大數(shù)據(jù)技術(shù)的漏洞模式挖掘提供支撐。
　　本文利用語義標(biāo)注技術(shù)對漏洞數(shù)據(jù)進行預(yù)處理。語義標(biāo)注技術(shù)在圖像語義、語義Web等領(lǐng)域已經(jīng)得到大量的研究，也得到了一定的研究成果，但是在漏洞源碼領(lǐng)域尚未發(fā)現(xiàn)相關(guān)的研究。語義Web利用語義標(biāo)注技術(shù)將非結(jié)構(gòu)化的Web文檔轉(zhuǎn)化成結(jié)構(gòu)化的RDF文檔，結(jié)構(gòu)化的文檔方便計算機對其直接處理，在結(jié)合本體技術(shù)就能實現(xiàn)計算機對Web文檔的理解功能。大數(shù)據(jù)處理技術(shù)也要求數(shù)據(jù)具有一定的結(jié)構(gòu)。因此對漏洞

4、源碼的語義標(biāo)注就是要將純文本的源碼文件轉(zhuǎn)化成結(jié)構(gòu)化的源碼文件，在本文中將其轉(zhuǎn)化為XML格式的文件。在進行標(biāo)注時本文主要做了以下工作:
　　(1)待標(biāo)注實體的識別。對漏洞源碼的標(biāo)注首先要找到待標(biāo)注的對象，本文對漏洞數(shù)據(jù)庫中的漏洞源碼信息進行了詳細的研究，首先確定了待標(biāo)注信息的組成，漏洞信息由兩部分組成，一部分是漏洞描述信息，另一部是漏洞源碼本身。確定了待標(biāo)注的信息范圍，接下來識別待標(biāo)注信息中的待標(biāo)注對象。其中最為關(guān)鍵的是對漏洞源碼信

5、息中實體的識別，本文以抽象語法樹為依據(jù)對漏洞源碼中的實體信息進行識別。
　　(2)標(biāo)簽設(shè)計。對于所識別的每一個實體，依據(jù)實體類別設(shè)計相應(yīng)的標(biāo)簽。本文對漏洞源碼的編程語言進行詳細的研究，對程序中的每一種元素進行歸類表示，每一類元素制定相應(yīng)的標(biāo)簽，并確定標(biāo)簽的子標(biāo)簽，屬性等信息。
　　(3)語義體現(xiàn)。在語義Web中語義信息主要由現(xiàn)有的本體體現(xiàn)，圖像的語義標(biāo)注中語義就是圖像的類別。在本文中以標(biāo)簽的意義作為漏洞源碼語義標(biāo)注的語義體現(xiàn)