基于符號(hào)執(zhí)行的軟件脆弱性分析技術(shù)研究.pdf

1、網(wǎng)絡(luò)安全問(wèn)題歸根結(jié)底是由軟件脆弱性造成的，一直以來(lái)對(duì)軟件產(chǎn)業(yè)構(gòu)成著嚴(yán)重威脅。過(guò)去那種依靠專業(yè)安全研究人員手動(dòng)發(fā)現(xiàn)軟件脆弱性的方法，已經(jīng)不能滿足人們對(duì)安全的迫切需求，而傳統(tǒng)的脆弱性自動(dòng)發(fā)掘技術(shù)如Fuzzing由于自身固有的缺陷，只能隨機(jī)的生成測(cè)試用例，而不能全面的分析、理解目標(biāo)軟件。近年來(lái)，針對(duì)Fuzzing測(cè)試技術(shù)存在的不足，符號(hào)執(zhí)行在軟件測(cè)試和脆弱性發(fā)現(xiàn)中得到了廣泛的應(yīng)用。隨著約束求解器的進(jìn)步、計(jì)算機(jī)性能的提高和新算法的出現(xiàn)，符號(hào)執(zhí)行

2、已成為國(guó)內(nèi)外研究的熱點(diǎn)。
　　脆弱性分析的關(guān)鍵是如何觸發(fā)軟件中潛在的各種異?；蚵┒?，然而目前針對(duì)軟件脆弱性問(wèn)題的分析方法普遍存在著分析精度差、效率低、漏報(bào)率高的問(wèn)題，制約了其在軟件脆弱性分析中的進(jìn)一步應(yīng)用。本課題針對(duì)符號(hào)執(zhí)行自身的優(yōu)缺點(diǎn)，對(duì)其在自動(dòng)生成測(cè)試用例方面進(jìn)行了深入的研究，致力于以符號(hào)執(zhí)行為主、輔以污點(diǎn)分析技術(shù)，研究并改進(jìn)了相關(guān)核心算法，即在符號(hào)執(zhí)行算法中采用啟發(fā)式搜索、學(xué)習(xí)和函數(shù)摘要技術(shù)有效遏制路徑爆炸，并在污點(diǎn)分析算法