基于模型檢測技術(shù)的軟件漏洞挖掘方法研究.pdf

1、　　信息化社會中,信息安全必然很重要,然而信息安全所面臨的威脅也由來已久。信息系統(tǒng)中的漏洞是引起網(wǎng)絡(luò)信息安全問題的根源,漏洞和安全隱患是現(xiàn)代信息系統(tǒng)的毒瘤,很多惡意攻擊的方法都源自軟件產(chǎn)品這樣或那樣的漏洞。測試信息系統(tǒng)是否安全的一個極為重要的方面就是軟件產(chǎn)品是否隱藏有種種漏洞或者后門,因此如何挖掘軟件程序中可能存在的安全漏洞成為信息安全關(guān)注的熱點。模型檢測技術(shù)是一種自動化檢測技術(shù),該技術(shù)廣泛應(yīng)用于時序電路設(shè)計和通信協(xié)議設(shè)計,并取得了很大

2、的成績。真正將模型檢測技術(shù)引入到軟件的驗證和漏洞挖掘上僅有短短幾年的歷史,該項技術(shù)正處于研究階段,并在WINXP操作系統(tǒng)的開發(fā)中得到了一定程度的應(yīng)用。該技術(shù)作為一種形式化的方法與傳統(tǒng)方法相比,能夠正確、高效并且完全地挖掘出軟件中存在的特定類型的漏洞。模型檢測技術(shù)在軟件漏洞挖掘,提高軟件安全性方面有著良好的發(fā)展前景。
　　本文首先對漏洞的概念進行了探討,提出了有針對性的信息安全漏洞定義。然后探討了模型檢測技術(shù)的主要思想、發(fā)展沿革及其

3、最新的研究熱點,其中在模型檢測技術(shù)應(yīng)用于軟件漏洞挖掘的討論中,提出了針對源代碼的漏洞挖掘系統(tǒng)原型,并針對源代碼的模型檢測中的程序建模提出了自己的方法；完成了兩條時序安全屬性的設(shè)計和建模工作,并采用了例程進行驗證,使用它對實際的程序進行了檢驗,成功的發(fā)現(xiàn)了漏洞并得到驗證；對當(dāng)前流行的基于模型檢測技術(shù)的漏洞挖掘工具進行了分析和比對,重點研究和分析了輕量級模型檢測工具MOPS,分析了它的不足之處,并且針對這些不足作出了改進,在此基礎(chǔ)上開發(fā)出了