收藏本站
《中国科学技术大学》 2009年
收藏 | 手机打开
二维码
手机客户端打开本文

软件漏洞测试若干问题研究

曾凡平  
【摘要】:软件安全漏洞是威胁网络与信息系统安全的关键因素之一。恶意的攻击者可以利用安全漏洞访问未授权资源,破坏敏感数据,进而威胁信息系统的安全。如果能在软件发布之前发现安全漏洞,或者在软件运行时检测到漏洞并阻止漏洞被利用,则可大大提高软件的安全性。 软件漏洞测试技术旨在预先发现软件潜在的安全漏洞,是保证信息安全的重要技术,近20年来一直受到学术界和工业界的高度关注。实践证明,软件测试是挖掘软件漏洞的有效方法。 本文从软件测试的角度出发,在充分调研了现有的软件测试技术的基础上,对软件测试尤其是漏洞测试的若干关键问题进行了深入分析,提出了相应的解决方案并用实例验证了方案的有效性。 论文的主要工作和创新之处如下: (1)提出了用包裹函数实现软件故障注入测试的方法。论文从分析基于EAI模型的软件故障注入测试的具体实现所面临的关键技术入手,针对如何高效灵活地在被测进程中注入软件故障的问题,提出了用包裹函数替换安全相关函数以实现故障注入和安全检测的方法,通过实验证明了该方法的可行性。 (2)提出了基于广义EAI模型的软件测试方法。论文提出了把漏洞测试经验总结为知识库,利用先验知识构造测试用例的思想,可以在一定程度上避免软件漏洞测试的盲目性,从而提高测试用例的揭错能力;针对很难控制和监测被测进程的状态问题,论文提出了基于“虚拟执行机”的动态测试方法,可以解决被测试进程的状态可观测和可控制问题。论文用Xen实现基于广义EAI模型的软件测试,证实了该模型的有效性。 (3)提出了基于属性相关分析的测试集缩减方法。针对测试用例集合中存在大量冗余测试用例的问题,论文从分析测试需求中各个属性的相互关系入手,提出了基于属性相关性分析的测试用例集合缩减方法。实验结果表明,论文提出的方法可以大幅度地缩减测试用例集合。 (4)提出了利用进程完整性实现漏洞检测的方法。论文从脆弱性类别的安全关系出发,定义了一种进程完整性度量,在此基础上提出了基于函数调用的脆弱性测试方法,利用源码转换和函数调用状态信息来测试程序的脆弱性。论文利用该方法实现了对缓冲区溢出攻击的检测,结果表明该方法简单而且高效。
【学位授予单位】:中国科学技术大学
【学位级别】:博士
【学位授予年份】:2009
【分类号】:TP311.52

【相似文献】
中国期刊全文数据库 前10条
1 高峻;徐志大;李健;;漏洞自动挖掘技术研究进展[J];计算机与数字工程;2009年01期
2 张润敏,杜英俊,郑丽英;心理学与软件测试探讨[J];甘肃科学学报;1995年01期
3 亢勇,陈自力,李鹏,路平;面向对象的软件测试[J];测试技术学报;1999年02期
4 周鸿志;如何做好甲方对软件产品的检测[J];电子产品可靠性与环境试验;1999年04期
5 刘艳,舒云星;基于模块分割的软件测试自动化技术及应用[J];洛阳工业高等专科学校学报;2003年03期
6 车清太;软件测试方法和策略[J];山西电子技术;2003年06期
7 罗娜,林和平,袁福宇;面向对象软件测试的方法研究[J];东北师大学报(自然科学版);2004年01期
8 崔凤茹,宋巍,钱越英;气象水文软件测评系统建设研究[J];装甲兵工程学院学报;2004年02期
9 王炳晨;软件测试走向规范[J];微电脑世界;2005年07期
10 杨鹏;高职软件测试课程的教学探索与实践[J];番禺职业技术学院学报;2005年02期
中国重要会议论文全文数据库 前10条
1 齐俊臣;彭道勇;刘春和;;重视软件测试 提高软件质量与可靠性[A];2005第二届电子信息系统质量与可靠性学术研讨会论文集[C];2005年
2 杨志文;沈森祖;韩红星;;基于集成电路测试程序的软件测试研究[A];第一届中国微电子计量与测试技术研讨会论文集[C];2008年
3 袁利;王磊;;深空探测器软件可测试性设计研究[A];中国宇航学会深空探测技术专业委员会第六届学术年会暨863计划“深空探测与空间实验技术”重大项目学术研讨会论文集[C];2009年
4 宋雪芬;王冠军;宋雪玲;;面向对象软件测试方法研究[A];中国自动化学会全国第九届自动化新技术学术交流会论文集[C];2004年
5 戴骏炜;;软件自动化测试工具的引入[A];冶金企业自动化、信息化与创新——全国冶金自动化信息网建网30周年论文集[C];2007年
6 陈晓;;软件自动化测试的分析与实践[A];2008'中国信息技术与应用学术论坛论文集(一)[C];2008年
7 张雯婷;;软件测试丢失数据遗补算法[A];第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集[C];2009年
8 张威;薛廷梅;卢庆龄;;软件内存泄漏缺陷分析与测试方法研究[A];第十届全国容错计算学术会议论文集[C];2003年
9 蔡远文;于小红;;航天测试发控系统软件测试研究[A];1999中国控制与决策学术年会论文集[C];1999年
10 高鹏;方圆;;软件测试技术在铁路客运清算分析系统中的应用[A];铁道科学技术新进展——铁道科学研究院五十五周年论文集[C];2005年
中国重要报纸全文数据库 前10条
1 北京融海恒信咨询有限公司;软件测试:一个不得不关注的问题[N];中国计算机报;2002年
2 王宇;过程决定质量[N];中国计算机报;2003年
3 仪芳媛;IT巨头京城上演软件测试人才掠夺战[N];中国企业报;2006年
4 本报记者  张咏梅;软件测试人才面临“回炉”[N];北京人才市场报;2006年
5 仪芳媛;IT毕业生跳动的职场脉搏你按住没有?[N];市场报;2006年
6 成墨;软件测试人才争夺战升级[N];中华工商时报;2006年
7 本报记者 张旭东;软件测试 IT就业新热点[N];中国计算机报;2005年
8 ;软件测试的基本方法[N];中国计算机报;2002年
9 隋年;软件测试:2007需求再放大[N];就业时报;2007年
10 记者 兰昆;中国软件测试人才形成“科班培养”机制[N];中国经济导报;2005年
中国博士学位论文全文数据库 前10条
1 王妍妍;基于序列聚类的软件漏洞检测方法研究[D];燕山大学;2012年
2 夏启明;软件测试及评价的复用策略研究及其实现[D];武汉大学;2010年
3 曾凡平;软件漏洞测试若干问题研究[D];中国科学技术大学;2009年
4 王立新;软件测试数据的高效生成及测试方法研究[D];东华大学;2011年
5 李小将;Client/Server系统的软件测试技术研究[D];西北工业大学;2002年
6 郭健强;面向对象软件测试理论与技术的研究[D];西安电子科技大学;1999年
7 姚砺;面向对象软件测试的研究[D];浙江大学;2002年
8 史亮;测试数据自动生成技术研究[D];东南大学;2006年
9 周卫东;组合导航系统应用软件可靠性研究[D];哈尔滨工程大学;2006年
10 谢晓东;基于模型比较的软件测试用例生成方法研究[D];华中科技大学;2007年
中国硕士学位论文全文数据库 前10条
1 冯莉;软件测试及其在电信监控系统中的应用研究[D];华北电力大学(河北);2003年
2 余盛季;嵌入式软件系统测试平台研究[D];电子科技大学;2004年
3 苏荟;基于UML的面向对象软件簇级测试方法研究[D];西安理工大学;2005年
4 刘维秀;基于缺陷管理的软件测试方法及应用[D];山东大学;2005年
5 张福民;信息系统开发中的自动化测试应用研究[D];大连海事大学;2006年
6 邹欣;基于函数摘要的非法计算故障检测方法的研究[D];北京邮电大学;2011年
7 刘剑;软件可测试性检测技术研究与实现[D];南京航空航天大学;2004年
8 陈和平;面向对象的自动化单元测试[D];武汉理工大学;2004年
9 赖涵;软件缺陷管理的研究与辅助工具实现[D];吉林大学;2005年
10 陈会霞;软件测试及其在WCDMA Node B系统测试中的应用与研究[D];西安电子科技大学;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026