收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

面向软件脆弱性分析的并行符号执行技术研究

曹琰  
【摘要】:符号执行技术在软件脆弱性分析领域的应用已经取得了较大的发展,相比于传统的模糊测试,在测试数据生成和程序执行路径分析方面具有较大优势,提高了脆弱性分析的能力。但是由于软件执行路径数巨大,在有限的资源条件下逐条路径分析效率较低,测试覆盖率难以提高,成为符号执行发展的瓶颈。 随着高性能硬件平台和新型计算模型的发展,并行符号执行技术逐渐成为国内外研究的热点。在提高软件安全并行测试效率方面,算法的并行度及漏洞挖掘方法成为研究的关键问题。本文从符号执行、约束求解及其并行化技术等方面,对软件脆弱性分析进行了研究,主要工作可概括如下: 1、在静态符号执行方面,为了提高符号执行的并行度,提出了以路径簇为负载单位的并行执行方法。通过程序依赖分析,将与程序目标点具有共享控制依赖条件多路径按规则归约成路径簇,以路径簇链为单位进行并行测试的负载调度,在有效减少实际执行路径数目的同时提高执行分析的并行度。 2、为了处理环境交互问题,提出了基于混合输入的环境交互方法。通过定义程序执行的一致性模型,系统化地分析了符号执行与实际执行的逼近问题;提出了符号执行与具体执行的转换方法及维护一致性的启发式策略。通过区分可求解约束和复杂约束条件,提出了具体值和符号值混合代入法化简复杂约束的路径求解算法。 3、在动态符号执行方面,为了提高针对特定目标的测试覆盖率,提出了基于敏感点逼近的并行测试方法。该方法结合了动静态分析两方面的优势。利用静态分析技术,提出了基于调用链回溯的敏感点到程序执行路径的距离计算方法,能够为导向型测试提供依据;设计了基于动态符号执行的分布式测试模型,实现了“距离分析——路径求解——用例生成——实际测试”反复迭代的测试过程。以敏感点为导向、以符号执行技术为基础的测试方法,加强了测试的针对性。 4、在约束求解方面,提出了基于集中式存储的全局约束并行相容模型,并将该技术与回溯搜索结合,实现了并行求解方法。该模型利用动态分配约束条件的方法解决负载均衡问题,通过对变量域的集中式管理,保证了冲突检测的及时性,利用变量域剪枝单调性的特点,实现了异步相容检查,提高多节点间相容检查的并行程度。在并行搜索方面,依赖对搜索空间划分与调度,与相容技术进行融合,进一步提高了约束求解的效率。 5、将静态符号执行技术应用于软件补丁比对,实现基本块级的语义差异分析。在函数级利用基于图形同构的匹配方法,找到最大同构子图;在此基础上,利用静态符号执行技术对基本块的输入输出行为进行分析,判断其功能的相似性,借以进行语义的差异分析。通过对比实验验证了匹配结果准确率的提升。 本文提出的相关模型和算法已在课题组研制的大规模分布式并行漏洞挖掘系统中得到应用。实验结果表明了相关技术的可行性和有效性,对于提高软件脆弱性分析的效率有着很好的帮助。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 周孔伟,蔡经球;符号执行—介于程序验证和程序调试之间的方法[J];小型微型计算机系统;1982年04期
2 高仲仪 ,梁霞;符号执行和测试数据辅助生成的实验系统[J];北京航空航天大学学报;1988年04期
3 刘宗田,朱逸芬;符号执行技术在68000C反编译程序中的应用[J];计算机学报;1988年10期
4 李朝君;蒋凡;;符号执行中高语句覆盖率的路径调度[J];计算机工程与应用;2010年14期
5 曾凌峰;;浅谈软件测试方法[J];科技资讯;2006年03期
6 方贤文;赵艳;殷志祥;;基于Petri网的软件测试分析[J];计算机技术与发展;2007年02期
7 袁敏;王志刚;李琼;;浅析软件测试中故障模型的建立[J];电脑知识与技术(学术交流);2007年12期
8 袁敏;王志刚;李琼;;浅析软件测试中故障模型的建立[J];电脑知识与技术(学术交流);2007年16期
9 冯捷;;软件测试浅谈[J];电脑知识与技术;2005年36期
10 周晓宇;聂长海;徐宝文;陈火旺;;两两组合覆盖测试数据自动生成集成工具的设计与实现[J];计算机科学;2005年01期
11 袁阳;槐博超;陈巨龙;;基于VxWorks平台的嵌入式实时软件测试方法[J];船电技术;2010年08期
12 崔亮飞;;基于LABVIEW的软件平台测试[J];信息系统工程;2010年09期
13 穆兵;HT-RTU操作系统总体方案设计[J];计算机工程与设计;1992年03期
14 王振操;;系统测试的应用[J];信息技术与标准化;2007年07期
15 于莉莉;富春岩;孟凡波;;软件测试方法及用例的选择[J];佳木斯大学学报(自然科学版);2008年02期
16 孟小丰;;数字校正网络动态特性的软件测试方法[J];航天控制;2008年04期
17 邹伟;;故障模型在软件测试上的应用探讨[J];软件导刊;2008年11期
18 吴潮;赵羚云;刘丽娜;;软件测试方法的分析与研究[J];成才之路;2008年32期
19 马海云;魏凯斌;;一种新的软件测试方法的研究[J];自动化与仪器仪表;2010年03期
20 马海云;;基于概率统计的测试用例生成技术研究[J];自动化与仪器仪表;2010年04期
中国重要会议论文全文数据库 前10条
1 林锦滨;张晓菲;刘晖;;符号执行技术研究[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
2 栾静;贺英杰;;软件测试方法及用例的设计分析[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
3 郑成文;张海粟;韩柯;陈昱松;张乐飞;;一种基于相似性度量的软件测试方法[A];第六届中国测试学术会议论文集[C];2010年
4 宫云战;;软件测试技术的研究进展[A];第十届全国容错计算学术会议论文集[C];2003年
5 李华莹;于秀山;;基于静态测试工具的软件测试方法研究[A];中国电子学会可靠性分会第十四届学术年会论文选[C];2008年
6 万琳;张威;马雪雁;陈曼青;;基于路径的测试用例自动生成技术[A];第十届全国容错计算学术会议论文集[C];2003年
7 张成才;梁永会;李红伟;;河南航道基础地理信息系统测试方案研究与设计[A];《测绘通报》测绘科学前沿技术论坛摘要集[C];2008年
8 高海昌;冯博琴;侯芸;;测试数据自动生成的研究进展[A];2006中国控制与决策学术年会论文集[C];2006年
9 张威;张博刚;廖飞雄;陈月宁;;基于软件运行记录的交互测试研究[A];第六届中国测试学术会议论文集[C];2010年
10 王建东;曾庆凯;;整数漏洞现状研究[A];2011年全国通信安全学术会议论文集[C];2011年
中国博士学位论文全文数据库 前10条
1 曹琰;面向软件脆弱性分析的并行符号执行技术研究[D];解放军信息工程大学;2013年
2 范文庆;分段符号执行模型及其环境交互问题研究[D];北京邮电大学;2010年
3 程绍银;需求驱动的软件安全缺陷自动测试生成[D];中国科学技术大学;2009年
4 高鹰;代码迷惑及其语义研究[D];中国科学技术大学;2007年
5 王嘉捷;多重循环程序内存访问越界增量检测方法[D];中国科学技术大学;2009年
6 孙涛;基于CP-nets模型的并行软件测试方法研究[D];内蒙古大学;2012年
7 李仁见;堆操作程序分析验证技术研究[D];国防科学技术大学;2011年
8 李飞宇;基于内存建模的测试数据自动生成方法研究[D];北京邮电大学;2013年
9 李勇;基于软件事务内存的并行程序验证[D];中国科学技术大学;2011年
10 周虹伯;应用数据类型抽象建模提高软件静态测试精度的方法研究[D];北京邮电大学;2013年
中国硕士学位论文全文数据库 前10条
1 闫晓伟;基于符号执行的软件脆弱性测试技术[D];电子科技大学;2012年
2 肖戌;基于符号执行的软件脆弱性分析技术研究[D];电子科技大学;2011年
3 倪康奇;基于二进制代码的动态符号执行工具[D];上海交通大学;2011年
4 王卓;基于符号执行的二进制代码动态污点分析[D];上海交通大学;2011年
5 吉小丽;动态符号执行的性能优化[D];电子科技大学;2013年
6 国鹏飞;基于动态符号执行的二进制代码漏洞挖掘系统研究与设计[D];北京邮电大学;2011年
7 蒋思远;基于动态符号执行的测试工具设计与实现[D];华东师范大学;2012年
8 余啸;基于动态符号执行的并行化测试数据自动生成[D];华东师范大学;2011年
9 娄坚波;面向宿主的嵌入式软件符号执行技术研究与实现[D];南京航空航天大学;2011年
10 范彧;基于符号执行和数据挖掘的路径可达性检测[D];上海交通大学;2013年
中国重要报纸全文数据库 前5条
1 特约撰稿 张勇;基于需求的测试:确保需求与软件的统一[N];计算机世界;2011年
2 ;国内成立首家开放式源码软件评测中心[N];人民邮电;2000年
3 本报记者 徐建华;我国着力构建绿色上网标准体系[N];中国质量报;2009年
4 记者 关媛媛 实习生 王甜;中科院重庆研究院 在渝构建六大研发平台[N];重庆日报;2011年
5 记者 梁杰;金融业IT高级人才短缺[N];人才市场报;2011年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978