基于数据融合源代码静态分析漏洞检测技术.pdfVIP

小型微型计算机系统 2008年6月第6期 ofChinese V01．29No．62008 Journal ComputerSystems 基于数据融合的源代码静态分析漏洞检测技术 孔德光1，郑焓1，陈超1，帅建梅·，朱 明1，戴 威2 1(中国科学技术大学自动化系，安徽合肥230027) 2(酒泉卫星发射中，0，甘肃酒泉732758) E—mail lkdg@mail．ustc．edu．ca． 摘要：针对目前现有静态分析方法存在的漏报率和误报率较高的问题，提出一种基于数据融合的源代码静态分析漏洞检测 技术．该技术通过对不同检测方法的分析结果进行解析和数据融合，有效地降低误报率和漏报率．设计与实现了一个可扩展的 源代码静态分析工具原型，可通过用户的反馈信息自动寻优．实验结果表明：相对于单个漏洞检测方法而言，该方法的误报率和 漏报率明显降低． ， 关键词：漏洞检测；静态分析；数据融合；误报率；漏报率 中图分类号：TP393．08 文献标识码：A 文章编号：1000—1220(2008)06—1109—04 SourceCodeStatic for DetectionBasedonDataFusion Analysis Vulnerability Technology KONG Quanl，CHENCha01，SHUAI Wei2 De—guan91，ZHENG Jian—meil，ZHUMin91，DAI of o厂China，Hefei 1(DepartmentAutomation．UniversityofScienceTechnology230027，China) Satellite 732758．China) 2(JiuquanLaunchingCenter，Jiuquan Abstract：Towiththe of false andfalse insourcecodestatic methods，this cope problem positives analysis paper high negatives asourcecodestatic for detectionbasedondatafusion．This and presents interprets analysistechnologyvulnerability technology makesdatafusionthe decreasethefalse andfalse on outcomeofdifferentstatic methods，which positives nega- analysis greatly searchfor tives．A ofscalablesourcecode toolis and whichcanautomatically prototypesystem analysisdesignedimplemented thebest