基于数据综合分析的软件安全漏洞静态检测平台设计与实现-信息与通信工程专业论文.docxVIP

万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 签名： 日期： 年 月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 (保密的学位论文在解密后应遵守此规定) 签名： 导师签名： 日期： 年 月 日 万方数据 万方数据 摘要 摘 要 随着互联网应用与计算机软件行业的不断创新与发展，信息与网络安全也面 临着前所未有的严峻问题，网络安全领域所面临的挑战日益严峻，网络安全问题 也日益被人们重视。通常意义上的网络安全的最大威胁是软件程序上的漏洞，程 序漏洞检测方法主要分为静态分析方法和运行时的检测方法。静态分析方法主要 用静态检测工具对程序源代码进行扫描分析，存在很高的漏报率和误报率；运行 时检测方法需要运行被测程序，其检测依赖外部环境和测试用例，具有一定的不 确定性。本文主要工作如下： 1．首先介绍了软件安全漏洞的研究背景、意义及国内外研究现状；接着通过 代码举例的方式详细阐述了常见漏洞的种类及原理；然后分析研究了软件安全漏 洞的静态检测技术、动态检测技术及动静结合的检测技术，并总结了几种检测技 术的优缺点。其中动态检测技术侧重于软件发布后的防护，而静态检测技术则侧 重于软件发布前尽可能早地发现软件安全漏洞。在软件安全这个意义上，静态检 测技术对于增强软件安全性与可靠性有着更为重要的意义。 2．鉴于现有的源代码静态扫描工具都存在大量的误报与漏报，本文提出一种 基于数据综合分析的软件安全漏洞静态检测方案，设计和实现了一个可扩展的源 代码静态分析平台，平台通过集成多个不同技术类型的源代码静态扫描工具对软 件程序源代码进行多层次的综合性检测，然后对检测的结果进行数据综合分析， 得出危险等级高的软件安全漏洞，并以图表的形式将漏洞信息直观的显示出来。 3．通过实例的分析结果表明，源代码静态分析平台相对于单个工具的检测而 言，有效地提高了漏洞的覆盖率，并明显地降低了漏洞的误报率和漏报率；该平 台在实用性、有效性及可扩展性上与传统的分析方法相比都有比较明显的优势。 4．源代码静态分析平台已通过第三方测试达到设计目标，并获得国家版权局 软件著作权，同时该平台的设计思想已被《计算机应用研究》期刊录用。 关键词：安全漏洞，静态检测技术，数据综合分析，误报率，漏报率 I Abstract Abstract With the innovation and development of computer software industry and internet application, Information and the safety in internet are also faced with the unprecedented severe issues, and the challenge in the field of internet safety is increasingly rigorous, which arouses the people’s attention at the same time. The most serious threat in internet safety is the vulnerability in software program, there are two main ways for detecting the vulnerability, one is static analyzing and the other is dynamic detecting. The static analyzing method scans and analyses source code mainly using static detecting tool, which has high false positives and false negatives; the running detective method needs to run the detected program, which replies on the exterio