[发明专利]基于约束分析和模型检验的代码安全漏洞检测方法有效
| 申请号: | 200910086938.9 | 申请日: | 2009-06-11 |
| 公开(公告)号: | CN101571828A | 公开(公告)日: | 2009-11-04 |
| 发明(设计)人: | 王雷;陈归;赵朋超;张强 | 申请(专利权)人: | 北京航空航天大学 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 北京科迪生专利代理有限责任公司 | 代理人: | 李新华;徐开翟 |
| 地址: | 100191*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 基于模型检测和约束分析的源代码漏洞检测方法,可以对C程序的源代码进行约束提取,使用模型检测来检测程序的安全漏洞。主要内容包括:利用约束分析技术对C程序源代码中涉及到得缓冲区属性信息进行提取,并利用这些缓冲区属性信息,在变量声明、变量赋值、函数调用点插入相应的属性生成、属性传递、属性约束的ASSERT语句信息;经过插装后的代码,可以作为模型检测的输入,对其进行可达性判定,找到程序中的危险点是否真正存在一条可达性路径,进而发现源代码中的安全漏洞。单独的模型检测目前还不能对缓冲区等安全漏洞进行检测,本方法结合约束分析的静态检测技术和模型检测技术实现了对缓冲区溢出等安全漏洞的检测,并且检测精度比一般的静态检测技术要高。通过对源代码其他危险函数信息的提取,进行相应的插装过程,本方法还可以对格式化字符串、代码注入、权限提升等安全漏洞进行检测。 | ||
| 搜索关键词: | 基于 约束 分析 模型 检验 代码 安全漏洞 检测 方法 | ||
【主权项】:
1.基于约束分析和模型检测的漏洞检测方法,其特征在于:利用模型检测所具备的可达性分析,对经过约束分析提取后的约束模型进行可达性判定,将安全漏洞检测问题转变为可达性判定问题,利用一阶谓词公理系统进行模型求解,从而判断和分析出安全漏洞以及引发路径。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京航空航天大学,未经北京航空航天大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200910086938.9/,转载请声明来源钻瓜专利网。
