基于脆弱点特征导向的软件安全测试方法
为克服模糊测试方法具有盲目性和覆盖率不高的缺点,缓解当前符号执行方法所面临的空间爆炸问题,本文提出了一种基于脆弱点特征导向的软件安全测试方法.该方法结合模糊测试和符号执行方法的特点,首先针对缓冲区溢出,精确分析了具备该脆弱点特征的代码,并以此为测试目标,力图提高测试针对性;然后,通过域收敛路径遍历策略生成新测试数据进行测试.实验数据表明:该方法的缓冲区溢出可疑点识别率比现有以经验为主的识别方法至少提高了41%,与CUTE符号执行工具相比,较好地缓解了空间爆炸问题,并有效验证了OpenSSL等常用软件的脆弱点。
软件安全 测试方法 性能评价 脆弱点特征导向
欧阳永基 魏强 王嘉捷 王清贤
解放军信息工程大学,郑州450002;数学工程与先进计算国家重点实验室,郑州450002 中国信息安全测评中心,北京100085
国内会议
长沙
中文
325-338
2014-10-16(万方平台首次上网日期,不代表论文的发表时间)