基于动态信息协同的源代码漏洞自动化分析技术研究

项目名称： 基于动态信息协同的源代码漏洞自动化分析技术研究

项目编号： No.61272493

项目类型： 面上项目

立项/批准年度： 2013

项目学科： 自动化技术、计算机技术

项目作者： 吴世忠

作者单位： 中国信息安全测评中心

项目金额： 82万元

中文摘要： 源代码漏洞分析是保障软件安全性的一项重要手段。即有的源代码分析技术研究主要局限在静态分析和人工确认上，而漏洞分析的自动化和效率的提高已经成为迫在眉睫的要求，为了保证分析的有效性，需要综合考虑静态分析得到的程序信息和动态分析得到的运行信息，并在此基础上展开更加深入的讨论。为了更加具有针对性，本课题拟以C++程序为对象，在安全缺陷过滤技术、复杂动态结构分析、缺陷漏洞模式协同等方面展开深入研究。在安全缺陷过滤方面，结合危害模型的构造，研究存在误报的缺陷的排除技术，以提高分析的准确性；在复杂动态结构分析方面，针对复杂循环和多态等结构，使用动静结合的方法分析其中的漏洞，并总结缺陷模式指导相应结构的静态分析；缺陷漏洞模式协同方面，研究安全漏洞模式的构造，以及缺陷模式和漏洞模式的关联关系，以发现漏洞分析的本质和机理，提高源代码级漏洞分析的效率。这些研究的开展将能够为源代码的安全漏洞分析提供有力支持。

中文关键词： 漏洞分析；动态信息；协同；缺陷模式；

英文摘要： Vulnerability analysis of source code is an important method for software security assurance. Existing researches only focus on static analysis and manual verification, but the requirements of automation and efficiency's improvement are imminent. To guarantee the efficiency of analysis, we should integrally consider the program informations from static analysis and the execution informations from dynamic analysis, and then discuss more about source code vulnerability analysis. In this issue, we will discuss the technologies of security defect filtering, complicated dynamic program structure analysis and collaboration of defect mode and vulnerability mode for C++ source code. For the filtering of security defect, we will provide the automatic excluding method for false defects based on the harm model; For the analysis of complicated dynamic program structures, we will detect the vulnerabilities with hybrid methods of static analysis and dynamic analysis, and summarize defect modes for improving the static analysis of these structures; For the collaboration of defect mode and vulnerability mode, we will construct vulnerability modes and analyze the relevance between defect modes and vulnerability modes to discover the nature of vulnerabilities and improve the efficiency. All of these will provide most effective su

英文关键词： vulnerability analysis；dynamic information；collaboration；defect pattern；