-
题名基于局部路径图的自动化漏洞成因分析方法
- 1
-
-
作者
余媛萍
苏璞睿
贾相堃
黄桦烽
-
机构
中国科学院软件研究所可信计算与信息保障实验室
中国科学院大学计算机科学与技术学院
-
出处
《软件学报》
EI
CSCD
北大核心
2024年第10期4555-4572,共18页
-
基金
国家自然科学基金(62232016,62102406,61902384)
中国科学院战略性先导科技专项(XDC02020300)
前沿科技创新专项(2019QY1403)。
-
文摘
快速的漏洞成因分析是漏洞修复中的关键一环,也一直是学术界和工业界关注的热点.现有基于大量测试样本执行记录进行统计特征分析的漏洞成因分析方法,存在随机性噪声、重要逻辑关联指令缺失等问题,其中根据测试集测量,现有统计方法中的随机性噪声占比达到了61%以上.针对上述问题,提出一种基于局部路径图的漏洞成因分析方法,其从执行路径中,提取函数间调用图和函数内控制流转移图等漏洞关联信息.并以此为基础筛除漏洞成因无关指令(即噪声指令),构建成因点逻辑关系并补充缺失的重要指令,实现一个面向二进制软件的自动化漏洞成因分析系统LGBRoot.系统在20个公开的CVE内存破坏漏洞数据集上进行验证.单个样本成因分析平均耗时12.4 s,实验数据表明,系统可以自动剔除56.2%噪声指令和补充并联结20个可视化漏洞成因相关点指令间的逻辑结构,加快分析人员的漏洞分析速度.
-
关键词
漏洞分析
成因分析
函数间调用图
函数内控制流转移图
统计分析
-
Keywords
vulnerability analysis
root causes analysis
inter-function call graph
intra-function control flow graph
statistical analysis
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
