-
题名动态信息流分析的漏洞利用检测系统
被引量:3
- 1
-
-
作者
唐和平
黄曙光
张亮
-
机构
解放军电子工程学院
-
出处
《计算机科学》
CSCD
北大核心
2010年第7期148-151,共4页
-
文摘
安全相关的函数使用了来自网络用户输入或配置文件的非可信数据,由于未经过严格验证,引发了软件安全问题。大量软件漏洞都与非可信数据传播相关。非可信数据传播分析的漏洞利用检测系统将从网络用户输入或配置文件中获得的非可信数据标记为污染数据,使用信息流方法分析污染数据的传播范围,对可能使用污染数据的函数使用多种策略进行污染检查。借助开源的虚拟机代码实现动态信息流跟踪的漏洞检测原型系统,并优化了漏洞利用检测过程。
-
关键词
动态污染分析
漏洞利用检测
信息流分析
污染场景分析
-
Keywords
Dynamic taint analysis, Vulnerability exploits detection, Information flow analysis, Tainted scenes analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名污染传播分析的漏洞利用检测算法
被引量:2
- 2
-
-
作者
唐和平
黄曙光
张亮
-
机构
解放军电子工程学院网络系
-
出处
《小型微型计算机系统》
CSCD
北大核心
2010年第11期2227-2230,共4页
-
文摘
软件漏洞对网络安全产生普遍而重大的威胁.漏洞利用检测就是在程序运行过程中采取主动措施监视系统的状态,在漏洞利用发生前,切断数据来源或者终止程序运行.污染传播分析的漏洞利用检测包括建立污染传播链表、污染传播、污染数据分析和污染数据追踪等几部分.基于污染传播的漏洞检测系统借助程序虚拟运行技术实现,并优化了漏洞利用检测的过程.与目前的污染分析漏洞检测系统对比实验表明,该方法具有漏洞检测准确率高、漏洞利用覆盖面广等特点.
-
关键词
污染传播分析
漏洞利用检测
污染场景
污染告警
-
Keywords
taint propagation analysis
vulnerability exploits detection
tainted scenes
taint assert
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名WebAssembly安全综述
- 3
-
-
作者
庄骏杰
胡霜
华保健
汪炀
潘志中
-
机构
中国科学技术大学软件学院
中国科学技术大学苏州高等研究院
-
出处
《计算机研究与发展》
EI
CSCD
北大核心
2024年第12期3027-3053,共27页
-
基金
国家自然科学基金项目(62072427,12227901)
中国科学院稳定支持基础研究领域青年团队计划项目(YSBR-005)
中国科学技术大学学术带头人培养项目。
-
文摘
WebAssembly是一种新兴的二进制指令集体系结构与代码分发格式,旨在为高级程序语言提供统一且架构无关的编译目标.由于其安全、高效与可移植等先进特性,WebAssembly在Web领域与非Web领域均得到了广泛应用,正在成为最有前景的跨平台公共语言标准之一.尽管WebAssembly提供了多种先进特性以保证安全性,然而,已有研究表明,WebAssembly仍然存在特有的攻击面从而导致安全问题,这些安全问题直接影响到基于WebAssembly的整个软件系统生态.因此,对WebAssembly安全问题的产生机理、现有解决方案以及亟待解决的科学问题展开系统研究尤为重要.基于WebAssembly安全研究领域已经公开发表的42篇研究论文,对WebAssembly安全的相关研究进行了系统研究、分析、归纳和总结:首先,研究分析了WebAssembly的核心安全特性,并在此基础上首次提出了WebAssembly的4层安全威胁模型,包括高级语言支持、编译工具链、二进制表示和语言虚拟机,并对每一层的安全威胁和攻击面进行了详细讨论;其次,提出了WebAssembly安全研究的分类学,将已有研究划分为安全实证研究、漏洞检测与利用、安全增强、形式语义与程序验证4个热点研究方向,并对这4个方向分别进行了综述、分析和总结;最后,指出了该领域待解决的科学问题,并展望了5个潜在的研究方向.
-
关键词
WebAssembly
语言安全
漏洞检测与利用
安全增强
形式化验证
-
Keywords
WebAssembly
language security
vulnerability detection and exploitation
security enhancement
formal verification
-
分类号
TP312
[自动化与计算机技术—计算机软件与理论]
-
