基于Stack Overflow的数据库相关主题分析 被引量：3

1

作者 刘蕴涵 沙朝锋 牛军钰 《计算机科学》 CSCD 北大核心 2021年第6期48-56,共9页

数据库管理系统虽是一种较为成熟的软件系统,但开发人员在应用数据库系统进行数据管理以及数据分析时还是会遇到各种问题,因此会在Stack Overflow之类的问答论坛上寻求解决方法。文中获取了Stack Overflow上94473条与数据库相关的问题,... 数据库管理系统虽是一种较为成熟的软件系统,但开发人员在应用数据库系统进行数据管理以及数据分析时还是会遇到各种问题,因此会在Stack Overflow之类的问答论坛上寻求解决方法。文中获取了Stack Overflow上94473条与数据库相关的问题,应用LDA主题模型将这些问题归为25个主题,结果显示开发者的问题可归为"表""SQL""SELECT"等主题。通过研究与数据库相关的不同主题的流行度和困难程度发现,"SQL"主题相关的问题较为流行。除此以外,文中还分别研究了3种不同的数据库,即MySQL,Oracle和MongoDB,分析了与不同数据库系统相关的问题的主题分布。文中的研究成果有助于了解数据库开发者所面临的挑战,从而为数据库系统版本更新、数据库课程教学内容的设置,甚至是数据库领域的研究问题提供参考。 展开更多

关键词 stack overflow 数据库 LDA 主题建模

在线阅读 下载PDF 职称材料

Stack Overflow的缺陷代码特征分析与相似缺陷检测 被引量：2

2

作者 亢振兴 赵逢禹 刘亚 《小型微型计算机系统》 CSCD 北大核心 2021年第3期661-665,共5页

目前在软件代码缺陷审查以及缺陷预测中,研究人员对源代码进行分析研究却忽略了代码的缺陷信息.本文通过对缺陷信息进行分析,发现缺陷信息对于相似缺陷的检测有着重要的参考价值.基于这一思想,本文分析软件缺陷社区Stack Overflow中关... 目前在软件代码缺陷审查以及缺陷预测中,研究人员对源代码进行分析研究却忽略了代码的缺陷信息.本文通过对缺陷信息进行分析,发现缺陷信息对于相似缺陷的检测有着重要的参考价值.基于这一思想,本文分析软件缺陷社区Stack Overflow中关于缺陷代码的信息,提出一种基于缺陷代码特征分析的相似缺陷检测方法.该方法首先对缺陷报告进行LDA主题分析并将缺陷报告分类到不同的主题(类别)中,统计得到高频缺陷类别;其次对于高频缺陷类别的缺陷代码提取特征;最后根据缺陷代码特征构建相似缺陷检测模型.为了验证相似缺陷检测模型的有效性,针对数据操作缺陷数据构建诊断模型并对该模型进行实证,实验结果表明该方法对检测其他代码中相似缺陷有较好的效果. 展开更多

关键词 stack overflow LDA 缺陷代码特征 特征相似度 相似缺陷检测

在线阅读 下载PDF 职称材料

Stack Overflow上机器学习相关问题的大规模实证研究 被引量：4

3

作者 万志远 陶嘉恒 +4 位作者 梁家坤 才振功 苌程 乔林 周巧妮 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2019年第5期819-828,共10页

为了调查机器学习相关主题分布和发展趋势,从在线问答网站Stack Overflow上,利用过滤标签,从4 178多万帖子中提取出60 028个与机器学习相关的问题帖.通过分析问题帖,统计各个机器学习平台的讨论量,发现Scikit-learn、TensorFlow、Keras... 为了调查机器学习相关主题分布和发展趋势,从在线问答网站Stack Overflow上,利用过滤标签,从4 178多万帖子中提取出60 028个与机器学习相关的问题帖.通过分析问题帖,统计各个机器学习平台的讨论量,发现Scikit-learn、TensorFlow、Keras是前3位频繁被讨论的机器学习平台,占总讨论量的58%.为了进一步分析机器学习相关讨论主题,进行潜在狄利克雷分布(LDA)主题模型训练,提出自适应LDA中的主题数渐进搜索方法,采用主题一致性系数评估输出结果,获得主题最佳数量,从而发现9个讨论主题,分属3个类别:代码相关、模型相关、理论相关.基于主题中问题帖的浏览数、评论数,分析不同主题的流行度和回答困难程度. 展开更多

关键词 实证研究 机器学习 stack overflow 潜在狄利克雷分布(LDA) 主题一致性

在线阅读 下载PDF 职称材料

中外技术问答社区的实证对比研究与启示——以CSDN和Stack Overflow为例 被引量：8

4

作者 李胜利 钟滢 《情报学报》 CSSCI CSCD 北大核心 2020年第9期989-1000,共12页

社会化问答社区是当前网络用户进行知识交流的重要平台,而技术问答社区则是专注于技术知识交流的问答社区。本文选取国内外最具有代表性的两大技术问答社区进行对比研究,旨在指出国内技术问答社区的优势与不足,并为国内技术问答社区的... 社会化问答社区是当前网络用户进行知识交流的重要平台,而技术问答社区则是专注于技术知识交流的问答社区。本文选取国内外最具有代表性的两大技术问答社区进行对比研究,旨在指出国内技术问答社区的优势与不足,并为国内技术问答社区的进一步发展与优化提出针对性建议。本文分别从社区活跃度、社区主题、社区问题质量、用户体验和社交属性5个维度开展了对比分析,并利用相关性分析,分析并比较了在两个问答社区中影响问题被回答情况的相关因素。本文发现两大技术问答社区在活跃度、用户提问与回答情况等方面存在显著差异,并从优化问题质量评价机制、提高用户回答积极性、优化激励机制以及强化社交属性等方面为我国技术问答社区的进一步发展与完善给出了建议。 展开更多

关键词 技术问答社区 中外对比研究 CSDN stack overflow

在线阅读 下载PDF 职称材料

面向专家示例的Stack Overflow本体构造和推理研究

5

作者 阮书鹤 钟林辉 +4 位作者 高荣锦 祝艳霞 陈浩然 卢腾骏 夏子豪 《计算机应用研究》 CSCD 北大核心 2023年第12期3736-3741,共6页

Stack Overflow是一个计算机领域的IT技术问答网站,为了获取问答网站中的专家示例并将其应用于API挖掘中。首先采用Scrapy爬虫框架技术获取Stack Overflow问答网站中的结构化数据,并存储在关系模式中;再使用本体建模工具Protég... Stack Overflow是一个计算机领域的IT技术问答网站,为了获取问答网站中的专家示例并将其应用于API挖掘中。首先采用Scrapy爬虫框架技术获取Stack Overflow问答网站中的结构化数据,并存储在关系模式中;再使用本体建模工具Protégé构建本体,然后使用D2RQ工具实现对关系数据库的知识抽取,将关系模式转换为三元组形式的本体模型;同时,提出了一个面向专家示例的子本体抽取算法,用于从原本体中抽取出专家示例推理相关的子本体,并提出了若干条专家示例推理规则,能推导出专家所编写的代码示例。实验结果证明,从Stack Overflow本体模型中抽取的专家示例能提高API调用序列挖掘的准确率。 展开更多

关键词 stack overflow问答网站 本体 本体构建 专家示例推理规则 专家示例

在线阅读 下载PDF 职称材料

Why do they ask? An exploratory study of crowd discussions about Android application programming interface in stack overflow

6

作者 FAN Qiang WANG Tao +3 位作者 YANG Cheng YIN Gang YU Yue WANG Huai-min 《Journal of Central South University》 SCIE EI CAS CSCD 2019年第9期2432-2446,共15页

Nowadays,more and more Android developers prefer to seek help from Q&A website like Stack Overflow,despite the rich official documentation.Several researches have studied the limitations of the official applicatio... Nowadays,more and more Android developers prefer to seek help from Q&A website like Stack Overflow,despite the rich official documentation.Several researches have studied the limitations of the official application programming interface(API)documentations and proposed approaches to improve them.However,few of them digged into the requirements of the third-party developers to study this.In this work,we gain insight into this question from multidimensional perspectives of API developers and API users by a kind of cross-validation.We propose a hybrid approach,which combines manual inspection on artifacts and online survey on corresponding developers,to explore the different focus between these two types of stakeholders.In our work,we manually inspect 1000 posts and receive 319 questionnaires in total.Through the mutual verification of the inspection and survey process,we found that the users are more concerned with the usage of API,while the official documentation mainly provides functional description.Furthermore,we identified 9 flaws of the official documentation and summarized 12 aspects(from the content to the representation)for promotion to improve the official API documentations. 展开更多

关键词 API documentation ANDROID online survey stack overflow

在线阅读 下载PDF 职称材料

基于CBOW-LDA主题模型的Stack Overflow编程网站热点主题发现研究 被引量：5

7

作者 张景 朱国宾 《计算机科学》 CSCD 北大核心 2018年第4期208-214,共7页

Stack Overflow是一个热门的国外编程问答网站,通过对该网站编程提问帖的问题文本进行文本语义挖掘,能获析用户关注的编程热点。由于研究对象所代表的短文本信息具有高维性及分布不均的特点,易导致主题获取不明晰。文中提出一种基于LDA(... Stack Overflow是一个热门的国外编程问答网站,通过对该网站编程提问帖的问题文本进行文本语义挖掘,能获析用户关注的编程热点。由于研究对象所代表的短文本信息具有高维性及分布不均的特点,易导致主题获取不明晰。文中提出一种基于LDA(Latent Dirichlet Allocation)主题模型的CBOW-LDA建模方法,该方法对目标语料进行相似词聚类后再完成主题建模,能有效降低文本输入维度,使主题分布更明确。采集Stack Overflow网站上2010-2015年的问题帖数据集POST,并对其进行实验,同等主题数下采用文本建模中衡量模型性能的评价指标困惑度(Perplexity)来度量算法在不同数据集容量维度下的性能。结果表明,与现有的基于词频权重的词量化主题建模TFLDA方法相比,CBOW-LDA方法的困惑度更低,在实验语料下的困惑度降低约4.87%,证明了所提算法的性能更好。采用CBOW-LDA方法对Stack Overflow进行热点挖掘,同时使用TF-LDA方法进行对比实验,建立手工标注的标准评测集对两种方法获取的热门主题和热搜词汇进行查全率、查准率及F1值的判定,结果证实CBOW-LDA表现更佳,其热点挖掘效果较好。由实验结果可知,Java为该编程网站提问帖中最热门的主题,而C和Javascript则为该网站用户提问中被提及得最频繁的词汇。 展开更多

关键词 stack overflow LDA-CBOW语言模型 主题发现 热门主题 困惑度

在线阅读 下载PDF 职称材料

Stack Overflow系统的特征融合答案推荐策略

8

作者 万杰 赵逢禹 刘亚 《计算机应用与软件》 北大核心 2019年第8期60-64,129,共6页

针对Stack Overflow系统中用户寻找问题答案效率低的问题,提出一种基于标题相似度、描述相似度、标签相似度、语义相似度的特征融合答案推荐策略(FIARS)。从Stack Overflow网站中抽取“问题与答案”语料集,对答案进行去重处理,建立问题... 针对Stack Overflow系统中用户寻找问题答案效率低的问题,提出一种基于标题相似度、描述相似度、标签相似度、语义相似度的特征融合答案推荐策略(FIARS)。从Stack Overflow网站中抽取“问题与答案”语料集,对答案进行去重处理,建立问题索引和问题对应的答案集索引;采用余弦相似度计算新问题与语料库中问题在标题、标签、问题描述等维度上的相似度,并构建语义模型计算语义相似度;基于这些相似度筛选出最佳的“问题与答案”候选集并把答案推荐给用户。为了验证策略的可行性和有效性,使用Stack Overflow真实数据集进行分析实验,实验结果表明该策略能够较大地提高答案推荐的准确率。 展开更多

关键词 stack overflow 特征融合 余弦相似度 语义模型 答案推荐

在线阅读 下载PDF 职称材料

一种结合代码片段和混合主题模型的软件数据聚类方法 被引量：2

9

作者 魏林林 沈国华 +2 位作者 黄志球 蔡梦男 郭菲菲 《计算机科学》 CSCD 北大核心 2024年第6期44-51,共8页

使用主题模型进行文档聚类是众多文本挖掘任务中一种常见的做法。许多研究针对软件问答网站的数据,利用主题模型进行聚类来分析不同领域在社区的发展情况。然而,这些软件相关数据往往包含代码片段且文本长度分布不均,使用传统单一的主... 使用主题模型进行文档聚类是众多文本挖掘任务中一种常见的做法。许多研究针对软件问答网站的数据,利用主题模型进行聚类来分析不同领域在社区的发展情况。然而,这些软件相关数据往往包含代码片段且文本长度分布不均,使用传统单一的主题模型对文本数据建模,易得到不稳定的聚类结果。文中提出了一种结合代码片段和混合主题模型的聚类方法,并使用Stack Overflow作为数据源,构造了在该平台上被提问数量排名前60的Python第三方库数据集,经过建模,该数据集最终划分为以下6个不同的领域:网络安全、数据分析、人工智能、文本处理、软件开发和系统终端。实验结果表明,在自动评估和人工评估的指标上,使用代码片段结合文本进行主题建模,在聚类结果划分的质量上表现良好,而联合多个模型进行实验,一定程度上提高了聚类结果的稳定性和准确性。 展开更多

关键词 代码片段 主题模型 stack overflow PYTHON 聚类

在线阅读 下载PDF 职称材料

基于问答语义匹配的知识社区新问题专家推荐方法 被引量：1

10

作者 杜军威 邹树林 +3 位作者 李浩杰 江峰 于旭 胡强 《电子学报》 EI CAS CSCD 北大核心 2023年第7期1875-1888,共14页

传统的知识社区专家推荐方法采用文本相似度匹配机理,并基于问题或专家描述来构建专家特征.这些方法没有利用问题与答案的语义匹配关系,因此难以充分挖掘专家回答问题的能力特征,影响推荐性能.提出一种基于综合历史和当前问答语义匹配... 传统的知识社区专家推荐方法采用文本相似度匹配机理,并基于问题或专家描述来构建专家特征.这些方法没有利用问题与答案的语义匹配关系,因此难以充分挖掘专家回答问题的能力特征,影响推荐性能.提出一种基于综合历史和当前问答语义匹配的知识社区新问题的专家推荐方法(History-Now Semantics Expert RECommendation model,HNS-EREC).首先,采用反馈评价和负采样技术来处理数据集中的两类不平衡现象;其次,基于问答语义来提取专家回答问题能力特征;最后,提出一种基于问答语义匹配的History-Now联合专家推荐模型,该模型能够实现面向专家的历史问答和当前问答的语义联合学习.实验结果表明,相对于其他方法,本文所提出的HNS-EREC方法在新问题专家推荐方面具有显著的优势. 展开更多

关键词 专家推荐 知识社区 不平衡学习 问答语义 stack overflow

在线阅读 下载PDF 职称材料

基于Word2Vec的编程领域词语拼写错误检测算法 被引量：4

11

作者 刘峻松 唐明靖 +1 位作者 薛岗 杨成荣 《计算机应用与软件》 北大核心 2022年第3期277-284,共8页

Stack Overflow是一个计算机编程领域的问答社区,其中的文本蕴含大量有价值的信息可供挖掘,但由于其本身存在大量的错误词汇,给文本的分析造成影响。对此,提出一种词语自动检测纠错算法,通过词向量的技术以语义相似度为核心,对错误词汇... Stack Overflow是一个计算机编程领域的问答社区,其中的文本蕴含大量有价值的信息可供挖掘,但由于其本身存在大量的错误词汇,给文本的分析造成影响。对此,提出一种词语自动检测纠错算法,通过词向量的技术以语义相似度为核心,对错误词汇进行分析,结合改进的编辑距离算法对文本进行自动检测纠错。实验结果表明,该算法能够对诸如此类专业性较强的领域主题文本进行自动检测纠错,并且能够较好地还原标准文段用词。 展开更多

关键词 词向量 编辑距离 拼写纠错 Word2Vec stack overflow

在线阅读 下载PDF 职称材料

CodeSearcher:基于自然语言功能描述的代码查询 被引量：1

12

作者 陆龙龙 陈统 +1 位作者 潘敏学 张天 《计算机科学》 CSCD 北大核心 2020年第9期1-9,共9页

在项目开发过程中,开发者需要为实现某一功能而编写代码;在不确定如何使用特定编程语言来实现当前待开发功能时,其往往会在文档或网络资源中进行代码查询。因此,代码查询的有效性会直接影响软件开发的效率。目前,已有相当数量的工具可... 在项目开发过程中,开发者需要为实现某一功能而编写代码;在不确定如何使用特定编程语言来实现当前待开发功能时,其往往会在文档或网络资源中进行代码查询。因此,代码查询的有效性会直接影响软件开发的效率。目前,已有相当数量的工具可以用来辅助开发者进行代码查询,但这些工具普遍存在输入形式复杂或者匹配精确度低等问题。文中提出的CodeSearcher是一种基于自然语言功能描述的代码查询方法。CodeSearcher将软件开发垂直领域的问答网站Stack OverFlow的问答记录转换为〈自然语言描述,代码片段〉数据对,使用神经网络模型将“自然语言描述”和“代码片段”映射到相同的向量空间并进行匹配,从而能够支持开发者使用待开发功能的自然语言描述来查询相应代码。CodeSearcher不同于一般的代码查询系统,一方面,它只需要代码本身而不依赖于代码的注释或说明,因此可以支持更多代码查询的场景;另一方面,它拓展了代码查询的流程,使其不再局限于一次性的查询反馈流程,而是在这中间加入了代码询答的流程,利用返回代码片段之间的差异性元素帮助开发者挑选目标代码,使得开发者不需要详细阅读所有返回的代码片段。实验结果表明,CodeSearcher相较于基准有着更好的效果。 展开更多

关键词 代码查询 自然语言处理 stack overflow

在线阅读 下载PDF 职称材料

缓冲区溢出攻击:原理,防御及检测 被引量：36

13

作者 蒋卫华 李伟华 杜君 《计算机工程》 CAS CSCD 北大核心 2003年第10期5-7,共3页

给出了缓冲区溢出的原理，分析了利用缓冲区溢出漏洞进行网络攻击的方法及其特征；从程序编写、程序检测、数据结构设计以及程序执行控制等多个角度对防止缓冲区溢出攻击进行了分析，提出了遏制利用缓冲区溢出漏洞进行攻击的一些方法。

关键词 缓冲区溢出 堆栈送出 黑客攻击 防御 缓冲区检测 缓冲区不可执行

在线阅读 下载PDF 职称材料

缓冲区溢出攻击的分析和一种防卫算法RAP 被引量：8

14

作者 刘武 杨路 +1 位作者 任萍 舒航 《计算机应用》 CSCD 北大核心 2003年第1期4-6,共3页

基于缓冲区溢出的攻击是一种常见的安全攻击手段,文中从编程的角度分析了缓冲区溢出攻击(BOFA)、攻击成功的条件及攻击分类,并分析了抵御BOFA的方法。最后给出了一个能有效抵御BOFA的软件RAP的工作原理和算法。

关键词 防卫算法 RAP算法 堆栈 缓冲区 入侵检测 缓冲区溢出攻击 网络信息安全 计算机网络

在线阅读 下载PDF 职称材料

基于双层信息流控制的云敏感数据安全增强 被引量：7

15

作者 吴泽智 陈性元 +1 位作者 杜学绘 杨智 《电子学报》 EI CAS CSCD 北大核心 2018年第9期2245-2250,共6页

已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和... 已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护. 展开更多

关键词 云数据安全 信息流控制模型 动态污点跟踪 虚拟机自省 栈溢出攻击

在线阅读 下载PDF 职称材料

基于VxWorks开发的问题定位及检测方法的研究和实现 被引量：4

16

作者 云霞 朱淼良 袁书宏 《计算机应用与软件》 CSCD 北大核心 2007年第1期51-53,共3页

在嵌入式实时软件开发过程中,由于开发者的经验和技术的限制,开发的软件经常会出现原因不明的死机或者复位,通常是由于堆栈溢出、内存泄漏、任务死循环、非法指针操作等原因导致了系统的崩溃。然而这些问题对于开发者而言,由于出现故障... 在嵌入式实时软件开发过程中,由于开发者的经验和技术的限制,开发的软件经常会出现原因不明的死机或者复位,通常是由于堆栈溢出、内存泄漏、任务死循环、非法指针操作等原因导致了系统的崩溃。然而这些问题对于开发者而言,由于出现故障后的现象不一,又很难复现,造成缺陷的定位异常困难。以VxW orks为例,总结了实际开发过程中遇到同类问题的一些思考,给出了若干嵌入式实时软件开发中问题检测定位的解决方法。 展开更多

关键词 VXWORKS RTOS 堆栈溢出 黑匣子 死循环检测 看门狗

在线阅读 下载PDF 职称材料

基于双栈的缓冲区溢出攻击的防御 被引量：3

17

作者 陈林博 江建慧 张丹青 《同济大学学报（自然科学版）》 EI CAS CSCD 北大核心 2012年第3期452-458,共7页

针对基于Intel 80X86结构的C/C++栈缓冲区溢出攻击的典型防御方法的不足,提出了一种基于双栈结构的缓冲区溢出漏洞的防御方法,设计并实现了一个ELF格式目标文件重构工具.实验结果表明,所提出的方法和开发的工具能在较低的性能开销下实... 针对基于Intel 80X86结构的C/C++栈缓冲区溢出攻击的典型防御方法的不足,提出了一种基于双栈结构的缓冲区溢出漏洞的防御方法,设计并实现了一个ELF格式目标文件重构工具.实验结果表明,所提出的方法和开发的工具能在较低的性能开销下实现栈缓冲区溢出攻击的防御. 展开更多

关键词 软件漏洞 栈缓冲区溢出攻击 栈缓冲区溢出攻击防御 双栈

在线阅读 下载PDF 职称材料

XenRPC:安全的虚拟机远程过程调用设计与实现 被引量：2

18

作者 陈浩 彭萃芬 +1 位作者 孙建华 石林 《计算机研究与发展》 EI CSCD 北大核心 2012年第5期996-1004,共9页

虚拟机环境下进行通信的操作系统实际处于同一物理机器上,而当前的远程过程调用机制没有考虑虚拟机这个环境.针对这一问题,在Xen虚拟环境下设计并实现了虚拟机远程过程调用系统XenRPC.XenRPC利用XenAccess提供的接口和Xen提供的事件通... 虚拟机环境下进行通信的操作系统实际处于同一物理机器上,而当前的远程过程调用机制没有考虑虚拟机这个环境.针对这一问题,在Xen虚拟环境下设计并实现了虚拟机远程过程调用系统XenRPC.XenRPC利用XenAccess提供的接口和Xen提供的事件通道机制,采用域间共享内存的方式进行远程过程调用,避免了数据包发送时的编组操作,触发即时的上下文切换,并通过事件通道在域间进行事件的异步通知,因此较大提升了通信性能.另外,XenRPC为了避免栈溢出攻击,加强对共享内存的保护,检查共享栈的返回地址,若其返回地址被恶意程序修改,则对返回地址进行恢复,使用户免于栈溢出的攻击.实验结果表明,XenRPC在吞吐率、传输延时和CPU开销等方面的性能都优于SunRPC,Ice两种典型远程过程调用机制的性能. 展开更多

关键词 XEN XenRPC 远程过程调用 共享内存 栈溢出

在线阅读 下载PDF 职称材料

基于Return-Oriented Programming的程序攻击与防护 被引量：6

19

作者 黄志军 郑滔 《计算机科学》 CSCD 北大核心 2012年第B06期1-5,23,共6页

随着W⊕X等技术的引入,传统的代码注入攻击几乎被消除,return-to-lib攻击受到很大程度的抑制。在此背景下,Hovav Shacham提出了Return-Oriented Programming(ROP)的思想,该思想基于栈溢出的原理,通过使用程序库中有效的以ret指令结尾的... 随着W⊕X等技术的引入,传统的代码注入攻击几乎被消除,return-to-lib攻击受到很大程度的抑制。在此背景下,Hovav Shacham提出了Return-Oriented Programming(ROP)的思想,该思想基于栈溢出的原理,通过使用程序库中有效的以ret指令结尾的短指令序列构建gadget集合,使之具有图灵完备特性,来完成计算和攻击。讲述ROP思想自提出以来的一些研究成果和其实际的攻击能力,阐述ROP自动化的当前成果与未来可能的发展方向,进而分析和预测ROP自动化的下一步的研究方向。同时,也将从ROP的几个特征分析消除这种攻击的策略和方法,并介绍目前已有的防护思想和成果,论述这些方法的优缺点和改进方向。综合阐述ROP攻击与ROP防护这一矛与盾的问题,力争使读者理解ROP的思想,知悉当前的发展状态,并在此基础上能够进一步推进ROP攻击及其防范的研究。 展开更多

关键词 ROP 程序自动化 地址随机化 栈溢出 程序控制流 程序安全

在线阅读 下载PDF 职称材料

单字节栈溢出的分析 被引量：3

20

作者 刘渊 谢家俊 +2 位作者 张春瑞 严可 滕斌 《计算机工程与设计》 北大核心 2015年第12期3178-3182,共5页

针对单字节栈溢的分析效率低下且经验难以复用的情况,提出一种黑盒分析方法。根据畸形EBP特征,确定异常由单字节栈溢出导致;不断对异常样本进行变异并收集运行信息,直至获得更利于异常分析与漏洞利用的样本;对该样本简单修改,可实现软... 针对单字节栈溢的分析效率低下且经验难以复用的情况,提出一种黑盒分析方法。根据畸形EBP特征,确定异常由单字节栈溢出导致;不断对异常样本进行变异并收集运行信息,直至获得更利于异常分析与漏洞利用的样本;对该样本简单修改,可实现软件漏洞的利用。该方法具有易实施、无需深入分析程序内部逻辑、自动化程度高的特点,能有效提高异常分析的效率,在程序及真实漏洞案例上的实验验证了该方法的有效性。 展开更多

关键词 缓冲区溢出 单字节栈溢出 异常分析 漏洞利用 黑盒测试

在线阅读 下载PDF 职称材料