基于隐式模式的输入验证漏洞挖掘技术研究

Research on the Mining Technology of Input Verification Vulnerability Based on Implicit Model

下载PDF

导出

摘要输入验证漏洞可能是由于程序完整性影响控制流或者数据流输入数据进行验证或处理不当导致漏洞出现。针对Android应用输入验证漏洞提出基于源代码分析静态挖掘方案,使用后向程序切片算法在控制流图上提取事务切片和约束切片,通过频繁模式挖掘获得切片级隐式安全规范,验证规范并将违规现象报告为可疑漏洞,根据收集的路径约束条件推断输入取值范围,自动化生成测试用例并在虚拟机上半自动的验证漏洞报告。实现了原型系统,从源代码中有效地提取出隐式安全规范并挖掘漏洞,通过自动化验证显著降低误报率。 Input validation vulnerabilities may result in vulnerabilities due to procedural integrity affecting control flow or data flow data validation or improper handling.In this paper, a static mining scheme based on source code analysis is proposed for the Android application input verification vulnerability. The transaction slice and constraint slice are extracted from the control flow graph using the back program slicing algorithm.Through the frequent pattern mining, we obtain sectioning level implicit security speeification,verify the specification and report the violation phenomenon as a suspicious vulnerability.Inferring the input range based on the collected path eonstraints, automatically generating test cases and verifying the vulnerability reports on the virtual machine automatieally.A prototype system is implemented to extract implicit security rules from source code and mine vulnerabilities, which significantly reduces false positive rate through automated verification.

作者侯枫赵倩 HOU Feng(SanmenxiaPolytechnic,Sanmenxia 472000,China)

机构地区三门峡职业技术学院信息传媒学院

出处《三门峡职业技术学院学报》 2018年第3期121-126,共6页 Journal of Sanmenxia Polytechnic

关键词隐式输入验证漏洞静态分析程序切片 Implicit Input validation vulnerability Static analysis Program slicing

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献4

1杨广亮,龚晓锐,姚刚,韩心慧.一个面向Android的隐私泄露检测系统[J].计算机工程,2012,38(23):1-6. 被引量：25
2方喆君,刘奇旭,张玉清.Android应用软件功能泄露漏洞挖掘工具的设计与实现[J].中国科学院大学学报（中英文）,2015,32(1):127-135. 被引量：8
3曹鹤玲,姜淑娟,鞠小林,王兴亚.基于动态切片和关联分析的错误定位方法[J].计算机学报,2015,38(11):2188-2202. 被引量：10
4汤俊伟,刘家帧,李瑞轩,李伟明.Android应用软件漏洞静态挖掘技术[J].华中科技大学学报（自然科学版）,2016,44(S1):20-24. 被引量：17

二级参考文献71

1Hornyack P,Han S,Jung J,et al.These Aren’t the Droids You’reLooking for:Retrofitting Android to Protect Data from ImperiousApplications[C]//Proc.of CCS’11.Chicago,USA:[s.n.],2011.
2Enck W,Gilbert P,Chun B,et al.TaintDroid:An Informa-tion-flow Tracking System for Realtime Privacy Monitoring onSmartphones[C]//Proc.of OSDI’10.Vancouver,Canada:[s.n.],2010.
3Beresford A R,Rice A,Skehin N,et al.MockDroid:TradingPrivacy for Application Functionality on Smartphones[C]//Proc.ofthe 12th Workshop on Mobile Computing Systems and Appli-cations.Phoenix,USA:[s.n.],2011.
4Enck W,Octeau D,McDaniel P,et al.A Study of AndroidApplication Security[C]//Proc.of the 20th USENIX SecuritySymposium.San Francisco,USA:[s.n.],2011.
5Goldberg I,Wagner D,Thomas R,et al.A Secure Environment forUntrusted Helper Applications(Confining the Wily Hacker)[C]//Proc.of the 6th USENIX UNIX Security Symposium.San Jose,California,USA:[s.n.],1996.
6Sabelfeld A,Myers A C.Language-based Information-flow Secu-rity[J].IEEE Journal on Selected Areas in Communications,2003,21(1):5-19.
7Ligatti J,Bauer L,Walker D.Edit Automata:Enforcement Me-chanisms for Run-time Security Policies[J].International Journalof Information Security,2005,4(1-2):2-16.
8Wang Tielei,Wei Tao,Gu Guofei,et al.TaintScope:A Checksum-aware Directed Fuzzing Tool for Automatic Software VulnerabilityDetection[C]//Proc.of the 31st IEEE Symposium on Security&Privacy.Berkeley,USA:[s.n.],2010.
9Enck W.Defending Users Against Smartphone Apps:Techniquesand Future Directions[C]//Proc.of ICISS’11.Kolkata,India:[s.n.],2011.
10Gilbert P,Chun B,Cox L P,et al.Vision:Automated SecurityValidation of Mobile Apps at App Markets[C]//Proc.of MCS’11.Washington D.C.,USA:[s.n.],2011.

共引文献55

1张登和.冶炼废渣开发利用前景探讨[J].江苏地质,2000,24(1):55-58. 被引量：8
2张一,施勇,薛质.Android中权限提升漏洞的动态防御技术[J].信息安全与通信保密,2013,11(11):71-74. 被引量：3
3黄夷芯,胡爱群.基于边界检测的移动智能终端隐私泄露检测方法[J].信息网络安全,2014(1):21-24. 被引量：3
4高岳,胡爱群.基于权限分析的Android隐私数据泄露动态检测方法[J].信息网络安全,2014(2):27-31. 被引量：13
5吴泽智,陈性元,杨智,杜学绘.安卓隐私安全研究进展[J].计算机应用研究,2014,31(8):2241-2247. 被引量：6
6姚蕾.移动互联网安全现状研究[J].消费电子,2014(16):107-107. 被引量：1
7傅镜艺,马兆丰,黄勤龙,杨义先.基于Android的移动终端安全管理系统[J].计算机工程,2014,40(11):77-82. 被引量：7
8黄俊强,于洪君.一种基于Android应用程序的隐私权限合理性检测模型[J].信息安全与通信保密,2015,13(7):70-73.
9李忠慧.智能手机在普适计算中的作用及安全研究[J].计算机时代,2015(8):20-22.
10张玉清,方喆君,王凯,王志强,乐洪舟,刘奇旭,何远,李晓琦,杨刚.Android安全漏洞挖掘技术综述[J].计算机研究与发展,2015,52(10):2167-2177. 被引量：23

1林伟.电信网络新型违法犯罪侦防对策探讨[J].福建警察学院学报,2018,32(1):39-46.
2李琳.从源代码鉴别公链质量[J].信息化建设,2018,0(7):42-43.
3邹科,江建国,徐月,张新钢.基于Alloy的两个群定义的等价性验证[J].应用数学进展,2017,6(9):1050-1055.
4九月重要漏洞实例[J].中国信息安全,2010,0(10):8-9.
5李鑫,张维纬,郑力新.动静结合的二阶SQL注入漏洞检测技术[J].华侨大学学报（自然科学版）,2018,39(4):600-605. 被引量：2
6池凯凯,祝驿楠,邵奇可.射频供能传感网能量源移动路径约束下时延最小化供电方案[J].电子与信息学报,2018,40(9):2064-2071. 被引量：2
7国家铁路局发布两批铁道行业技术标准[J].中国物流与采购,2018,0(11):13-13.
8齐蕾蕾,杨庆红,游颖.算法的形式化推导与基于Isabelle的自动化验证[J].江西师范大学学报（自然科学版）,2018,42(4):379-383. 被引量：2
9徐万佶,曾庆.基于R语言rpart包与party包的分类树建模研究[J].科技资讯,2018,16(11):20-22. 被引量：1
10国家铁路局发布两批铁道行业技术标准[J].中国物流与采购,2018,0(12):14-14.

三门峡职业技术学院学报

2018年第3期

浏览历史

内容加载中请稍等...

基于隐式模式的输入验证漏洞挖掘技术研究

参考文献4

二级参考文献71

共引文献55

相关作者

相关机构

相关主题

浏览历史