静态分析技术在代码质量管理中的应用

现有的代码质量管理检测方式,难以辨别源代码中的漏洞,因此需研究静态分析技术在代码质量管理中的应用。静态分析技术根据检测规则,解析代码语法;根据评价规则,检测代码相似度;依据证据理论合成规则,确定代码冲突系数;采用SonarQube质量分析工具,实现对代码质量的多级别自动检测。应用测试:共构造三类存在问题的代码,应用静态分析技术检测代码质量,其检测结果与人工检测结果非常接近,可见静态分析技术可以检测类型更多的代码漏洞,为代码质量管理提供更贴合实际的检测结果。

基于函数调用指令特征分析的固件指令集架构识别方法

不同的固件常采用不同的指令集架构,固件指令集架构的识别是对嵌入式固件进行逆向分析和漏洞挖掘的基础。现有研究和相关工具在针对特定类型的嵌入式设备固件指令集架构识别时存在识别正确率低、误报率高的情况。针对上述问题,提出了一种基于函数调用指令特征分析的固件指令集架构识别方法,通过同时利用指令中操作码和操作数所包含的信息识别目标固件中的函数调用指令,将其作为关键特征实现对不同指令集架构的分类,并基于该方法开发了原型系统EDFIR(Embedded Device Firmware Instruction set Recognizer)。实验结果表明,相比IDAPro,Ghidra,Radare2,Binwalk以及ISAdetect这些当前应用最广泛和最新的工作,该方法具有更高的识别正确率、更低的误报率并具备更强的抗干扰能力,其对1000个真实设备固件的识别正确率高达97.9%,比目前识别效果最好的ISAdetect提升了42.5%。此外,相关实验还证明,即使将分析规模缩小至完整固件的1/50,所提方法仍能保持95.31%的识别正确率,具有良好的识别性能。

内存泄漏故障静态分析研究

目前研究人员主要采用静态测试技术实施对内存泄漏故障的检测,其基本思想就是依据待测程序的控制流图来设计特定的算法以检测内存泄漏问题,但这些方法的不足之处主要是控制流图的表示方式上未含有进一步可用信息,因此所设计的算法不能很好地执行该故障的检测任务。为此,定义了一种用于内存泄漏故障检测的控制流图,提出控制流图可达路径生成算法,然后根据生成的路径进行内存泄漏故障的检测与分析。实验证实,该方法取得了理想的效果。

静态代码缺陷定位技术研究

随着计算机技术的飞速发展,软件安全缺陷也日益严重,软件测试也变得越来越重要。静态测试属于软件测试范畴,笔者对静态代码缺陷定位进行研究,并对几种静态代码静态分析工具进行了测试流程指导及实验分析,同时提出了一种综合的静态代码缺陷定位技术改进方案并进行了实验对比分析,证明能够降低测试的误报率和漏报率。

漏洞挖掘技术分析与研究

目前,漏洞挖掘技术在信息安全领域中日趋重要。文章从漏洞的概念出发,对漏洞挖掘的含义、作用以及主要技术进行了分析与探讨,并总结了漏洞挖掘技术未来的发展方向。

恶意代码的分析技术

本文讨论了基于代码特征的分析方法、基于代码语义的分析方法。

物联网设备漏洞检测技术研究

当前,物联网(Internet of Things,IoT)设备存有大量安全漏洞,且难以通过通用漏洞挖掘技术检测系统漏洞。为探讨物联网设备漏洞检测技术,基于物联网设备挖掘技术面临的困难,从静态分析技术入手,总结静态分析技术流程,详细探讨具体检测步骤,有效完善了静态分析技术在物联网设备漏洞检测中的应用。

多策略软件代码缺陷检测方法研究

随着计算机软件技术的快速发展,由软件代码缺陷引起的安全问题也日趋严重。通过对静态分析技术以及静态检测工具的深入研究,针对当前静态检测工具误报率、漏报率较高的问题,提出一个多策略的软件代码缺陷检测方法。该方法平台一方面综合运用多种静态检测工具进行检测,对比单个检测工具降低误报率,扩大检测覆盖率;另一方面,对确定性不高的静态检测结果进一步进行动态检测,不但降低静态检测的误报率,而且还能发现静态检测技术检测不到的缺陷,降低漏报率。实验结果证明,多策略检测方法是一个有效的软件漏洞检测方法。

移动应用人工智能模型安全风险研究

随着深度学习技术的广泛运用,移动应用越来越多地开始使用Tensorflow等深度学习框架实现智能推理功能。然而支撑这些功能的人工智能模型面临着大量安全风险。本文调研了Tensorflow框架在移动应用中的使用现状,并提出了一种移动应用程序人工智能模型安全分析方法,能够自动提取及分析模型文件、识别加密模型。同时,通过模型窃取、模型逆向、模型替代和参数篡改等方法,对移动应用程序中的人工智能模型安全性进行了分析。