● 摘要
随着计算机技术的不断发展和计算机系统的广泛应用,软件安全性也得到了越来越多的重视。在现实的软件开发过程中,大量的时间用于发现和消除软件中的错误。如何有效的检测软件中可能存在的安全漏洞已成为系统安全关注的焦点。其中,静态分析因其不需要运行被检测程序的独特的优势,在软件测试技术中被大量应用。静态分析通过对程序代码进行分析,获得程序结构的相关信息,从而完成对软件漏洞的检测。本论文基于有限状态机理论,结合静态分析中的规则检查和模型检查技术,设计并实现了一种面向静态分析的规约语言——SPECL。本论文详细阐述了SPECL设计思想,提出了一种独立于程序语言的半解析模式匹配方式,对SPECL的语法进行了细致描述,详细的分析了SPECL的语义,并给出了具体的SPECL描述的安全性质的实例。本文基于ANTLR语言分析工具,实现了对SPECL描述的程序规则文件进行解析的SPECL语言解析器,设计并实现了基于抽象语法树的模式匹配算法,以及支持路径敏感的有限状态机的维护算法。本文以C程序为检测对象,实现了静态分析工具AXEC中的SPECL语言解析器和规则检查器,完成了对Linux内核代码的安全漏洞检测。同时,本文还实现了一个可视化的规则管理系统,用于编辑、自动生成规则模式,并建立了规则模式库。
相关内容
相关标签