买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:中国人民解放军国防科技大学
摘要:本申请涉及一种基于值流状态机的源代码漏洞检测方法、装置及设备,通过对表示格式为源代码的待检测程序进行预处理得到对应的中间代码,在中间代码中确定外部数据引入点,并根据中间代码构建得到静态值流图,基于静态值流图,将外部数据引入点作为数据源点,采用直流状态机根据值流图节点类型以及状态更新规则确定引用数据源点的所有值流图节点的状态值,将状态值符合预设值的值流图节点中的指针确定为潜在危险指针访问点,并对潜在危险指针访问点进行筛选,得到最终的危险指针访问点,最后根据危险指针访问点对所述待检测程序进行动态插桩,以实现对待检测程序中任意地址指针解引用漏洞的检测。采用本方法可有效对软件中存在的任意地址指针解引用漏洞进行检测。
主权项:1.一种基于值流状态机的源代码漏洞检测方法,其特征在于,所述方法包括:获取表示格式为源代码的待检测程序,对所述待检测程序进行预处理得到对应的中间代码;在所述中间代码中确定外部数据引入点,并根据所述中间代码构建得到静态值流图;基于所述静态值流图,将所述外部数据引入点作为数据源点,采用直流状态机根据值流图节点类型以及状态更新规则确定引用所述数据源点的所有值流图节点的状态值,将所述状态值符合预设值的值流图节点中的指针确定为潜在危险指针访问点;对所述潜在危险指针访问点进行筛选,得到最终的危险指针访问点;根据所述危险指针访问点对所述待检测程序进行动态插桩,以实现对所述待检测程序中任意地址指针解引用漏洞的检测。
全文数据:
权利要求:
百度查询: 中国人民解放军国防科技大学 基于值流状态机的源代码漏洞检测方法、装置及设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。