龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:中国人民解放军战略支援部队信息工程大学
摘要:本发明提供一种基于污点汇聚点约束分析的污点型漏洞发现方法及系统。该方法首先通过字符串匹配识别污点关键词,并通过参数解析函数和隐式关键词识别发现更多污点关键词;对后端二进制文件进行sink点识别和参数分析,并通过回溯分析分析参数来评估sink点的风险性。然后,采用双标签标记策略对污点数据进行标记,并生成从关键词到风险sink点的路径,同时收集全局静态分析中的约束关系。最后,利用符号执行进行污点传播和检查,以发现嵌入式固件中的污点型漏洞。本发明可以降低漏洞发现的误报率和漏报率,并且能够在更短的时间内发现更多的污点型漏洞。
主权项:1.一种基于污点汇聚点约束分析的污点型漏洞发现方法,其特征在于,包括:步骤1:对待分析的嵌入式固件进行解包,得到前端文件和后端二进制文件;步骤2:对前端文件和后端二进制文件进行字符串匹配以识别出第一类污点关键词;步骤3:在后端二进制文件中识别出对所述第一类污点关键词具有相同访问模式的函数,记作参数解析函数;步骤4:对后端二进制文件中的函数进行遍历分析,以便根据参数解析函数的调用关系提取出第二类污点关键词;步骤5:识别后端二进制文件中的污点sink点及污点sink点的输入;步骤6:使用回溯分析对污点sink点的输入的属性进行分析,根据属性分析结果确定对应的污点sink点是否为风险sink点;步骤7:使用不同的标签对污点关键词和传播中的污点进行标记,并生成从污点关键词到风险sink点的路径,以及收集污点sink点的目的地址空间的约束关系;步骤8:针对生成的每一条路径,利用符号执行进行污点传播、标签检查和约束关系检查,以发现待分析的嵌入式固件中的污点型漏洞。
全文数据:
权利要求:
百度查询: 中国人民解放军战略支援部队信息工程大学 基于污点汇聚点约束分析的污点型漏洞发现方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号