程序缺陷分析与安全保护技术研究

程序安全是信息安全研究的一个重要方向,主要研究程序缺陷分析和安全保护技术等。介绍程序缺陷分析研究及其分类方法,然后将程序安全保护研究分为三类主要途径进行重点阐述和分析,最后讨论程序安全研究的发展趋势。

维普资讯

第2 4卷第 1期 20 07年， 1月

计算机应用与软件C mp trAp l a in n o t a e o ue p i t s a d S f r c o w

Vo . 4, . 12 No 1

Jn 2 0 a .0 7

程序缺陷分析与安全保护技术研究-

●:

-

蒋剑琴宏曾 罗 庆凯(大计机学技系计机件技国重要宣江京2 0 南京学算科与术，算软新术家点验苏南 1 9) 03摘要程序安全是信息安全研究的一个重要方向，主要研究程序缺陷分析和安全保护技术等。介绍程序缺陷分析研究及其分

类方法，然后将程序安全保护研究分为三类主要途径进行重点阐述和分析，后讨论程序安全研究的发展趋势。最 关键词程序安全程序缺陷分析程序安全保护

R E ES ARC O P H N ROGR AM L E AB L T SAN Y I ND VU N R I I m AL S S A

P ROGR AM EC RI' R E T ON T C S U . P OT C I E HNOL I Y OGI S EJ n a qn L oH n Z n i ki i gJ n i u o g e gQ n a a i g( t e e br o fr o l o w r T ho g。 ea m n o o p t c n n e n l y, U i rt,, J n s 2 0 9, h a S t Ky a o t y o N v , a e nl y D pr etfC m u r i c ad T h o,咖 n e i 咖 i g 10 3 C i ) a L ar eS e c o t eSe e co g v sy a u n

Ab ta t sr c

Po rm e ui rd al e o n nat ef l nifr t n sc rytc n lg .t il cu e rga un rbl rga sc r yi ga u l b c miga ci edi omai e ui e h ooy I manyi ld spo m v lea i - t s y v i n o t n r i

t sa ay i a d p ga sc r ypoet ntc n lge.n ti a e,e e trsac e n po rm e ui r u i n ss n rr m e ui rtci e h oo is I hsp p rrc n ee rh so rg a sc rt ae s mmai d T ed v lp e l o t o y r e . h eeo -

zme ta drltdtc n lge,s e i l h h e i p ra h st rga e ui rtcin,r y teial e iw d i eal I h n n eae e h oo is e p ca ytetre man ap oc e opo m s crt poet l r y o aesnh t l yrve e nd ti nte c .

e d. sac i cin nti ae l s ic se . n r e rh dr t si s raaea odsu sd e e o h lKe wo d y rs Po a s c r y Po rm un rblisa ay i Po a sc ryp oet n rg m eu i rga v lea it n lss rg m e u i rtci r t ie r t o

1引言 面对日益增加的攻击和安全事件，程序安全性研究已受到

陷的本质，是了解缺陷的基础；程序缺陷建模则是从建模的角度描述安全缺陷的行为，有助于人们制定或选择更好的应对策略，有针对性地解决问题。

2 1程序缺陷分类 .程序缺陷分类研究从七十年代开始，已出现十余种分类方法。根据分类的标准是否单一，可将其分为一维分类和多维分类。分类应该满足三个特征：)互斥性，个缺陷只能存在于 1一一

诸多学者的关注，成为研究热点。程序安全或软件安全，与软件工程、程序语言和安全工程的发展密切相关，目标是通过在软其

件中指定和执行策略来增强系统安全性，使软件本身能抵抗攻击 J序安全研究的重点包括两方面：。程程序缺陷分析和程序安全保护。前者主要是对程序安全缺陷进行分析，通过对安全

个类别中；) 2完备性，所有的缺陷都必须存在于某个类别中；

问题进行建模、分析和分类，帮助人们理解安全缺陷的内在原因

3 )明确性，的结果不依赖于分类器。由于分类标准带有主分类

和本质，以指定和选择更适合的安全策略来有针对性地解决问 题；后者研究程序及相关数据在运行、存储等过程中保持其机密性、完整性和可用性等安全属性的方法和技术，重点是从程序编

观性，或者分类范围的局限(常常针对部分操作系统的部分已知缺陷 )还没有一个分类能同时满足这三个特征。为简便起，见，本文用项目或作者名字标记相应分类法。名2 1 1一雏分类、 . .

写、编译及运行过程中

消除程序中的安全缺陷，防止安全缺陷被攻击。

P A分类法…最早的安全缺陷分类法之一。针对六个操作系统上的 10个缺陷，为不恰当的保护、 0分不恰当的验证、不

2程序缺陷分析程序安全缺陷指有意或无意地引入程序中，可能导致系统

恰当的同步以及操作数或操作的不恰当选择等四类。该分类法

引入了 T C I U等缺陷， O T' O但粒度很大，标准不够精确，使得一种缺陷能分人多个类别中不满足互斥性。

违背其安全需求的不正确行为的程序和数据。它可能导致未经 Al s m分类法针对 U i操作系统中的缺陷， a n x从软件生授权的访问数据、修改和破坏数据、拒绝服务等程序安全问题。命周期的角度将其分为在软件开发过程中引入的编码缺陷和软 为了保证计算机系统免受恶意攻击，先要对扰乱安全机制的首

程序缺陷和错误的特征进行分析和理解。程序缺陷的分类和建模从两条不同途径分析程序缺陷：程序缺陷分类从统计的角度出发将有共性的缺陷进行归类，区分不同缺陷，辅助人们理解缺

收稿日： 0一 l 1期 2 5一一3。本文研究工作得到国家自然科学摹金 0 O (0703、 6435 )国家 83划(0 A 400资助。蒋剑琴， 6计 21 MA I77 )硕士生，主研领域；信息安全。

本文来源：https://www.bwwdw.com/article/cmfq.html