漏洞相关技术研究与漏洞数据库的设计
作者单位:电子科技大学
学位级别:硕士
导师姓名:程伟
授予年度:2010年
学科分类:0839[工学-网络空间安全] 08[工学]
摘 要:随着计算机网络技术的迅速发展,信息共享和安全问题日益深入我们的平常生活,人们越来越认识到安全问题的重要性。而一谈到安全问题就避免不了要说到漏洞,就是因为系统和软件中存在着大量的漏洞,才让那些不法分子有了可趁之机,利用漏洞来完成他们想要做的一些事情,给计算机网络和人们带来很大的不便乃至毁灭性的破坏。因此,对软件漏洞的分析和研究,在计算机领域与信息安全领域都有着非常重要的理论和使用价值。 本文首先介绍了国内外漏洞理论的研究现状,以及漏洞数据库的相关信息。讨论了漏洞的相关概念、定义和分类,分析了漏洞产生的原因和漏洞的本质,并分析比较和总结了目前在漏洞发掘中比较常用的方法。任何一种漏洞挖掘方法都有其优点和缺点,现在的漏洞挖掘方案都是结合各种漏洞挖掘方法的优点,对软件进行比较全面的漏洞分析。 本文在研究漏洞挖掘方法的基础上提出了一种挖掘漏洞的一般通用流程及框架和一个基于数据流分析的漏洞检测方法,该流程结构有机地把静态检测方法和动态检测方法结合起来,实现对软件漏洞进行比较全面和彻底的检测。 漏洞数据库一直是漏洞检测和发掘的重要组成部分,一个漏洞数据库的成熟和完备程度在很大程度上决定了的漏洞检测方法的范围和可检测到的漏洞。我国在漏洞数据库方面起步晚,基础低,因此到现在都还没有形成自己比较完善的漏洞数据库系统。虽然有一些企业建立了自己的漏洞数据库,但是并没有被广泛使用和推广,因此在这方面的研究也比较难。本文在分析目前国外主流的三大漏洞数据库系统,并主要参照国际CVE漏洞库的标准,提出一个漏洞数据库的框架模式,为在漏洞数据库方面的研究提供一些参考。当然这种框架模式也很不完善,还需要在以后工作中不断完善。 最后,本文对软件漏洞分析的现有技术和发展方向进行了总结和展望,本文漏洞数据库的设计和漏洞检测整体框架虽然还不完善,但还是会给以后的工作提供一定的参考价值。
同方学位论文库