-
题名字符串分析研究进展
被引量:2
- 1
-
-
作者
梅宏
王啸吟
张路
-
机构
高可信软件技术教育部重点实验室(北京大学)
北京大学信息科学技术学院软件工程研究所
-
出处
《软件学报》
EI
CSCD
北大核心
2013年第1期37-49,共13页
-
基金
国家重点基础研究发展计划(973)(2009CB320703)
国家自然科学基金(60931160444
+1 种基金
91118004
61225007)
-
文摘
随着软件应用范围的不断扩大,尤其是数据库软件和Web软件的广泛应用,字符串变量在软件程序中扮演的角色日益重要.与此同时,针对字符串变量的程序分析技术——字符串分析,也取得了长足的发展,并在软件工程中的很多领域中得到了成功的应用.字符串分析的基本应用模式是首先使用字符串值分析获得字符串变量的所有可能取值,然后使用字符串约束求解判断这些变量的取值是否满足一定约束,从而对程序进行正确性验证.为了使得字符串分析能够应用在安全分析和软件维护应用中,研究人员对字符串分析进行了扩展,进一步分析字符串变量的数据来源.综述了字符串分析技术的研究进展,提出了字符串分析的问题构型,介绍了这一领域现在的主要研究内容:字符串值分析、字符串约束求解、字符串数据来源分析以及字符串分析在软件工程中的应用.
-
关键词
程序分析
字符串分析
约束求解
-
Keywords
program analysis
string analysis
constraint solving
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于静态分析的高精度程序日志解析技术
被引量:1
- 2
-
-
作者
范惊
章程
-
机构
上海交通大学软件学院
-
出处
《计算机工程》
CAS
CSCD
2013年第10期68-71,75,共5页
-
基金
国家自然科学基金资助面上项目(60970009)
国家自然科学基金资助重点项目(91118004)
-
文摘
针对现有的程序日志解析技术准确率较低的问题,提出一种新的日志解析技术。该技术结合过程间和过程内程序分析,在程序的抽象语法树上进行过程间的方法调用分析,同时利用Java字符串分析技术进行过程内的数据流分析,将两者结合为程序源代码中的日志点构造自动机,并以自动机来匹配程序日志。实验结果表明,与现有的日志解析技术相比,该方法能够明显提高日志解析的精度。
-
关键词
控制台日志
日志解析
静态分析
抽象语法树
字符串分析
自动机
-
Keywords
console log
log parsing
static analysis
abstract syntax tree
string analysis
automaton
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名改进的Web注入型脆弱性检测方法
- 3
-
-
作者
吕庆伟
曾庆凯
-
机构
南京大学计算机软件新技术国家重点实验室
南京大学计算机科学与技术系
-
出处
《计算机工程与设计》
CSCD
北大核心
2013年第12期4137-4141,共5页
-
基金
国家自然科学基金项目(61170070)
国家科技支撑计划基金项目(2012BAK26B01)
国家863高技术研究发展计划基金项目(2011AA1A202)
-
文摘
针对现有Web注入型脆弱性检测方案大多只关注过滤型验证而忽略检查型验证这一不足,提出污染驱动的切片方法。以污点分析指导具体的程序切片过程,能够完整地提取程序中的两种验证操作;借助分步的、攻击者视角的字符串分析对验证操作的验证能力进行评价分析,以更准确的检测web注入型脆弱性。实现了一个原型系统Valer,实验结果表明该方法有效降低了分析中的误报率,具有实用价值。
-
关键词
web注入型脆弱性
输入验证
污染驱动的切片
攻击者视角
字符串分析
-
Keywords
web injection vulnerabilities
input validations
taint-driven slicing
attacker's view
string analysis
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
