基于模糊测试的Java反序列化漏洞挖掘

1

作者 王鹃 张勃显 +3 位作者 张志杰 谢海宁 付金涛 王洋 《信息网络安全》 北大核心 2025年第1期1-12,共12页

随着反序列化技术在Java Web应用开发中的广泛应用,针对Java反序列化机制的攻击也日益增多,已严重威胁Java Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反序列化漏洞利用,而现有的Java反序列化漏洞挖掘工具大多依赖... 随着反序列化技术在Java Web应用开发中的广泛应用,针对Java反序列化机制的攻击也日益增多,已严重威胁Java Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反序列化漏洞利用,而现有的Java反序列化漏洞挖掘工具大多依赖静态分析方法,检测精确度较低。文章提出一种基于模糊测试的Java反序列化漏洞挖掘工具DSM-Fuzz,该工具首先通过对字节码进行双向追踪污点分析,提取所有可能与反序列化相关的函数调用链。然后,利用基于TrustRank算法的函数权值分配策略,评估函数与反序列化调用链的关联性,并根据相关性权值对模糊测试种子分配能量。为进一步优化测试用例的语法结构和语义特征,文章设计并实现了一种基于反序列化特征的种子变异算法。该算法利用反序列化的Java对象内部特征优化种子变异过程,并引导模糊测试策略对反序列化漏洞调用链进行路径突破。实验结果表明,DSM-Fuzz在漏洞相关代码覆盖量方面较其他工具提高了约90%。此外,该工具还在多个主流Java库中成功检测出50%的已知反序列化漏洞,检测精确度显著优于其他漏洞检测工具。因此,DSM-Fuzz可有效辅助Java反序列化漏洞的检测和防护。 展开更多

关键词 Java反序列化漏洞 模糊测试 污点分析 漏洞挖掘 程序调用图

在线阅读 下载PDF 职称材料

MPP　FORTRAN程序中外部过程调用的多版本技术 被引量：2

2

作者 郭克榕 唐新春 《计算机工程与设计》 CSCD 北大核心 1996年第6期49-54,共6页

在设计ＭｐｐＦｏｒｔｒａｎ并行程序时，若外部过程调用的版本选择不当或哑、实参数的共享、私有类型不匹配，则可能导致程序出错或性能下降。

关键词 并行处理 程序设计 FORTRAN语言

在线阅读 下载PDF 职称材料

基于动态调用图的Java程序修改影响分析技术 被引量：6

3

作者 刘震 缪力 《湖南师范大学自然科学学报》 CAS 北大核心 2011年第6期26-30,共5页

现有的影响分析算法大都基于程序的静态分析技术,分析方法比较复杂且精度不高.针对静态分析存在的问题,提出采用动态分析技术构造Java程序的动态调用图,基于动态调用图,采用k-类方法后向切片计算修改影响集合.实验表明该方法简便易行,... 现有的影响分析算法大都基于程序的静态分析技术,分析方法比较复杂且精度不高.针对静态分析存在的问题,提出采用动态分析技术构造Java程序的动态调用图,基于动态调用图,采用k-类方法后向切片计算修改影响集合.实验表明该方法简便易行,分析精度高,便于修改影响分析技术在大型Java程序测试中的实际运用. 展开更多

关键词 影响分析算法 动态调用图 JAVA程序

在线阅读 下载PDF 职称材料

基于简化控制流监控的程序入侵检测 被引量：5

4

作者 夏耐 郭明松 +1 位作者 茅兵 谢立 《电子学报》 EI CAS CSCD 北大核心 2007年第2期358-361,共4页

针对程序漏洞的攻击是目前一个非常严重的安全问题.该文提出了一个程序运行时候控制流监控的简化方法.与基于系统调用的入侵检测方法相比,该方法有更细的监控粒度;而与完全函数调用关系监控的方法相比,该方法同样有效但实施更为简单.测... 针对程序漏洞的攻击是目前一个非常严重的安全问题.该文提出了一个程序运行时候控制流监控的简化方法.与基于系统调用的入侵检测方法相比,该方法有更细的监控粒度;而与完全函数调用关系监控的方法相比,该方法同样有效但实施更为简单.测试结果表面该方法能够有效地针对已有的多种攻击类型进行防范. 展开更多

关键词 信息安全 程序漏洞 入侵检测 控制流 函数调用关系图 简化函数调用轨迹

在线阅读 下载PDF 职称材料

基于函数调用图的Android恶意代码检测方法研究 被引量：2

5

作者 李自清 《计算机测量与控制》 2017年第10期198-201,205,共5页

随着移动互联网的迅猛发展和智能设备的普及,Android平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函... 随着移动互联网的迅猛发展和智能设备的普及,Android平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函数调用图的Android程序特征提取及检测方法;该方法通过对Android程序进行反汇编得到函数调用图,在图谱理论基础上,结合函数调用图变换后提取出的图结构和提取算法,获取出具有一定抗干扰能力的程序行为特征;由于Android函数调用图能够较好地体现Android程序的功能模块、结构特征和语义;在此基础上,实现检测原型系统,通过对多个恶意Android程序分析和检测,完成了对该系统的实验验证;实验结果表明,利用该方法提取的特征能够有效对抗各类Android程序中的混淆变形技术,具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好地识别能力。 展开更多

关键词 函数调用图 恶意代码 检测方法 研究

在线阅读 下载PDF 职称材料

一种C程序的函数调用图生成算法的设计与实现 被引量：1

6

作者 谢刚 《贵州师范大学学报（自然科学版）》 CAS 2009年第4期77-80,共4页

阐述了函数调用图在程序理解、程序分析、软件测试和软件维护中的重要性,利用数据库技术、词法分析技术等,设计并实现一种C程序的函数调用图生成算法。

关键词 C程序 函数 调用图 生成 算法

在线阅读 下载PDF 职称材料

一种静态的Java程序函数调用关系图的构建方法 被引量：5

7

作者 古辉 李荣荣 《计算机系统应用》 2012年第5期209-212,共4页

在程序理解中,函数之间的调用关系是程序理解研究的重要内容。一个函数往往代表了一种具体功能或问题求解的实现,构建出函数调用图有助于对程序的理解。以JAVA语言为研究对象,介绍了几种函数调用图的构建方法,并比较了它们的优劣性。

关键词 程序理解 函数调用图 构建函数调用图

在线阅读 下载PDF 职称材料

FOPE：一个面向FORTRAN的程序设计环境 被引量：1

8

作者 杜子德 《计算机研究与发展》 EI CSCD 北大核心 1995年第11期44-49,共6页

本文介绍一个面向ＦＯＲＴＲＡＮ的程序设计环境ＦＯＰＥ（ＦＯＲＴＲＡＮＯｒｉｅｎｔｅｄＰｒｏｇｒａｍｍｉｎｇＥｎｖｉｒｏｎｍｅｎｔ）。ＦＯＰＥ提供对ＦＯＲＴＲＡＮ程序的静态分析、动态分析、程序变换、ＤＯ循环变换、文档生... 本文介绍一个面向ＦＯＲＴＲＡＮ的程序设计环境ＦＯＰＥ（ＦＯＲＴＲＡＮＯｒｉｅｎｔｅｄＰｒｏｇｒａｍｍｉｎｇＥｎｖｉｒｏｎｍｅｎｔ）。ＦＯＰＥ提供对ＦＯＲＴＲＡＮ程序的静态分析、动态分析、程序变换、ＤＯ循环变换、文档生成等功能，文中详细地介绍了这些功能。ＦＯＰＥ的一个重要特点是可视化。可视化工具有程序调用关系图、过程控制流图和数据依赖图三种，它能做到对程序的静态结构和动态运行过程用图形显示。ＦＯＰＥ环境以Ｘ－Ｗｉｎｄｏｗ为基础，建立了窗口用户界面，大大地方便了使用。 展开更多

关键词 程序设计环境 FPRTRAN语言 FOPE

在线阅读 下载PDF 职称材料

面向方面程序的调用图生成算法

9

作者 李楠 赵建军 +1 位作者 沈备军 张艳 《计算机应用与软件》 CSCD 北大核心 2008年第6期107-109,137,共4页

调用图(callgraph)分析是进行程序分析、程序理解、软件测试和软件维护的重要基础。目前已提出的调用图生成算法多数是针对面向对象编程;而面向方面编程作为面向对象编程的扩展,还没有比较良好的调用图生成算法。为此,分析了既有的面向... 调用图(callgraph)分析是进行程序分析、程序理解、软件测试和软件维护的重要基础。目前已提出的调用图生成算法多数是针对面向对象编程;而面向方面编程作为面向对象编程的扩展,还没有比较良好的调用图生成算法。为此,分析了既有的面向对象程序调用图生成算法,讨论了面向方面程序语言(AspectJ为例)的特殊语言元素及其对生成的调用图的影响,从而构筑了面向方面程序调用图的生成算法。 展开更多

关键词 调用图 面向方面程序 ASPECTJ RTA PVG

在线阅读 下载PDF 职称材料

通过静态分析逆向恢复面向对象程序中的用况 被引量：2

10

作者 叶彭飞 彭鑫 赵文耘 《计算机研究与发展》 EI CSCD 北大核心 2010年第12期2192-2200,共9页

在软件维护任务中,通过阅读用况能有效地帮助维护人员理解软件系统,然而在现实中用况文档往往是过时或残缺不全的.如何通过代码分析还原用况是一大难题.针对上述问题提出了一种针对面向对象程序源代码通过静态代码分析逆向恢复用况的方... 在软件维护任务中,通过阅读用况能有效地帮助维护人员理解软件系统,然而在现实中用况文档往往是过时或残缺不全的.如何通过代码分析还原用况是一大难题.针对上述问题提出了一种针对面向对象程序源代码通过静态代码分析逆向恢复用况的方法.该方法在高层通过分析系统逻辑层高层门面类的对象行为协议来获取用况的高层划分,在底层通过分析OO-BRCG(object-oriented branch-reserving call graph)来得到用况的底层划分,然后结合两方面恢复出最终用况.最后通过实验验证了该方法的有效性,恢复用况时该方法能获得极高的用况覆盖度及可观的准确度. 展开更多

关键词 用况 对象行为协议 逆向恢复 静态分析 程序调用图

在线阅读 下载PDF 职称材料

一种精确的调用图生成技术

11

作者 唐新春 郭克榕 《计算机工程与设计》 CSCD 北大核心 1997年第5期34-39,共6页

调用图是过程间分析和程序自动并行化的基础。生成精确调用图可以进一步开发程序的并行性。此文针对Ｆｏｒｔｒａｎ程序，提出了一项完全消除哑过程，产生精确调用图的技术与相应的算法。该算法已在面向ＭＰＰＦｏｒｔｒａｎ的程序自动... 调用图是过程间分析和程序自动并行化的基础。生成精确调用图可以进一步开发程序的并行性。此文针对Ｆｏｒｔｒａｎ程序，提出了一项完全消除哑过程，产生精确调用图的技术与相应的算法。该算法已在面向ＭＰＰＦｏｒｔｒａｎ的程序自动并行化工具中实现。 展开更多

关键词 软件工具 调用图 过程间分析 程序自动并行化

在线阅读 下载PDF 职称材料

CNC系统中图形辅助宏编程的设计与实现 被引量：2

12

作者 高慧 吴文江 王品 《制造技术与机床》 CSCD 北大核心 2007年第8期67-71,共5页

介绍了数控系统中图形辅助编程和宏程序编程两种编程方法,并给出了宏程序的语法分析过程。鉴于两者的优越性,提出一种新的编程方法,将图形编程和宏编程相结合,用图形化的方法形成对宏程序的调用指令。该方法已成功应用于蓝天数控系统中。

关键词 图形辅助编程 用户宏程序 宏指令 图形模板

在线阅读 下载PDF 职称材料

基于二次定位策略的软件故障定位 被引量：13

13

作者 宗芳芳 黄鸿云 丁佐华 《软件学报》 EI CSCD 北大核心 2016年第8期1993-2007,共15页

故障定位是软件调试过程中耗力和耗时的活动之一,尤其是对规模大和复杂性高的软件.目前的一些定位技术可分为两类:基于组件和基于语句.前者太粗,不能准确地定位到地方;后者太细,运算复杂度过大.提出一种新技术,称为二次定位策略(double-... 故障定位是软件调试过程中耗力和耗时的活动之一,尤其是对规模大和复杂性高的软件.目前的一些定位技术可分为两类:基于组件和基于语句.前者太粗,不能准确地定位到地方;后者太细,运算复杂度过大.提出一种新技术,称为二次定位策略(double-times-locating,简称DTL),来定位故障:第1次定位,从程序中抽象出函数调用图,再从函数调用轨迹中建立程序谱,最后用基于模型的诊断(model-based diagnosis,简称MBD)对可能含有故障的函数进行排序;第2次定位,利用DStar定位函数中故障的代码行.实验结果表明,该技术比目前基于统计的方法更有效. 展开更多

关键词 故障定位 函数调用图 程序频谱 模型诊断

在线阅读 下载PDF 职称材料

面向对象程序的两种修改影响分析方法 被引量：5

14

作者 雷海虹 缪力 张大方 《计算机工程与科学》 CSCD 2005年第5期101-103,共3页

软件测试和软件维护是保证软件质量、减少软件错误的重要过程。在软件发展过程中,常常需要对程序进行修改。为了确保对程序的修改达到目的和没有引入新的错误,必须对修改后的程序进行回归测试和进行修改影响分析。在面向对象的程序中,... 软件测试和软件维护是保证软件质量、减少软件错误的重要过程。在软件发展过程中,常常需要对程序进行修改。为了确保对程序的修改达到目的和没有引入新的错误,必须对修改后的程序进行回归测试和进行修改影响分析。在面向对象的程序中,由于鼓励类的继承和使用过程,程序修改的扩散效应更为明显,减少回归测试耗费、增强修改影响分析功能的问题显得非常重要。本文介绍了两种修改影响分析方法:基于类粒度的防火墙方法和类成员粒度的调用图方法,并对防火墙算法进行了改进,并对基于调用图的分析方法进行了简化。针对不同的需求和实际情况,可以采用不同方法或结合两种方法进行修改影响分析,提高分析效率。 展开更多

关键词 面向对象 程序设计 模块化 编程语言 程序修改影响分析方法 软件开发 软件测试 软件维护

在线阅读 下载PDF 职称材料

基于非用户操作序列的恶意软件检测方法 被引量：6

15

作者 罗文塽 曹天杰 《计算机应用》 CSCD 北大核心 2018年第1期56-60,66,共6页

针对Android恶意软件持续大幅增加的现状以及恶意软件检测能力不足这一问题,提出了一种基于非用户操作序列的静态检测方法。首先,通过对恶意软件进行逆向工程分析,提取出恶意软件的应用程序编程接口(API)调用信息;然后,采用广度优先遍... 针对Android恶意软件持续大幅增加的现状以及恶意软件检测能力不足这一问题,提出了一种基于非用户操作序列的静态检测方法。首先,通过对恶意软件进行逆向工程分析,提取出恶意软件的应用程序编程接口(API)调用信息;然后,采用广度优先遍历算法构建恶意软件的函数调用流程图;进而,从函数流程图中提取出其中的非用户操作序列形成恶意行为库;最后,采用编辑距离算法计算待检测样本与恶意行为库中的非用户操作序列的相似度进行恶意软件识别。在对360个恶意样本和300的正常样本进行的检测中,所提方法可达到90.8%的召回率和90.3%的正确率。与Android恶意软件检测系统Androguard相比,所提方法在恶意样本检测中召回率提高了30个百分点;与Flow Droid方法相比,所提方法在正常样本检测中准确率提高了11个百分点,在恶意样本检测中召回率提高了4.4个百分点。实验结果表明,所提方法提高了恶意软件检测的召回率,有效提升恶意软件的检测效果。 展开更多

关键词 ANDROID 恶意软件 静态检测 函数调用图 应用程序编程接口调用

在线阅读 下载PDF 职称材料

基于面向方面调用图的AspectJ动态通知编织优化 被引量：2

16

作者 曹璟 徐宝文 +2 位作者 周晓宇 钱巨 杨彬 《软件学报》 EI CSCD 北大核心 2008年第9期2218-2227,共10页

在提出一种适合ApsectJ程序分析的面向方面调用图的基础上,给出了一种AspectJ动态通知编织优化方法.该方法利用程序调用图求解调用栈,并对栈中节点进行类型推导,再将调用栈与切点匹配,根据匹配结果决定通知织入方式.实例研究结果表明,... 在提出一种适合ApsectJ程序分析的面向方面调用图的基础上,给出了一种AspectJ动态通知编织优化方法.该方法利用程序调用图求解调用栈,并对栈中节点进行类型推导,再将调用栈与切点匹配,根据匹配结果决定通知织入方式.实例研究结果表明,该方法精确度高,能够静态确定程序中大部分动态通知的织入点. 展开更多

关键词 通知编织 编译优化 调用图 ASPECTJ 面向方面程序设计

在线阅读 下载PDF 职称材料

PDGcross:基于跨文件图表征的源代码漏洞检测

17

作者 熊可欣 李涛 +1 位作者 余琴 乔梦晴 《计算机技术与发展》 2023年第8期102-107,共6页

随着软件安全性需求不断增长,大量的研究工作将深度学习应用于漏洞检测领域,目前存在多种源代码漏洞检测方法。现阶段在检测单个文件中由于函数调用导致的漏洞方面有较好的效果,但由于复杂函数调用关系可能涉及到多个文件,针对多文件的... 随着软件安全性需求不断增长,大量的研究工作将深度学习应用于漏洞检测领域,目前存在多种源代码漏洞检测方法。现阶段在检测单个文件中由于函数调用导致的漏洞方面有较好的效果,但由于复杂函数调用关系可能涉及到多个文件,针对多文件的漏洞检测是当前的检测难点之一。因此,该文在源代码程序依赖图的基础上提出了一个新的图表征PDGcross,从一个文件入口合并其他被调用的文件,生成一个图表征即PDGcross。再运用Node2Vec图嵌入算法将PDGcross进一步处理为特征矩阵,利用长短时记忆神经网络训练出漏洞分类模型,实现了一种基于跨文件程序依赖图表征和深度学习的源代码检测方法。在实验中,针对跨文件间的函数调用产生的漏洞,Fortify和PDG表征的检测效率很低,而提出的基于PDGcross表征的检测方法则明显优于该两类方法。 展开更多

关键词 函数调用 程序依赖图 漏洞检测 源代码 深度学习

在线阅读 下载PDF 职称材料