源碼審核技術(shù)中的詞法分析研究.pdf

1、從互聯(lián)網(wǎng)的興起開始至今，利用漏洞攻擊的網(wǎng)絡(luò)安全事件不斷，并且呈日趨嚴(yán)重的態(tài)勢發(fā)展，利用漏洞的攻擊已經(jīng)成為危害互聯(lián)網(wǎng)的主要因素之一。安全漏洞挖掘最直接的方法就是在“編碼”階段與開發(fā)者進(jìn)行溝通，及時發(fā)現(xiàn)修正安全漏洞。本文深入研究源碼審核技術(shù)中的詞法分析技術(shù)，在對主流開源詞法分析工具進(jìn)行對比的基礎(chǔ)上，開發(fā)出新的詞法分析工具SSCAN。本文的主要工作有以下幾個方面： 1.詳細(xì)分析了源碼審核技術(shù)中的詞法分析的原理與流程，并對主流開源詞法分

2、析軟件Flawfinder、ITS4和Rats進(jìn)行分析比較。 2.在Flawfinder、ITS4和Rats的基礎(chǔ)上完善了危險函數(shù)數(shù)據(jù)庫。 3.優(yōu)化分析方式，引入初步分析與分類特征分析相結(jié)合的模式，提高了分析的效率。 4.將貝葉斯決策理論成功應(yīng)用于詞法分析，實現(xiàn)了根據(jù)已知的函數(shù)危險使用情況來判斷出未知的函數(shù)危險使用。 5.對SSCAN的性能進(jìn)行精確測試，結(jié)果表明SSCAN的完整性和準(zhǔn)確性都明顯優(yōu)于Flaw