论文部分内容阅读
信息化社会中,信息安全必然很重要,然而信息安全所面临的威胁也由来已久。信息系统中的漏洞是引起网络信息安全问题的根源,漏洞和安全隐患是现代信息系统的毒瘤,很多恶意攻击的方法都源自软件产品这样或那样的漏洞。测试信息系统是否安全的一个极为重要的方面就是软件产品是否隐藏有种种漏洞或者后门,因此如何挖掘软件程序中可能存在的安全漏洞成为信息安全关注的热点。模型检测技术是一种自动化检测技术,该技术广泛应用于时序电路设计和通信协议设计,并取得了很大的成绩。真正将模型检测技术引入到软件的验证和漏洞挖掘上仅有短短几年的历史,该项技术正处于研究阶段,并在WINXP操作系统的开发中得到了一定程度的应用。该技术作为一种形式化的方法与传统方法相比,能够正确、高效并且完全地挖掘出软件中存在的特定类型的漏洞。模型检测技术在软件漏洞挖掘,提高软件安全性方面有着良好的发展前景。 本文首先对漏洞的概念进行了探讨,提出了有针对性的信息安全漏洞定义。然后探讨了模型检测技术的主要思想、发展沿革及其最新的研究热点,其中在模型检测技术应用于软件漏洞挖掘的讨论中,提出了针对源代码的漏洞挖掘系统原型,并针对源代码的模型检测中的程序建模提出了自己的方法;完成了两条时序安全属性的设计和建模工作,并采用了例程进行验证,使用它对实际的程序进行了检验,成功的发现了漏洞并得到验证;对当前流行的基于模型检测技术的漏洞挖掘工具进行了分析和比对,重点研究和分析了轻量级模型检测工具MOPS,分析了它的不足之处,并且针对这些不足作出了改进,在此基础上开发出了完整的漏洞挖掘工具MCS1.0版。 作为国家信息安全产品测评认证中心“漏洞的发现、分析、利用和控制”项目的一部分,为将来更广泛和深入地研究和分析漏洞打下坚实的基础。本文的研究在提高软件的安全性,保证软件质量方面和软件漏洞挖掘中发挥重大作用,有着广阔的发展前景,有进一步研究的价值。