王嘉捷
- 作品数:34 被引量:80H指数:5
- 供职机构:中国信息安全测评中心更多>>
- 发文基金:国家自然科学基金国家高技术研究发展计划中国人民解放军总装备部预研基金更多>>
- 相关领域:自动化与计算机技术政治法律理学电子电信更多>>
- 软件漏洞分析技术进展
- 软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域.本文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进...
- 吴世忠郭涛董国伟王嘉捷
- 关键词:计算机软件漏洞分析信息安全
- 文献传递
- WebView组件漏洞自动化检测与验证方法被引量:6
- 2020年
- Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.
- 王嘉捷刘建鑫马宇飞邵帅张普含
- 关键词:漏洞检测
- 基于统一中间表示的软件漏洞挖掘系统
- 二进制软件逆向分析和漏洞挖掘一直是软件安全领域研究的热点.当前的研究和已有工具主要针对某一特定平台;分析方法需要大量手工操作,且依赖安全人员的特定于具体平台环境的分析经验,没有统一的分析框架和分析方法.本文提出一个基于统...
- 王金锭王嘉捷程绍银蒋凡
- 关键词:安全漏洞
- 文献传递
- 源代码缺陷检测数据生成及标注方法
- 2021年
- 在已有的基于深度学习的源代码缺陷检测方法中,所使用的训练数据和测试数据大多来源于仅供学术研究的测试源码,无法为深度学习模型的训练提供足够的数据支撑。因此,该文提出了一种源代码缺陷检测数据生成及标注方法。该方法在提取源代码控制流关系的基础上,应用已训练的深度学习模型和商业工具来完成源代码切片数据的标注。使用公开数据集SARD、NVD及开源软件Ffmpeg等进行验证,结果表明通过该方法能够生成直接用于深度学习的源代码缺陷检测数据集,为基于深度学习的源代码缺陷检测方法提供了数据支撑。
- 管志斌王晓萌辛伟王嘉捷
- 关键词:控制流数据生成
- 基于深度卷积神经网络的源代码缺陷检测方法被引量:7
- 2021年
- 基于深度神经网络的源代码缺陷检测方法通常将源代码作为文本数据,采用卷积网络学习代码的单一空间特征,或者利用LSTM、BiLSTM源代码样本的时序特征,并未在源代码数据的多特征融合方面进行深入研究。为探索验证源代码的多种特征在缺陷检测方面的应用效果,该文基于卷积神经网络在图像领域的多通道学习策略,融合word2vec、fasttext等词嵌套技术的词向量表达,创建源代码的综合向量表征;利用深度卷积神经网络学习源代码缺陷数据中蕴含的缺陷模式,形成源代码缺陷分类器,实现多类代码缺陷检测。将该方法与已有的单通道神经网络源代码缺陷检测方法通过SARD数据集和开源软件源代码进行验证,结果表明:该方法在精确度、召回率、F_(1)等方面测试平均结果分别为95.3%、84.7%、89.7%,与已有方法相比,有不同幅度的提升。
- 王晓萌管志斌辛伟王嘉捷
- 关键词:源代码
- 基于软件代码差异分析的智能模糊测试方法
- 为了及时对不断更新的大型软件进行漏洞分析,该文提出了一种基于软件代码差异分析的智能模糊测试方法.新旧代码经逆向分析和比对后确定代码差异区,再通过基于数据与控制依赖关系的双向传播分析,识别差异潜在影响区和相关输入变量,生成...
- 王嘉捷郭涛张普含章磊
- 关键词:软件工程
- 文献传递
- 软件漏洞分析技术进展被引量:28
- 2012年
- 软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域。该文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进行了分类和对比,归纳出了该领域的科学问题、技术难题和工程问题,最后展望了软件漏洞分析技术的未来发展。
- 吴世忠郭涛董国伟王嘉捷
- 关键词:信息安全软件漏洞漏洞分析
- 软件演进驱动的按需自动测试
- 2010年
- 为了及时彻底地测试演进着的软件,提出了软件演进驱动的按需自动测试算法.首先,根据软件演进时源文件的文本更新,通过控制与数据依赖分析识别受影响的语义变化区域,再结合代码安全缺陷分析按需构造精简测试流图.接着,按需符号执行图中各条路径且缺陷关联路径优先,主动探测和求解缺陷触发条件以排除误报,在路径分支点按需克隆执行环境以避免路径前缀的重复执行,并及时求解路径条件以剪除不可行路径.最终,自动生成针对软件更新实现路径覆盖的精简测试例集合.目前已实现了测试工具原型,用其测试了多个开源软件,发现了OpenSSL代码中的真实缺陷.
- 王嘉捷蒋凡程绍银张晓菲林锦滨
- 基于路径簇归约的并行符号执行方法
- 本发明涉及一种基于程序符号执行路径簇划分的计算机软件安全性测试方法。一种基于路径簇规约的并行符号执行方法,将被测可执行程序进行反汇编;得到被测可执行程序的汇编代码,并转换为统一的中间汇编语言形式;然后根据中间汇编语言形式...
- 吴世忠郭涛张普含王嘉捷
- 文献传递
- 一种基于人工智能的软件代码缺陷识别方法及相关装置
- 本申请提供了一种基于人工智能的软件代码缺陷识别方法及相关装置,其中,方法包括:将待检测软件代码拆分为具有依赖关系的多个软件代码碎片;通过词向量算法,将每个软件代码碎片转换为软件代码向量,以得到具有依赖关系的多个软件代码向...
- 辛伟管志斌王嘉捷王晓萌张利
- 文献传递
