近年來,軟件供應(yīng)鏈污染問題日益嚴(yán)重,給用戶的隱私和財(cái)產(chǎn)安全造成了巨大的威脅。攻擊者利用軟件生產(chǎn)、交付或使用環(huán)節(jié)中的安全漏洞,通過劫持或篡改軟件供應(yīng)鏈上的合法軟件,對終端用戶悄然實(shí)施攻擊。目前針對軟件供應(yīng)鏈安全的研究較少,且現(xiàn)有工作多從宏觀層面對軟件供應(yīng)鏈污染、污染檢測及污染防治問題進(jìn)行闡述,鮮有工作提出系統(tǒng)性檢測方案。本文對軟件供應(yīng)鏈下游的污染檢測方法進(jìn)行了系統(tǒng)研究,主要工作和貢獻(xiàn)如下:1.目前軟件供應(yīng)鏈污染檢測工作依靠程序逆向分析技術(shù)實(shí)現(xiàn),但尚未有工作綜述其研究進(jìn)展。對此,本文分析了國內(nèi)外百余個(gè)影響廣泛的軟件供應(yīng)鏈安全事件,綜述了程序逆向分析技術(shù)在軟件供應(yīng)鏈污染檢測問題中的研究現(xiàn)狀,并指出了自動化程序分析技術(shù)在軟件供應(yīng)鏈污染檢測中仍存在的問題。2.針對當(dāng)前軟件供應(yīng)鏈污染檢測工作較少,相關(guān)研究不夠系統(tǒng)、深入的問題,本文在軟件供應(yīng)鏈下游展開污染檢測研究;從污染目標(biāo)和污染途徑兩方面入手,提出軟件供應(yīng)鏈污染分類模型,詳細(xì)分析了軟件供應(yīng)鏈污染檢測中存在的特殊問題;并提出了軟件供應(yīng)鏈污染檢測框架,將軟件供應(yīng)鏈下游的污染檢測問題劃分為檢測安裝包捆綁安裝、檢測第三方漏洞或惡意模塊復(fù)用以及檢測目標(biāo)程序... 

【文章來源】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)河南省

【文章頁數(shù)】：92 頁

【學(xué)位級別】：碩士

【部分圖文】：

OCR識別結(jié)果

第三章 增量式軟件自動化安裝件識別的自動化安裝，成功安裝了 10581 款軟件，在對剩余的軟件 識別的自動化安裝，成功安裝了 3316 款軟件，最后還有 1854 款軟方法成功安裝的比例如圖 3.8 所示。OCR識別未成功

圖 3.8 軟件自動化安裝各方法的成功比例對安裝成功的安裝包，除搜集安裝過程中的界面操作信息（如圖 3.9 所示），還將釋放的所有二進(jìn)制文件壓縮，用于接下來的污染檢測，各個(gè)軟件安裝后的二進(jìn)制文件信息如圖3.10 所示。靜默參數(shù)47.7%控件識別35.1%OCR識別11.0%未成功6.2%

【參考文獻(xiàn)】：
期刊論文
[1]基于逆向計(jì)算的細(xì)粒度污點(diǎn)分析方法[J]. 屈雪晴,張圣昌.  河北大學(xué)學(xué)報(bào)(自然科學(xué)版). 2019(04)
[2]污點(diǎn)分析技術(shù)研究綜述[J]. 任玉柱,張有為,艾成煒.  計(jì)算機(jī)應(yīng)用. 2019(08)
[3]程序分析研究進(jìn)展[J]. 張健,張超,玄躋峰,熊英飛,王千祥,梁彬,李煉,竇文生,陳振邦,陳立前,蔡彥.  軟件學(xué)報(bào). 2019(01)
[4]確保軟件供應(yīng)鏈安全是一項(xiàng)系統(tǒng)工程[J]. 鄒維,霍瑋,劉奇旭.  中國信息安全. 2018(11)
[5]軟件供應(yīng)鏈安全現(xiàn)狀與對策建議[J]. 祝國邦,陳潔.  中國信息安全. 2018(11)
[6]縱深話題:軟件供應(yīng)鏈安全風(fēng)險(xiǎn)解析[J]. 本刊編輯部.  中國信息安全. 2018(11)
[7]基于灰度圖紋理指紋的惡意軟件分類[J]. 張晨斌,張?jiān)拼?鄭楊,張鵬程,林森.  計(jì)算機(jī)科學(xué). 2018(S1)
[8]基于符號執(zhí)行的底層虛擬機(jī)混淆器反混淆框架[J]. 肖順陶,周安民,劉亮,賈鵬,劉露平.  計(jì)算機(jī)應(yīng)用. 2018(06)
[9]自然場景中文字定位系統(tǒng)研究綜述[J]. 季昊龍.  山東化工. 2018(11)
[10]MACSPMD:基于惡意API調(diào)用序列模式挖掘的惡意代碼檢測[J]. 榮俸萍,方勇,左政,劉亮.  計(jì)算機(jī)科學(xué). 2018(05)

碩士論文
[1]可執(zhí)行文件捆綁器的研究及實(shí)現(xiàn)[D]. 趙和運(yùn).西安電子科技大學(xué) 2019
[2]基于機(jī)器學(xué)習(xí)的惡意軟件分類研究[D]. 陸中州.蘭州大學(xué) 2018
[3]基于卷積神經(jīng)網(wǎng)絡(luò)的字符型圖片識別研究[D]. 金銘.蘇州大學(xué) 2018
[4]軟件供應(yīng)鏈污染機(jī)理與防御研究[D]. 周振飛.北京郵電大學(xué) 2018
[5]一種代碼觸發(fā)技術(shù)的研究與實(shí)現(xiàn)[D]. 魏志強(qiáng).哈爾濱工業(yè)大學(xué) 2013
[6]軟件產(chǎn)品族演化方法及應(yīng)用研究[D]. 夏通.浙江工業(yè)大學(xué) 2011
[7]打印機(jī)驅(qū)動自動安裝系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)[D]. 張楠.大連理工大學(xué) 2009



本文編號：3259539