本文關鍵詞：基于符號執(zhí)行的Android系統(tǒng)漏洞分析技術研究　出處：《南京理工大學》2017年碩士論文　論文類型：學位論文

  更多相關文章： Android安全 漏洞檢測 符號執(zhí)行 隱私泄露

【摘要】：隨著Android手機平臺的快速發(fā)展,Android系統(tǒng)擁有龐大的用戶數(shù)量和應用市場,但是其安全性卻令人堪憂。由于Android應用程序的編寫門檻較低,許多應用程序是由缺乏安全監(jiān)管的小公司或個人開發(fā),因而存在嚴重的安全問題。大多數(shù)Android市場沒有對市場內的應用程序進行嚴格審核和漏洞檢測,導致Android應用程序漏洞肆虐。這些潛在的安全漏洞可能會給Android用戶帶來巨大損失,因此,檢測Android系統(tǒng)的安全漏洞十分必要。本文在深入分析Android系統(tǒng)特點及安全現(xiàn)狀的基礎上,對靜態(tài)分析方法中的符號執(zhí)行技術進行優(yōu)化,提出一種基于目標型符號執(zhí)行技術的Android系統(tǒng)漏洞分析方法。該方法將敏感關鍵字匹配、信息流分析和符號執(zhí)行技術相結合,能夠有效分析出Android系統(tǒng)應用程序中潛在的安全漏洞。論文的主要工作如下:(1)研究Android安全機制,分析其安全目標及存在的性能缺陷。研究Android安全漏洞,了解漏洞的種類、特性,漏洞產生的原因和所利用的方法。收集整理Android系統(tǒng)中隱私信息的類別特征、典型實例、獲取方式及泄露途徑。(2)結合Android平臺編程模型的特點,提出一種適用于Android系統(tǒng)且更為高效的目標型符號執(zhí)行分析方法,并給出該方法的整體架構、算法實現(xiàn)和優(yōu)化方案。目標型符號執(zhí)行分析方法能夠解決符號執(zhí)行技術中普遍存在的路徑爆炸問題,路徑覆蓋率高、資源消耗少,適用于Android平臺的漏洞檢測。(3)將目標型符號執(zhí)行方法應用到Android隱私泄露漏洞分析之中。該方法在反編譯的基礎上精確構建應用程序的控制流圖和函數(shù)調用圖,并對隱私信息進行識別和定位。以敏感節(jié)點為入口、以符號值為輸入、以目標函數(shù)的關心變量為導引,對程序進行逆向符號執(zhí)行,得出漏洞分析結果。(4)基于該方法,本文設計并實現(xiàn)一個Android隱私泄露漏洞分析工具SymFinder。從準確率、漏檢率、分析效率及分析全面性四個角度對其進行評估,并與其他Android漏洞分析方法進行橫向對比分析。測試結果表明,該方法準確率高、漏檢率低、分析效率較高,是一種有效的Android系統(tǒng)漏洞分析方法。
【學位授予單位】：南京理工大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP309;TP316

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前5條

1 張玉清;方U喚，

本文編號：1319286