用于漏洞检测的中间语言表示方法

作     者：张国栋 刘子龙 靳卓 姚天宇 秦佳伟 孙东红 Zhang Guodong;Liu Zilong;Jin Zhuo;Yao Tianyu;Qin Jiawei;Sun Donghong

作者机构：沈阳航空航天大学计算机学院沈阳110136 国家计算机网络应急技术处理协调中心北京100029 清华大学网络科学与网络空间研究院北京100084 

基　　金：航空科学基金资助项目(2019ZE054009) 辽宁省自然科学基金资助项目(2020-MS-239,2019-ZD-0234) 辽宁省教育厅科技基金资助项目(LJKZ0210,JYT19053,JYT19040) 

出 版 物：《计算机应用研究》 (Application Research of Computers)

年 卷 期：2023年第40卷第11期

页      码：3377-3381,3393页

摘      要：现有Web漏洞检测方法中使用的中间语言针对特定编程语言设计,在对多种编程语言源代码进行漏洞抽象表示时,无法将多语言下的同类型漏洞用统一的中间语言表示,增加了后续漏洞分析处理的难度。针对该问题提出了一种基于污点分析的中间语言表示方法,实现多编程语言下同类型漏洞信息的统一抽象表示。该中间语言设计过程中将漏洞发生过程抽象为三元组表示,将与三元组相关的代码元素抽象为中间语言的关键字,根据三元组间的语义关系设计了该中间语言的语法。在转义时,利用污点分析方法跟踪污染源的执行路径,对路径中的源代码进行转义得到中间语言表示。最后将该中间语言用于漏洞检测模型,实验结果表明该中间语言与对照中间语言相比对编程语言中漏洞信息的抽象表示更具普适性,对漏洞检测具有有效性。

主 题 词：Web漏洞检测 漏洞语义特征 中间语言 

学科分类：08[工学] 0835[0835] 081202[081202] 0812[工学-测绘类] 

D　O　I：10.19734/j.issn.1001-3695.2023.03.0119

馆 藏 号：203124528...