董国伟
- 作品数:16 被引量:106H指数:5
- 供职机构:中国信息安全测评中心更多>>
- 发文基金:国家自然科学基金国家高技术研究发展计划国家教育部博士点基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于特征匹配的Android应用漏洞分析框架被引量:8
- 2016年
- Android平台应用数量迅速增长,随之而来的安全问题也日益增多。但现有分析工具大多数只对应用进行简单的扫描,较少涉及深层次的数据流分析,因此某些漏洞无法有效地被发现。该文基于对已有Android应用漏洞特征的归纳,提出一种Android应用漏洞的静态分析框架。从Manifest文件扫描、Smali代码危险函数分析、数据流分析等3个层面归纳了7类主流安全漏洞模式,依此构建了漏洞检测规则,并结合相关静态分析技术对应用进行分析,以发现其中存在的安全漏洞。通过对323个Android应用程序的实验分析,结果表明:该框架的有效检出率在70%以上,误报率在30%以下。因此,该框架能够有效发现Android应用中常见的安全漏洞,提高用户安全性。
- 董国伟王眉林邵帅朱龙华
- 关键词:ANDROID应用安全漏洞
- 基于路径分析和迭代蜕变测试的Bug检测被引量:2
- 2014年
- 该文旨在基于白盒测试准则,提出能够在尽量复用测试资源、降低测试成本的前提下有效发现程序中错误的蜕变测试方法。任务关键软件的正确性是信息安全的重要组成部分,对其bug的测试至关重要,但Oracle问题经常制约到此类软件的测试。蜕变测试(MT)能够有效解决此类问题,但随机性较大。该文针对二元蜕变关系,提出了2种迭代的蜕变测试算法AESIST和AEMIST,在依据此2种方法的测试中,上一轮生成的测试用例可以作为下一轮的原始用例而生成新的测试用例,并且所有的测试用例满足蜕变关系全路径覆盖准则(APCEM)。实验结果表明:2种算法产生的测试用例能够在尽量少地运行程序的情况下有效发现程序中的错误。因此,本文提出的2种迭代蜕变测试算法在程序bug检测方面是高效的。
- 董国伟郭涛张普含贾依真
- Android平台环境自适应安全机制被引量:1
- 2013年
- 该文提出了一种Android平台环境自适应的安全机制:EAdroid。该机制通过对Android系统内核层和框架层的改造,为用户提供了易用的安全策略的定制方式,使得Android系统框架层与内核层中的安全规则能够根据终端所处的环境上下文进行自适应。测试表明:提出的环境自适应安全机制能够在较少的性能开销下有效地抵御恶意扣费、Root提权攻击,保护用户设备及信息的安全。
- 梁洪亮董钰阳晓宇董国伟刘书昌
- 关键词:访问控制环境自适应
- RFID认证协议漏洞分析被引量:5
- 2013年
- 为了对无线射频识别(RFID)认证协议中存在的漏洞进行分类和分析,首先对RFID系统的存在的威胁模型进行了深入分析,对RFID系统中面临的主要安全威胁进行了总结;由于目前对RFID认证协议漏洞缺乏统一的分类标准,该文对RFID认证协议中存在的漏洞进行了详细分类,对每一种类型的漏洞的产生原理进行了剖析,并提出了修补漏洞的方法;最后,对RFID认证协议中存在漏洞的安全性证明进行了讨论,并采用OSK协议进行了范例分析。结论表明RFID认证协议漏洞分析具有进一步研究和应用价值。
- 辛伟郭涛董国伟王欣邵帅
- 关键词:漏洞分析
- 蜕变测试技术综述被引量:22
- 2009年
- 软件测试是一种重要的、不可缺少的软件质量保证技术,用于发现和纠正软件中存在的缺陷和错误,但在很多情况下待测程序的预期输出难以确定。蜕变测试技术通过检查程序的多个执行结果之间的关系来测试程序,可以有效地解决上述问题。经过近十年的研究,蜕变测试技术已经在测试过程的优化、与其他验证或测试方法的结合等方面取得了巨大的进展,并被广泛地应用于各个领域中。对当前蜕变测试技术的研究进行了综述,针对已有方法的不足之处,对未来的研究方向进行了展望,包括蜕变测试充分性研究、实用蜕变关系构造技术、实用原始测试用例选取技术、新型软件中蜕变测试技术的研究、蜕变测试工具的开发等。
- 董国伟徐宝文陈林聂长海王璐璐
- 关键词:软件测试
- 软件漏洞分析技术进展被引量:26
- 2012年
- 软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域。该文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进行了分类和对比,归纳出了该领域的科学问题、技术难题和工程问题,最后展望了软件漏洞分析技术的未来发展。
- 吴世忠郭涛董国伟王嘉捷
- 关键词:信息安全软件漏洞漏洞分析
- 使用复合蜕变关系进行软件测试的实例研究(英文)被引量:1
- 2008年
- 蜕变测试时经常会出现蜕变关系检错能力低下的情况.基于命题逻辑的推理规则,提出了复合蜕变关系的构造方法,该方法对已构造的关系依次进行两两复合最终得到新的蜕变关系.复合蜕变关系可以把原关系的优点综合起来,具有更强的检错能力.此外,由于将蜕变关系复合后关系数量减少,所以当使用它测试程序时,生成测试用例的数量会大幅度降低.通过2个实例对复合蜕变关系的测试性能进行研究,实验结果表明复合关系的性能主要取决于构成它的核心蜕变关系,以及关系复合的顺序.使用复合蜕变关系可以极大地提高测试效率.
- 董国伟徐宝文陈林陈林聂长海
- 关键词:软件测试
- 一种基于三维树模型的源代码安全缺陷分类方法被引量:1
- 2016年
- 提出了一种基于三维树模型的源代码缺陷分类方法,该方法综合考虑了缺陷产生的原因、造成的结果及其表现形式3方面的信息。实例分析结果表明:使用基于三维树模型的缺陷分类法得到的缺陷类别比CWE和Fortify中的缺陷分类更为精确和详细。该工作不仅有助于建立一种比较完善的源代码缺陷分类体系,而且对于缺陷检测规则的细化也具有实际的指导意义。
- 张噭李舟军董国伟马殿富
- 关键词:源代码
- 软件故障定位技术进展被引量:22
- 2012年
- 故障定位是调试过程中一项耗时费力的工作。为了降低调试成本,并辅助开发人员定位和修复软件故障,软件故障定位技术通过审查源代码、分析测试过程的软件行为和测试结果来定位包含故障的代码片段。综述了近期故障定位领域相关成就,分类介绍了各种代表性的故障定位方法的基本原理和建模技术,讨论了这些故障定位技术的贡献以及它们之间的主要区别,给出了常用的故障定位效果基准测试集和度量方法,展望了故障定位技术的研究方向。
- 鞠小林姜淑娟张艳梅董国伟
- 关键词:故障诊断故障定位
- 基于补丁比对的Concolic测试方法被引量:4
- 2013年
- 该文提出了一种基于二进制补丁比对的Concolic测试方法,用于对软件进行漏洞分析。该方法将补丁比对技术与Concolic测试方法进行了结合,首先通过补丁比对收集存在漏洞Sink点的程序路径,然后利用该结果指导Concolic测试,从而极大地减少测试的路径数量。研究结果表明:相对于传统的Concolic测试,该方法能够较为有效地指导Concolic测试,能够减少测试路径的数量,降低测试过程中资源的开销,是一种漏洞发现和验证的有效手段。
- 王欣郭涛董国伟邵帅辛伟
- 关键词:补丁比对漏洞分析
