源码审核技术中的词法分析

doi:10.7523/j.issn.2095-6134.2009.3.016

中国科学院大学学报 ›› 2009, Vol. 26 ›› Issue (3): 408-414.DOI: 10.7523/j.issn.2095-6134.2009.3.016

源码审核技术中的词法分析

肖锋^1,2, 张玉清²

1. 西安电子科技大学计算机网络与信息安全教育部重点实验室, 西安 710071;
2. 中国科学院研究生院国家计算机网络入侵防范中心, 北京 100049

收稿日期:2008-06-28 修回日期:2008-11-06 发布日期:2009-05-15
通讯作者: 肖锋
基金资助:
国家自然科学基金(60573048,60773135,90718007)和国家863计划项目(2007AA01Z427,2007AA01Z450)资助 

Lexical analysis in source code analysis

XIAO Feng^1,2, ZHANG Yu-Qing²

1. Key Lab of Computer Networks and Information Security of Ministry of Education, Xidian University, Xi'an 710071, China;
2. National Computer Network Intrusion Protection Center, Graduate University of the Chinese Academy of Sciences, Beijing 100049, China

Received:2008-06-28 Revised:2008-11-06 Published:2009-05-15

摘要/Abstract

摘要：

源代码审核是指在编码阶段发现和修正软件源代码中存在的安全漏洞,词法分析是源代码审核中的一项重要技术.详细分析了词法分析的实现过程,完善了危险函数数据库,优化了特征分析方法,特别是将贝叶斯理论成功运用于词法分析,并成功开发出一个词法分析工具SSCAN.测试结果表明,SSCAN比主流词法分析软件Flawfinder和Rats具有更高的完整性和准确性.

关键词: 源代码审核, 词法分析, 特征分析, 贝叶斯决策

Abstract:

Source code analysis means detecting and correcting the security vulnerabilities of these software in time during the coding stage, and lexical analysis is one of the important techniques in it. In this paper, we manage to detailedly analyze the implement process of lexical analysis, improve dangerous function database, optimize the method of features analysis,and particularly introduce Bayesian theory to the lexical analysis. In addition, a lexical analysis tool SSCAN is designed and implemented successfully, which is proved to have higher integrity and accuracy than mainstream open-source lexical analysis software Flawfinder and Rats by several tests.

Key words: source code analysis, lexical analysis, features analysis, Bayesian theory

中图分类号:

TP309

肖锋, 张玉清. 源码审核技术中的词法分析[J]. 中国科学院大学学报, 2009, 26(3): 408-414.

XIAO Feng, ZHANG Yu-Qing. Lexical analysis in source code analysis[J]. , 2009, 26(3): 408-414.

[1]	范伟杰, 吴文玲, 张蕾. HIGHT算法的差分故障攻击[J]. 中国科学院大学学报, 2012, (2): 271-276.
[2]	张恩, 蔡永泉. 基于椭圆曲线的可验证的理性秘密共享方案[J]. 中国科学院大学学报, 2011, 28(6): 806-810.
[3]	隗云, 熊国华, 张兴凯, 鲍皖苏. 辫群上的强盲签名体制[J]. 中国科学院大学学报, 2011, 28(6): 826-831.
[4]	杨慧慧, 赵险峰. AACS设备密钥存储与吊销的改进方案[J]. 中国科学院大学学报, 2011, 28(5): 642-647.
[5]	刘绍辉, 孙建超, 姚鸿勋. 一种改进的基于马尔科夫链的扩频图像隐写分析方法[J]. 中国科学院大学学报, 2011, 28(5): 690-695.
[6]	张子坤, 吕克伟. Σ-保密的隐秘信息检索协议[J]. 中国科学院大学学报, 2011, 28(3): 389-397.
[7]	张磊, 郭建胜. 6轮ARIA的最优不可能差分分析[J]. 中国科学院大学学报, 2011, 28(2): 266-273.
[8]	黄桂芳, 胡磊, 林东岱. 从Σ-协议到公共参考串模型下可否认零知识的高效编译器[J]. 中国科学院大学学报, 2010, 27(6): 831-837.
[9]	袁春阳, 邓晨蕾. 通过RBAC和TE模型融合实现Clark-Wilson模型[J]. 中国科学院大学学报, 2010, 27(4): 538-546.
[10]	潘嘉昕, 马昌社, 王立斌. 基于口令的高效语义安全群密钥交换协议[J]. 中国科学院大学学报, 2010, 27(4): 547-555.
[11]	丁治国, 朱学永, 雷迎科. 基于码分多址和防碰撞功能的RFID安全认证协议[J]. 中国科学院大学学报, 2010, 27(3): 397-403.
[12]	张海滨, 武传坤, 魏凌波. 多接收者环境下的匿名性和密文长度缩短的匿名广播加密算法[J]. 中国科学院大学学报, 2010, 27(1): 90-106.
[13]	王必达, 连一峰. 一种基于排队论的DoS攻防绩效评估方法[J]. 中国科学院大学学报, 2010, 27(1): 107-116.
[14]	唐强, 姬东耀. 秘密认证中的可否认性问题[J]. 中国科学院大学学报, 2009, 26(6): 835-840.
[15]	李明, 王鲲鹏. 局部环Z/pZ上的椭圆曲线密码系统[J]. 中国科学院大学学报, 2009, 26(5): 695-702.

源码审核技术中的词法分析

Lexical analysis in source code analysis

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

访问统计

联系我们