開題報告-CC++程序安全漏洞知識庫初探.doc

鹽城師范學院畢業(yè)設計開題報告題 目: C/C+程序安全漏洞知識庫初探 姓 名: 蘇尹 二級學院: 信息工程學院 專 業(yè): 計算機科學與技術 班 級: 12（2） 學 號: 指導教師:章 職稱: 2015年10月10日一、 研究的目的、意義與應用前景等：隨著計算機網路的飛速發(fā)展和軟件的廣泛地應用。軟件安全問題越來越受關注，這關系到各個領域的重要問題。很多軟件由于自身存在的安全隱患，稱為攻擊者或者病毒攻擊的對象，帶來無法控制的后果。所以在軟件在開發(fā)設計過程中盡量降低存在安全隱患的概率，是一個可行有效的方法。據(jù)統(tǒng)計目前C和C+編程語言是使用最廣泛的編程語言之一， 所以本次研究對象就是C和C+編程語言，針對使用C/C+開發(fā)設計軟件的過程中出現(xiàn)的缺陷或者錯誤，造成被攻擊者利用的漏洞進行機理分析的研究，漏洞修復方法的研究，漏洞檢測方法和工具的研究以及預防方法的研究。最后開發(fā)一個集成展示工具，將上述研究方向的內容直接簡潔地展示給用戶。對這些漏洞進行的深入的研究，用戶可以直接明了的查閱到他們需要的內容。這個可以為他們進行C/C+編程語言的學習或者軟件開發(fā)過程中起到指導作用，提醒著他們如何正確的編寫程序，出現(xiàn)漏洞時如何正確修改，對漏洞有更深層的了解。同時用戶可以根據(jù)提供的示例對相應的漏洞掌握一些修復方法。目前C/C+編程語言不論是開發(fā)應用軟件還是系統(tǒng)軟件都被廣泛運用，所以研究有關C/C+代碼安全還有比較有前景的，有一些群體需要這樣一個研究結果幫助他們更好的學習和運用C/C+，使得他們的開發(fā)設計的軟件安全性更高。二、 研究的內容和擬解決的主要問題：C/C+代碼安全和機理分析的實現(xiàn)分為兩個方面。一個方面是針對C/C+編程語言本身容易出現(xiàn)的漏洞進行詳細的機理分析，示例講解，正確的修復方法，檢測工具的推薦和預防方法。 另一方面是，設計一個簡單的展示工具將漏洞的各個方面的信息進行整合展示。展示工具的設計模塊功能：（1）登陸功能（2）展示功能主要的研究的漏洞：（1） 傳統(tǒng)緩沖區(qū)溢出。（2） 整型溢出。（3） 不受控制的格式化字符串。（4） 對數(shù)組索引驗證不當。（5） 錯誤計算內存大小。（6） 使用了具有潛在危險的函數(shù)。三、 研究思路、方法和當前收集的文獻： 針對每個漏洞都進行詳細的各方面分析，包括造成漏洞的機理分析，漏洞是如何被觸發(fā)的，如何修復漏洞，正確的修復方法，檢測方法和檢測工具的以及預防建議。每個漏洞都有一個詳細的講解。 收集的文獻：1 TIOBE.TIOBE Index for AprilEB/OL. (2016-04-01).2016-04-22. /tiobe_index?page=index.2 Steve Christey. 2011 CWE/SANS Top 25 Most Dangerous Software Errors version1.0.3EB/OL.(2011-09-10).2016-01-01. /top25/archive/2011/2011_cwe_sans_top25, 2011.3 劉昕宇,陳曉光,劉斌.基于Symbian OS的手機開發(fā)與應用實踐M.北京：清華大學出版社,2008.4 朱少民.軟件測試方法和技術M.北京:清華大學出版社,2005.5 馮登國.國內外信息安全技術研究現(xiàn)狀及其發(fā)展趨勢J.網絡安全技術與應用,2001(1):8-13.6 呂林濤.網絡信息安全技術概論M.北京:科學出版社,2010.7 Inexpensive Program Analysis Group.SpLintEB/OL.(2010-08-05).2016-01-15. /8 John Viega，J. T. Bloch，Tadayoshi Kohno，Gary McGraw. ITS4: A static vulnerability scanner for C and C+ code. Proceedings of the Annual Computer Security Applications ConferenceC . New Orleans, USA.2000:257-267. 9 Mike Shema, Chris Davis, Aaron Philipp, David Cowen.反黑客工具箱（第三版）M.余杰,黃彩霞譯.北京:清華大學出版社,2008.四、 特色或創(chuàng)新之處：本次工作將有關C/C+編程語言漏洞的信息進行整合集成成一個漏洞知識庫，便于用戶查閱，用戶可以直截了當?shù)牧私庀嚓P的漏洞的信息，不用花費太多的精力自行總結分析。用戶可以根據(jù)漏洞知識庫中的示例代碼,能夠更加深入的了解漏洞形成的原因以及如何修復等問題。五、 研究計劃及預期進展：研究計劃：確定課題，收集資料，完成開題報告，外文翻譯，需求分析，調研漏洞系統(tǒng)設計，編寫代碼，總體調試，論文初稿，定稿。（1）2015年9月8日-2015年9月25日：調研資料，確定論文選題，進行課題申報和課題雙選。（2）2015年9月26日-2015年10月17日：完成外文翻譯并填寫開題報告。（3）2015年10月18日-2016年2月26日：進行系統(tǒng)的設計與編碼，對漏洞的各方面的信息進行調研，完成畢業(yè)設計中期檢查報告。（4）2016年2月27日-2016年4月11日：完成漏洞知識庫系統(tǒng)設計與功能測試；進一步收集、整理和分析資料,撰寫論文,形成初稿,交指導老師審閱。（5）2016年4月12日-2016年5月22日：根據(jù)指導老師的指導意見反復修改、充實、完善,最后形成終稿,準備論文答辯。畢業(yè)設計開題報告評定表指導教師意見蘇尹同學通過查閱與本研究方向有關的文獻，基本上了解了畢業(yè)設計題目所涉及的知識理論。開題報告詳細說明了畢業(yè)設計研究的意義、目的、研究的主要內容，應用的理論知識和方法手段及預期取得的成果。該課題具有一定的理論與應用價值，同時有較好的深度和廣度，工作量飽滿。符合要求，同意通過。 指導教師簽名：