Aplicação Dinâmica de Políticas Estáticas de Fluxo

Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017) Pub Date : 2017-11-06 DOI:10.5753/sbseg.2017.19496

Carina Capelão de Oliveira, Glauco Gonçalves Cardoso, Fernando Magno Quintão Pereira

{"title":"Aplicação Dinâmica de Políticas Estáticas de Fluxo","authors":"Carina Capelão de Oliveira, Glauco Gonçalves Cardoso, Fernando Magno Quintão Pereira","doi":"10.5753/sbseg.2017.19496","DOIUrl":null,"url":null,"abstract":"A análise de fluxo de informação é atualmente uma das técnicas mais importantes para descobrir vulnerabilidades em programas. Desde a sua concepção, esta técnica evoluiu ao ponto de alcançar grande precisão e escalabilidade. Entretanto, por ser estática, a análise de fluxo de informação é conservadora e, para garantir corretude, ela precisa invalidar alguns programas que são conhecidamente seguros. Enquanto a análise permanece totalmente estática, nem mesmo algoritmos exponenciais conseguem mudar esse cenário. Para abordar esse problema, propomos uma combinação de análise estática e checagem dinâmica para ampliar a precisão de técnicas de análise de fluxo de informação. Nossas checagens dinâmicas nos permitem detectar e descartar caminhos inseguros durante a execução do programa e preservar fluxos seguros de informação. Dessa forma, podemos garantir a segurança de programas mesmo diante de propriedades difíceis de serem analisadas estaticamente, como por exemplo polimorfismo de subtipagem. Para validar nosso trabalho, materializamos nossas ideias em uma ferramenta chamada InspectorJ, que insere instrumentação em um programa para prevenir a execução de caminhos inseguros.","PeriodicalId":322419,"journal":{"name":"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)","volume":"107 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2017-11-06","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg.2017.19496","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

A análise de fluxo de informação é atualmente uma das técnicas mais importantes para descobrir vulnerabilidades em programas. Desde a sua concepção, esta técnica evoluiu ao ponto de alcançar grande precisão e escalabilidade. Entretanto, por ser estática, a análise de fluxo de informação é conservadora e, para garantir corretude, ela precisa invalidar alguns programas que são conhecidamente seguros. Enquanto a análise permanece totalmente estática, nem mesmo algoritmos exponenciais conseguem mudar esse cenário. Para abordar esse problema, propomos uma combinação de análise estática e checagem dinâmica para ampliar a precisão de técnicas de análise de fluxo de informação. Nossas checagens dinâmicas nos permitem detectar e descartar caminhos inseguros durante a execução do programa e preservar fluxos seguros de informação. Dessa forma, podemos garantir a segurança de programas mesmo diante de propriedades difíceis de serem analisadas estaticamente, como por exemplo polimorfismo de subtipagem. Para validar nosso trabalho, materializamos nossas ideias em uma ferramenta chamada InspectorJ, que insere instrumentação em um programa para prevenir a execução de caminhos inseguros.

查看原文本刊更多论文

静态流策略的动态应用

信息流分析是目前发现程序漏洞最重要的技术之一。从概念上讲，这项技术已经发展到实现高精度和可扩展性的地步。然而，由于信息流分析是静态的，它是保守的，为了确保正确性，它需要使一些已知安全的程序失效。虽然分析是完全静态的，但即使是指数算法也无法改变这种情况。为了解决这一问题，我们提出了静态分析和动态检查的结合，以提高信息流分析技术的准确性。我们的动态检查允许我们在程序执行期间检测和丢弃不安全的路径，并保存安全的信息流。通过这种方式，我们可以保证程序的安全性，即使面对难以静态分析的属性，如子类型多态性。为了验证我们的工作，我们在一个名为InspectorJ的工具中实现了我们的想法，该工具在程序中插入仪器，以防止不安全路径的执行。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Anais do XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2017)

自引率

0.00%

发文量