頁籤選單縮合
題 名 | 自動脅迫產生器發展現況與威脅分析 |
---|---|
作 者 | 黃世昆; 黃銘祥; 黃博彥; 賴俊維; 呂翰霖; | 書刊名 | 資訊安全通訊 |
卷 期 | 18:3 2012.07[民101.07] |
頁 次 | 頁88-100 |
分類號 | 312.76 |
關鍵詞 | 自動脅迫產生器; 符號執行; 擬真執行; 零日脅迫; Automatic exploit generation; Symbolic execution; Concolic execution; Zero-day exploit; |
語 文 | 中文(Chinese) |
中文摘要 | 脅迫產生(Exploit Generation)過去都被視為一種無法自動化的過程,需具備純熟安全技能的人力介入。但近年來符號執行技術(Symbolic Execution)的快速發展,完全自動化的脅迫產生(Automatic Exploit Generation, 以下簡稱 AEG)已經可行。首先,我們將介紹目前僅有的三個組織(英國劍橋大學、美國卡內基美隆大學、與國立交通大學)的研發成果,並進行效能與定性的現況分析。最後,我們將針對AEG技術的未來發展,提出軟體系統與程式安全的思維改變。因為AEG可自動將程式的可靠性錯誤(Software Reliability),轉化為安全性弱點(Software Vulnerability),軟體安全與軟體品質的界線將趨於模糊,進而提出軟體錯誤即軟體安全缺陷(Bug as Vulnerability, BaV),軟體錯誤即隱含軟體後門(Bug as Backdoor, BaB)的思考方向。 |
本系統中英文摘要資訊取自各篇刊載內容。