著者
中島 明日香 岩村 誠 矢田 健
雑誌
コンピュータセキュリティシンポジウム2015論文集
巻号頁・発行日
vol.2015, no.3, pp.304-309, 2015-10-14

サイバー攻撃の原因の一つとしてソフトウェア中に存在する脆弱性が挙げられる.その中でも,ソフトウェア開発過程において脆弱性部分のソースコードが複製される事 (コードクローン) により発生する脆弱性がある.本研究では実行ファイルを対象に,コードクローンにより生じた脆弱性の発見手法を提案する.具体的には,過去に発見された脆弱性部分から機械語命令を抽出しオペランドを正規化した後,類似文字列検索アルゴリズムを用いて複製先の脆弱性を発見する.提案手法の有効性を示すため,実在のコードクローンの脆弱性を利用し脆弱性の複製元箇所と複製先ソフトウェア間との類似度算出を行った結果,最低でも 60.7%の類似度が算出された.また,本提案手法を用いて実行ファイル 40945 個に対して検査を実施した所,実際に過去コードクローンの脆弱性であったものを発見した.

言及状況

Twitter (7 users, 7 posts, 17 favorites)

結構前にCSSで発表した論文がついにオープンになっていた。 "機械語命令の類似度算出による複製された脆弱性の発見手法の提案, CSS 2015" https://t.co/ZLyMyBTpaq

収集済み URL リスト