開題報告-CC++程序安全漏洞知識庫初探.doc

鹽城師范學(xué)院畢業(yè)設(shè)計開題報告題 目: C/C+程序安全漏洞知識庫初探 姓 名: 蘇尹 二級學(xué)院: 信息工程學(xué)院 專 業(yè): 計算機(jī)科學(xué)與技術(shù) 班 級: 12（2） 學(xué) 號: 指導(dǎo)教師:章 職稱: 2015年10月10日一、 研究的目的、意義與應(yīng)用前景等：隨著計算機(jī)網(wǎng)路的飛速發(fā)展和軟件的廣泛地應(yīng)用。軟件安全問題越來越受關(guān)注，這關(guān)系到各個領(lǐng)域的重要問題。很多軟件由于自身存在的安全隱患，稱為攻擊者或者病毒攻擊的對象，帶來無法控制的后果。所以在軟件在開發(fā)設(shè)計過程中盡量降低存在安全隱患的概率，是一個可行有效的方法。據(jù)統(tǒng)計目前C和C+編程語言是使用最廣泛的編程語言之一， 所以本次研究對象就是C和C+編程語言，針對使用C/C+開發(fā)設(shè)計軟件的過程中出現(xiàn)的缺陷或者錯誤，造成被攻擊者利用的漏洞進(jìn)行機(jī)理分析的研究，漏洞修復(fù)方法的研究，漏洞檢測方法和工具的研究以及預(yù)防方法的研究。最后開發(fā)一個集成展示工具，將上述研究方向的內(nèi)容直接簡潔地展示給用戶。對這些漏洞進(jìn)行的深入的研究，用戶可以直接明了的查閱到他們需要的內(nèi)容。這個可以為他們進(jìn)行C/C+編程語言的學(xué)習(xí)或者軟件開發(fā)過程中起到指導(dǎo)作用，提醒著他們?nèi)绾握_的編寫程序，出現(xiàn)漏洞時如何正確修改，對漏洞有更深層的了解。同時用戶可以根據(jù)提供的示例對相應(yīng)的漏洞掌握一些修復(fù)方法。目前C/C+編程語言不論是開發(fā)應(yīng)用軟件還是系統(tǒng)軟件都被廣泛運(yùn)用，所以研究有關(guān)C/C+代碼安全還有比較有前景的，有一些群體需要這樣一個研究結(jié)果幫助他們更好的學(xué)習(xí)和運(yùn)用C/C+，使得他們的開發(fā)設(shè)計的軟件安全性更高。二、 研究的內(nèi)容和擬解決的主要問題：C/C+代碼安全和機(jī)理分析的實現(xiàn)分為兩個方面。一個方面是針對C/C+編程語言本身容易出現(xiàn)的漏洞進(jìn)行詳細(xì)的機(jī)理分析，示例講解，正確的修復(fù)方法，檢測工具的推薦和預(yù)防方法。 另一方面是，設(shè)計一個簡單的展示工具將漏洞的各個方面的信息進(jìn)行整合展示。展示工具的設(shè)計模塊功能：（1）登陸功能（2）展示功能主要的研究的漏洞：（1） 傳統(tǒng)緩沖區(qū)溢出。（2） 整型溢出。（3） 不受控制的格式化字符串。（4） 對數(shù)組索引驗證不當(dāng)。（5） 錯誤計算內(nèi)存大小。（6） 使用了具有潛在危險的函數(shù)。三、 研究思路、方法和當(dāng)前收集的文獻(xiàn)： 針對每個漏洞都進(jìn)行詳細(xì)的各方面分析，包括造成漏洞的機(jī)理分析，漏洞是如何被觸發(fā)的，如何修復(fù)漏洞，正確的修復(fù)方法，檢測方法和檢測工具的以及預(yù)防建議。每個漏洞都有一個詳細(xì)的講解。 收集的文獻(xiàn)：1 TIOBE.TIOBE Index for AprilEB/OL. (2016-04-01).2016-04-22. /tiobe_index?page=index.2 Steve Christey. 2011 CWE/SANS Top 25 Most Dangerous Software Errors version1.0.3EB/OL.(2011-09-10).2016-01-01. /top25/archive/2011/2011_cwe_sans_top25, 2011.3 劉昕宇,陳曉光,劉斌.基于Symbian OS的手機(jī)開發(fā)與應(yīng)用實踐M.北京：清華大學(xué)出版社,2008.4 朱少民.軟件測試方法和技術(shù)M.北京:清華大學(xué)出版社,2005.5 馮登國.國內(nèi)外信息安全技術(shù)研究現(xiàn)狀及其發(fā)展趨勢J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2001(1):8-13.6 呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論M.北京:科學(xué)出版社,2010.7 Inexpensive Program Analysis Group.SpLintEB/OL.(2010-08-05).2016-01-15. /8 John Viega，J. T. Bloch，Tadayoshi Kohno，Gary McGraw. ITS4: A static vulnerability scanner for C and C+ code. Proceedings of the Annual Computer Security Applications ConferenceC . New Orleans, USA.2000:257-267. 9 Mike Shema, Chris Davis, Aaron Philipp, David Cowen.反黑客工具箱（第三版）M.余杰,黃彩霞譯.北京:清華大學(xué)出版社,2008.四、 特色或創(chuàng)新之處：本次工作將有關(guān)C/C+編程語言漏洞的信息進(jìn)行整合集成成一個漏洞知識庫，便于用戶查閱，用戶可以直截了當(dāng)?shù)牧私庀嚓P(guān)的漏洞的信息，不用花費(fèi)太多的精力自行總結(jié)分析。用戶可以根據(jù)漏洞知識庫中的示例代碼,能夠更加深入的了解漏洞形成的原因以及如何修復(fù)等問題。五、 研究計劃及預(yù)期進(jìn)展：研究計劃：確定課題，收集資料，完成開題報告，外文翻譯，需求分析，調(diào)研漏洞系統(tǒng)設(shè)計，編寫代碼，總體調(diào)試，論文初稿，定稿。（1）2015年9月8日-2015年9月25日：調(diào)研資料，確定論文選題，進(jìn)行課題申報和課題雙選。（2）2015年9月26日-2015年10月17日：完成外文翻譯并填寫開題報告。（3）2015年10月18日-2016年2月26日：進(jìn)行系統(tǒng)的設(shè)計與編碼，對漏洞的各方面的信息進(jìn)行調(diào)研，完成畢業(yè)設(shè)計中期檢查報告。（4）2016年2月27日-2016年4月11日：完成漏洞知識庫系統(tǒng)設(shè)計與功能測試；進(jìn)一步收集、整理和分析資料,撰寫論文,形成初稿,交指導(dǎo)老師審閱。（5）2016年4月12日-2016年5月22日：根據(jù)指導(dǎo)老師的指導(dǎo)意見反復(fù)修改、充實、完善,最后形成終稿,準(zhǔn)備論文答辯。畢業(yè)設(shè)計開題報告評定表指導(dǎo)教師意見蘇尹同學(xué)通過查閱與本研究方向有關(guān)的文獻(xiàn)，基本上了解了畢業(yè)設(shè)計題目所涉及的知識理論。開題報告詳細(xì)說明了畢業(yè)設(shè)計研究的意義、目的、研究的主要內(nèi)容，應(yīng)用的理論知識和方法手段及預(yù)期取得的成果。該課題具有一定的理論與應(yīng)用價值，同時有較好的深度和廣度，工作量飽滿。符合要求，同意通過。 指導(dǎo)教師簽名：