教学课程资源库 更多>>

关键词： 软件开发   程序设计   控制流分析   算法语言  

摘要： 静态分析在软件分析领域中对程序编译、优化、以及软件质量保证等方面都起到了重要的作用,因此已经成为一种越来越流行的提高代码质量的方法。控制流分析是识别和构建程序语句间逻辑调用关系的技术,其目的是判定程序块将会如何执行到另一些程序块,其结果是生成控制流图。静态分析中的很多技术都以控制流图作为基础(例如:可利用表达式分析,忙表达式分析,到达定义分析,活性变量分析,常量传播分析,形态分析等)。因此提供一套精确,无冗余的控制流图,会在一定程度上提高静态分析的效率和质量。　　本文采用一种基于约束的分析技术(包括基于约束的O-CFA,加入数据流的分析,加入上下文的一致k-CFA分析)生成控制流图,对不可达语句进行约减,生成无冗余的控制流图。基于约束的分析思想就是要排除一定数量的引入(或者不等式或者是约束)在程序之外。本研究设计并实现了一个Java静态分析子系统：⑴基于AST树进行分析,摘取构建约束集所必须的节点形成精简的AST树,并且要保证语法正确;⑵以精简的AST树作为输入,构建约束集(分别构建基于约束的分析约束集,加入数据流的分析约束集和加入上下文分析的约束集);⑵使用不动点算法对约束集进行求解;⑷以最小解作为输入,生成控制流图;⑸对比三种算法生成的控制流图。基于约束的分析生成完整的控制流图,加入数据流的分析和加入上下文的分析得到的是约减了某些不可达分支的控制流图。使用约减后的控制流图作为基础进行静态代码分析,可以提高分析的效率。

ISBN: (纸本)9787302298779

ISBN: (纸本)9787302268956

ISBN: (纸本)9787302284550

关键词： Java   漏洞检测   漏洞诊断   确定性重现   符号化执行   静态分析   污染分析   并发错误   信息泄露  

摘要： Java语言已经成为了近几年最为重要的编程语言之一,根据权威开发语言排行榜TIOBE的统计,从2002年至今的10年内,Java语言市场占有率始终处于所有开发语言的前两位。近年来,随着安卓系统的普及以及安卓平台将Java作为其程序设计语言,Java语言不论在移动终端还是在个人电脑、服务器平台上都已经占据了不小的份额。如今,毫无疑问Java语言影响着信息产业的方方面面。 与此同时,随着Java语言及其支撑平台的飞速发展,Java程序员和Java应用的数目也在飞速增长之中。以安卓平台为例,目前安卓官方市场上的应用数目已经超过了50万个,并且.这个数量仍然在以平均每个月2万个的速度飞速膨胀。迅速增长的Java应用数量给Java程序的管理和维护带来了挑战。Java代码中的程序漏洞(包括程序功能性漏洞,或称程序错误,以及程序安全性漏洞)每年都会给应用的使用者造成巨大损失,因此检测、诊断与排除Java代码中潜在的程序漏洞是Java应用的一个主要需求。 程序漏洞检测和诊断几十年来一直是软件研究领域的关键问题。近年来随着多核架构和智能移动终端的普及,程序漏洞检测和诊断的研究逐渐集中在以下两个方面：(1)多核架构下的并发错误研究,致力于检测、诊断和排除由于程序并行化带来的并发错误。例如,通过记录并发程序运行时的不确定,并促使该程序在随后的运行过程中确定的重现某一并发错误,进而减少定位对应程序漏洞的难度。(2)智能终端上的漏洞检测和诊断研究,力图对智能终端应用中的各种程序漏洞进行检测和诊断。包括检测并诊断应用中可能发生的功能性及安全性漏洞。例如,采用符号化执行方式遍历应用程序执行路径,通过分析程序行为检测程序漏洞,并生成对应程序输入以简化诊断过程；通过对程序进行污染分析,可以检测其中可能存在的信息泄露等安全漏洞。由于智能终端上的应用通常采用应用市场集中发布的模式,同时每个应用市场每月都有数以万计的应用进入,因此对此类应用进行审核不仅对程序分析速度要求较高,而且还需要提供完备的验证机制,为高效地去除可能具有安全漏洞的应用提供佐证。这两个方面研究的对象恰好也是Java程序目前所面临的主要问题。 然而,当相关研究成果被应用到Java语言上时,现有研究多从程序漏洞本身模式出发,通过借用适用i其他语言的类似漏调整检测与诊断方法,进行对Java程序漏洞的检测。但是,Java语言的许多特性,如面向对象、托管执行和运行时事件,使得其不同于以往的过程式语言和本地语言运行模式。简单的将其他语言的已有经验应用于对Java程序的漏洞检测与诊断效果并不理想。比如,由于Java托管运行时通过垃圾回收机制管理程序内存使用,在Java程序运行时,其数据移动较C/C++等本地语言程序多,因此当确定性重现系统被应用到Java程序时,受大量的数据移动影响,重现系统的记录和重现开销巨大,从而极大地限制了重现系统的性能。另外,移动终端中Java应用通常采用事件驱动的运行模型,该模型下的程序运行具有较大的随机性和不确定性。一些继承自传统漏洞检测与诊断手段的研究,例如针对Java应用的符号化执行,往往需要牺牲其检测与诊断精度才能确保该过程的顺利完成。 本文在充分分析现有程序漏洞检测和诊断方法作用于Java应用时的性能和效率等问题的基础上,提出了一个系统的解决方案。从移动终端、桌面应用和服务器等角度,着力于提高程序设计者以及应用程序市场对Java应用的漏洞检测与诊断能力。本文提出的三个新技术,即基于对象的确定性重现,导向性符号化执行,与采用符号化执行的信息泄露漏洞检测与诊断技术,充分弥补了程序漏洞检测与诊断技术在Java语言等动态语言上的不足。相对于之前的研究,本研究借助于对Java语言本身语言模型与运行模型的深入了解,从Java语言模型本身出发设计适合该语言的漏洞检测与诊断技术,测试表明使该技术在作用于Java应用时达到远优于已有技术的性能和效果。 具体而言,本文的主要贡献如下： 1.首次提出了基于对象的确定性重现技术,设计并实现了ORDER系统以完成对多线程Java应用的确定性重现。ORDER系统利用Java程序多以对象作为基本逻辑单元的特性,结合Java虚拟机对内存中对象的管理机制,提出以对象为粒度的确定性重现技术。该系统的性能是所有已知同类系统中最好的,在保证重现系统确定性的前提下,该系统记录阶段的开销仅为114%。此外,通过将重现系统的记录和重现实现于Java虚拟机中,ORDER系统不仅能重现现有系统可以重现的程序错误,还能够重现已有系统不能重现的错误,如由外部代码中的程序漏洞造成的错误。这也就意味着ORDER能够被用于诊断更多的程序漏洞。 2.首次提出导向性符号化执行方法,致力于提高符号化执行技术在应用于安卓应用时的运行效率,为利用符号化执

关键词： 程序静态分析   标记类型推导   Java语言   抽象语法树  

摘要： 近年来,由于智能手机Android的兴起,Java语言的影响力从服务器端延伸到了客户端。正是由于这一趋势,大量漏洞被发现,甚至是被恶意利用。程序静态分析是验证程序属性的分析方法之一,但是目前的程序静态分析方法遇到跨过程分析、路径爆炸和程序规模过大等困难。　　本文首先分析了主流的静态分析技术,类型推导依然是程序静态分析主要技术之一。其次分析了目前主流的静态分析工具,大部分工具基本没有使用类型推导技术或者应用较简单。类型推导是一种轻量级的程序分析方法。在编译器的基础上,对程序变量,函数的类型做了进一步的约束,更严格的验证程序的安全性及正确性。　　基于上述分析,本文设计并实现了面向Java语言的类型推导子系统:　　1.支持预定义标记类型,程序分析人员自定义标记类型,并在配置文件中为目标程序的关键位置添加标记类型,从而避免直接修改目标程序。　　2.自动将标记类型添加到目标程序语法树中。　　3.对目标程序生成一个约束系统。遍历抽象语法树,为程序中数据变量添加约束变元,按既定的推导规则为变元添加约束。如果发现预定义标记类型,为约束变元添加标记常量。　　4.对约束系统求解,如果发现约束变元无解,根据当前信息定位源代码中问题的精确位置。　　最后,结合目前比较流行的污染传播分析案例,对系统的分析能力进行了实验和评估,达到了预期的目的。试验说明,类型推导技术有效地规避了跨过程、路径爆炸和程序规模过大等问题。

关键词： Java语言   教学方法   考核方式  

摘要： 如何优化Java语言教学效果是高校Java教师一直探讨的热点问题。对高职Java教学中存在的问题进行分析,本文就教学方法提出几点教学建议,总结提高教学实效的措施。

关键词： java程序   内存行为   低效使用   优化策略  

摘要： 基于工作实践,分析java程序内存使用的低效问题,并进行相关原因的探析,在此基础上提出相应的优化java程序内存行为的具体策略。希望有关人员加以借鉴和参考,对java程序内存行为进行深入的研究,从而结合java程序内存行为的分析模型,对整个内存使用状态进行有效的分析和测试,探寻适用的优化策略。

关键词： Java程序设计   教学内容   教学方法  

摘要： 随着Java技术的不断发展及其应用领域的不断扩大,Java程序设计课程在高校计算机专业的重要性也日趋提高,本文针对Java程序设计课程教学中的常见问题进行了深入的研究和分析,并有针对性地从完善教学内容、改进教学方法、提高学生实践能力等方面给出了一些切实可行的措施。

关键词： 办公资产管理系统   Java程序设计   B/S系统架构  

摘要： 计算机和网络的出现给我们的工作和生活带来了极大的方便。企业信息管理平台将企业内部日常工作有机的组织起来，有效的提高了企业的工作效率与质量。在企业信息管理系统中，办公资产管理系统是其组成的一部分。 抚顺矿业集团属于全资国有企业，办公资产管理使用比较陈旧的人工管理方式。这种管理方式具有低效率、保密性差等缺点，随着管理时间的增长，大量的文件和数据将产生，使得查找、更新和维护等操作都十分不便。另外，为及时结算业务，盘点存余和办公资产出入情况，保证及时补充，管理人员要花费很多的时间作数据记录和统计工作。为了改善此种状况，提高工作效率，提升数据准确性，及数据共享程度，集团决定开发自有的办公资产管理系统。本文详细的介绍了抚顺矿业集团办公资产管理系统的具体设计与实现过程。 经过系统的调研分析，本系统主要包括物品申领单管理、采购管理、入库管理、出库管理、库存量调整、统计管理、系统维护管理和库存量报警查询等七个功能模块。基本涵盖了集团日常办公资产管理的所有业务范围。其中物品申领单管理模块主要实现物品申领单录入与查询功能，采购管理模块主要实现采购单录入和采购单查询与打印功能，入库管理模块主要实现入库单录入和入库单查询与打印功能，出库管理模块主要实现出库单录入和出库单查询与打印功能，库存量调整模块主要实现库存量调整和库存量调整履历查询功能，统计管理模块主要实现物品出库统计和物品库存情况统计功能，系统维护管理模块主要实现物品维护、人员维护、部署维护以及系统用户维护功能，库存量报警查询模块主要实现库存物品数量过低的报警查询功能。 系统采用Intranet结构，应用B/S系统架构和大集中的应用模式，使办公资产管理系统功能分配更加合理，资产管理的效率更高，由于Web技术的使用，对客户端的要求降低，只要使用浏览器就可在任意一台集团内网计算机上进行管理，是系统的配置与操作更加简单和方便。 本系统完成以后，我们对系统进行了测试和应用。测试和应用结果表明系统安全性高、稳定性强，很好的满足了企业对于办公资产管理的需要。系统使用非常方便，界面友好，交互性强。通过对该系统的使用，办公人员和管理人员的工作效率得到了很大的提高。