지식기반을 이용한 보안취약점 정적탐지

Abstract

프로그램 서비스의 수요가 많아질수록 공급 또한 늘어난다. 하지만 그 속도를 맞추기 위해서는 프로그램의 질이 떨어 질 수 있다. 그래서 보안 취약점이 늘어나고 그에 대해 악용하는 해커들이 늘어나고 있다. 프로그 램이 보안에 노출되는 경우는 프로그램 개발 단계에서 보안을 고려하지 않 고 작성할 때 더 많은 보안취약점이 노출된다. CWE(Common Weakness Enumeration)에서는 소프트웨어 보안 및 품질 강화를 위해 개발 과정 중에 참고 할 수 있도록 다양한 언어 환경 소프트웨어들의 취약점을 표준화하여 제공한다.기존의 보안취약점 관리 방법들에서는 프로그램을 실행하면서 발 생하는 실행 성질을 가지고 분석하는 동적분석방법과 프로그램의 소스코드를 가지고 분석하는 정적분석방법이 있다. 본 논문에서는 CWE에서 제공하는 대표적인 보안취약점들을 대상으로 정적분석방법을 진행하였다. 정적분석 방법에서도 AST와 흐름그래프를 생성해서 패턴으로 보안취약점을 분석하는 방법을 지식베이스를 이용해서 탐지하는방법을 제시하고 구현하였다