http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
진민식(Minsik Jin),이광근(Kwangkeun Yi) 한국정보과학회 2007 한국정보과학회 학술발표논문집 Vol.34 No.1C
이 논문에서는 다단계 프로그램의 실행흐름을 타입을 기반으로 분석하는 방법을 제시하고 있다. 다단계 프로그램이란 실행 중 코드를 만들고 실행할 수 있는 언어를 말한다. 본 논문에서는 기존의 고차 함수형 언어의 실행흐름을 분석하는 방법을 다단계 언어를 위해서 확장한 방법을 제시하고 있다. 이 분석은 한 수식이 평가될 때 호출될 수 있는 함수들의 집합을 정적으로 분석하여 다단계 프로그램의 실행흐름 정보를 제공한다.
의미 기반 정적 분석과 규칙 명세 언어를 활용한 C/C++ 프로그램 보안 취약점 검출
윤용호(Yongho Yoon),진민식(Minsik Jin),정영범(Yungbum Jung),이규호(Gyuho Lee),김희동(Heedong Kim),김진국(Jingoog Kim) 한국정보과학회 2019 정보과학회 컴퓨팅의 실제 논문지 Vol.25 No.10
보안 취약점을 정적 분석으로 검출하는 것에는 여러 장점이 있지만 일반적으로 새로운 취약점 검출을 지원하기 위한 비용이 크다는 어려움이 있다. 검출 범위를 손쉽게 확장하기 위해 보안 취약점을 표현할 수 있는 방법을 정의하고 그 표현에 부합하는 프로그램을 검출하는 기술이 존재하지만 대개 프로그램의 모양에만 의존하거나 간단한 값 흐름 분석에만 적용할 수 있었다. 이런 점을 보완하기 위하여 보안 약점을 표현할 수 있는 규칙 명세 언어를 정의하고 이를 기반으로 취약점을 검출하는 요약 해석 기반 정적 분석 도구를 고안 및 구현하였다. 분석 대상 언어는 C/C++이며, 상용 정적 분석 도구에 포함된 C/C++ 분석 엔진을 기반으로 규칙 명세 언어 매칭 검사기를 구현했다. 대상 취약점은 CWE(Common Weakness Enumeration) 목록 중 적합한 17가지를 선별했다. 정오탐률 계산을 위해 자동생성한 테스트 셋을 대상으로 성능을 시험한 결과 정탐률은 61.4%, 오탐률은 7.5%로 집계되었다. In spite of a number of advantages to detecting security holes using static semantic analysis, new types of vulnerabilities are not easily detected by the existing static analyzers. Some technologies have defined mechanisms to identify security vulnerabilities and match them with the programs but they are based only on simple syntactic analysis or data-flow analysis. We defined rule description language (RDL) to describe vulnerability rules and made a static analyzer based on abstract interpretation that detects the denoted defects in C/C++ programs. Implementation of the RDL matching engine was based on an existing commercial C/C++ static analysis tool. We selected 17 rules from the CWE (Common Weakness Enumeration) list that fit with RDL and static analysis. We evaluated the correctness of our tool with automatically generated test cases and the result showed 61.4% true positive and 7.5% false negative rates.
오학주(Hakjoo Oh),정영범(Youngbum Jung),진민식(Minsik Jin),김덕환(Deokhwan Kim),황의권(Yikwon Hwang),박대준(Daejun Park),이희종(Heejong Lee),공순호(Soonho Kong),이광근(Kwangkeun Yi) 한국정보과학회 2007 한국정보과학회 학술발표논문집 Vol.34 No.1C
Sparrow(스패로우)는 C/C++로 작성된 프로그램의 메모리 누수와 버퍼오버런 오류를 자동으로 프로그램 실행전에 찾아주는 도구이다. Sparrow는 실제 현장에서 쓰이는 상용 프로그램의 분석에 유용하게 쓰일 수 있도록 제작되었다. 이를 위해 분석기 엔진은 수십만 라인 이상의 소프트웨어를 적절한 시간과 정확도로 분석하기 할 수 있도록 많은 기술이 적용되었다. 또한 사용자의 편의성을 위해 대상 프로그램의 소스 구조를 자동으로 파악하여 분석을 준비하고, 거짓일 가능성이 높은 알람을 미리 제거하며, 발생한 알람의 원인을 설명해 준다. Sparrow로 httpd-2.2.2를 비롯한 오픈 소프트웨어들을 분석한 결과 실제 오류들을 찾아낼 수 있었다.