[發(fā)明專利]一種應(yīng)用漏洞的檢測方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 201811501564.8 | 申請日: | 2018-12-10 |
| 公開(公告)號: | CN111291377A | 公開(公告)日: | 2020-06-16 |
| 發(fā)明(設(shè)計)人: | 王申;南世慧;王洋 | 申請(專利權(quán))人: | 北京京東尚科信息技術(shù)有限公司;北京京東世紀(jì)貿(mào)易有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F21/56 |
| 代理公司: | 北京德琦知識產(chǎn)權(quán)代理有限公司 11018 | 代理人: | 牛崢;王麗琴 |
| 地址: | 100083 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 應(yīng)用 漏洞 檢測 方法 系統(tǒng) | ||
一種應(yīng)用漏洞的檢測方法及系統(tǒng),本發(fā)明實施例在檢測應(yīng)用漏洞時采用靜態(tài)檢測和動態(tài)檢測相結(jié)合方案,在靜態(tài)檢測時,通過對應(yīng)用的代碼進行靜態(tài)掃描確定是否有基于配置的應(yīng)用漏洞信息;在動態(tài)檢測時,根據(jù)設(shè)置的規(guī)則從應(yīng)用的代碼中提取潛在攻擊信息,使用動態(tài)檢測方式對所得到的潛在攻擊信息進行模糊測試使得應(yīng)用代碼產(chǎn)生異常,在所述應(yīng)用的異常狀態(tài)下提取特征向量,輸入到已訓(xùn)練的漏洞規(guī)則模型中,輸出所述潛在攻擊信息是否存在漏洞信息。可以看出,本發(fā)明實施例高效且準(zhǔn)確地檢測出應(yīng)用漏洞。
技術(shù)領(lǐng)域
本發(fā)明涉及計算機技術(shù),特別涉及一種應(yīng)用漏洞的檢測方法及系統(tǒng)。
背景技術(shù)
截止到2017年底,采用安卓操作系統(tǒng)的移動終端市場份額為85.9%,同時基于安卓操作系統(tǒng)開發(fā)的各種類型應(yīng)用總量也在迅速增長。大多數(shù)的安卓應(yīng)用開發(fā)者往往不具備充分的安全編程意識,而市面上又缺乏完善的應(yīng)用安全掃描工具,這使得應(yīng)用的安全隱患尤為嚴(yán)重。其中,基于安卓操作系統(tǒng)開發(fā)的應(yīng)用漏洞可以按照危害劃分為Dos攻擊、代碼執(zhí)行、內(nèi)存破壞、隱私竊取、提權(quán)和繞過幾類漏洞。應(yīng)用漏洞是影響應(yīng)用安全性的關(guān)鍵因素,因此如何在攻擊之前有效的識別應(yīng)用漏洞,對于使用應(yīng)用的用戶,以及應(yīng)用所涉及公司的利益和安全至關(guān)重要。
目前,對于應(yīng)用漏洞采用靜態(tài)檢測的方式進行,具體地說,有兩種方式:
第一種方式,設(shè)置反編譯安卓系統(tǒng)安裝包(Apk),在應(yīng)用中運行該設(shè)置的反編譯Apk,得到反編譯后的中間代碼,根據(jù)反編譯后的中間代碼判斷應(yīng)用是否有漏洞;
第二種方式,使用污點分析方法。設(shè)置反編譯Apk,在應(yīng)用中運行該設(shè)置的反編譯Apk,得到反編譯后的中間代碼,根據(jù)反編譯后的中間代碼生成應(yīng)用的控制流程圖,根據(jù)所生成的應(yīng)用控制流程圖檢測可能產(chǎn)生問題的點及產(chǎn)生條件之間有沒有一條通路,確定應(yīng)用在執(zhí)行時是否存在漏洞。
但是,無論采用哪一種方式都存在缺點:采用第一種方式,判斷應(yīng)用漏洞的正確性不高。這種方式僅僅只對應(yīng)用的一段代碼進行分析,缺少對檢出應(yīng)用漏洞結(jié)果的驗證,需要檢測應(yīng)用漏洞的開發(fā)人員人工對反編譯后的中間代碼進行應(yīng)用漏洞的判斷,比較繁瑣且費時。采用第二種方式需要占用大量的內(nèi)存。由于需要將應(yīng)用的每段獨立代碼進行反編譯且得到結(jié)構(gòu)化的節(jié)點及產(chǎn)生的條件,并且需要采用控制流程圖來鏈接這些節(jié)點,當(dāng)應(yīng)用的代碼量比較大時,整個驗證應(yīng)用漏洞的數(shù)據(jù)量將呈現(xiàn)指數(shù)級增長,需要耗費相當(dāng)大的內(nèi)存。
更進一步地,無論采用第一種方式還是采用第二種方式,判斷應(yīng)用漏洞產(chǎn)生的條件都不夠充分,應(yīng)用漏洞的產(chǎn)生不僅僅依賴于代碼,而且還依賴于其他方式,而上述方式僅僅是對應(yīng)用的代碼進行分析作為判斷依據(jù),缺少對應(yīng)用漏洞產(chǎn)生的其他方式進行有效的判斷。
因此,如何高效且準(zhǔn)確地檢測出應(yīng)用漏洞成為了一個亟待解決的技術(shù)問題。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實施例提供一種應(yīng)用的漏洞檢測方法,該方法能夠高效且準(zhǔn)確地檢測出應(yīng)用漏洞。
本發(fā)明實施例還提供一種應(yīng)用的漏洞檢測系統(tǒng),該系統(tǒng)能夠高效且準(zhǔn)確地檢測出應(yīng)用漏洞。
根據(jù)上述目的,本發(fā)明是這樣實現(xiàn)的:
一種應(yīng)用漏洞的檢測方法,包括:對應(yīng)用代碼的靜態(tài)檢測和動態(tài)檢測,其中,
靜態(tài)檢測:對應(yīng)用代碼進行靜態(tài)掃描,獲取其中基于配置的應(yīng)用漏洞信息;
動態(tài)檢測:根據(jù)設(shè)置的規(guī)則從應(yīng)用的代碼中提取潛在攻擊信息;
對所得到的潛在攻擊信息進行模糊測試使得應(yīng)用代碼產(chǎn)生異常;
在所述應(yīng)用的異常狀態(tài)下提取特征向量,輸入到已訓(xùn)練的漏洞規(guī)則模型中,輸出所述潛在攻擊信息是否存在漏洞信息。
所述潛在攻擊信息包括:攻擊面、攻擊向量和啟發(fā)值,其中,
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京京東尚科信息技術(shù)有限公司;北京京東世紀(jì)貿(mào)易有限公司,未經(jīng)北京京東尚科信息技術(shù)有限公司;北京京東世紀(jì)貿(mào)易有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811501564.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 在線應(yīng)用平臺上應(yīng)用間通信的回調(diào)應(yīng)答方法、應(yīng)用及在線應(yīng)用平臺
- 應(yīng)用使用方法、應(yīng)用使用裝置及相應(yīng)的應(yīng)用終端
- 應(yīng)用管理設(shè)備、應(yīng)用管理系統(tǒng)、以及應(yīng)用管理方法
- 能力應(yīng)用系統(tǒng)及其能力應(yīng)用方法
- 應(yīng)用市場的應(yīng)用搜索方法、系統(tǒng)及應(yīng)用市場
- 使用應(yīng)用的方法和應(yīng)用平臺
- 應(yīng)用安裝方法和應(yīng)用安裝系統(tǒng)
- 使用遠程應(yīng)用進行應(yīng)用安裝
- 應(yīng)用檢測方法及應(yīng)用檢測裝置
- 應(yīng)用調(diào)用方法、應(yīng)用發(fā)布方法及應(yīng)用發(fā)布系統(tǒng)
