本發(fā)明公開了一種基于代碼動態(tài)分析的代碼安全掃描系統(tǒng)及方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明系統(tǒng)，包括：代碼掃描引擎，所述代碼掃描引擎定義安全漏洞類型的特征和掃描規(guī)則，讀取目標(biāo)代碼，并將目標(biāo)代碼翻譯為中間語言代碼并對中間語言代碼進行預(yù)處理，生成目標(biāo)中間語言代碼，根據(jù)安全漏洞類型的特征和掃描規(guī)則對目標(biāo)中間語言代碼進行掃描，獲取安全漏洞，對安全漏洞進行整理、分類和安全威脅等級定級后生成掃描報告文件；數(shù)據(jù)存儲層，所述數(shù)據(jù)存儲層存儲目標(biāo)代碼、目標(biāo)中間代碼和掃描報告文件。本發(fā)明提供高效率低誤報的代碼安全掃描能力，為用戶構(gòu)建高效安全的開發(fā)體系。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，并且更具體地，涉及一種基于代碼動態(tài)分析的代碼安全掃描系統(tǒng)及方法。

背景技術(shù)

隨著時代的發(fā)展，信息技術(shù)深遠的改變著人們的工作和生活。但是在給人們帶來便利的同時，信息技術(shù)也帶來了新的犯罪手段。信息系統(tǒng)中的黑客攻擊比傳統(tǒng)犯罪行為更加隱蔽，更加難以預(yù)防。在無聲無息中，人們的信息資產(chǎn)甚至是物理安全都有可能會受到損害。防御性的設(shè)備，包括防火墻、IDS、IPS等的引入，一定程度上提高了系統(tǒng)的安全水準(zhǔn)，但是這些設(shè)備并不能有效地預(yù)防應(yīng)用級別的攻擊，尤其是不能有效防御系統(tǒng)中未知漏洞攻擊。

目前，公司信息系統(tǒng)規(guī)模龐大，版本迭代速度快，開發(fā)和維護工作繁重，同時更要兼顧信息安全。信息系統(tǒng)研發(fā)人員普遍缺乏安全技術(shù)知識和安全意識，不愿意或者不能夠編寫出安全的程序代碼。公司對信息安全工作成本高，但收益和成效難以量化。最重要的是，公司缺乏能夠真正高效、準(zhǔn)確、深入的發(fā)掘代碼層面安全漏洞的自動化解決方案。

第一代代碼掃描技術(shù)，一般用于開源的代碼掃描工具。采用的主要是關(guān)鍵詞和模式匹配技術(shù)，只適用于檢測最簡單、明顯的安全漏洞，實用價值十分有限。第二代代碼掃描技術(shù)，基于形式化的邏輯和數(shù)學(xué)理論進行靜態(tài)分析代碼分析，是目前業(yè)界的主流。它比第一代技術(shù)多了對于程序代碼全局邏輯的理解能力，但是靜態(tài)模型的精確度較低，誤報率高，需要具備安全知識的專業(yè)人員花費大量時間進行復(fù)查和糾錯，工作效率低。

隨著公司對電力信息系統(tǒng)安全要求不斷提高，當(dāng)前代碼安全檢測裝置在實際工作中存在以下幾點弊端：

1.無法自主可控；

2.不符合行業(yè)特性；

3.成本費用較高。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明提供了一種基于代碼動態(tài)分析的代碼安全掃描系統(tǒng)，包括：

代碼掃描引擎，所述代碼掃描引擎定義安全漏洞類型的特征和掃描規(guī)則，讀取目標(biāo)代碼，并將目標(biāo)代碼翻譯為中間語言代碼并對中間語言代碼進行預(yù)處理，生成目標(biāo)中間語言代碼，根據(jù)安全漏洞類型的特征和掃描規(guī)則對目標(biāo)中間語言代碼進行掃描，獲取安全漏洞，對安全漏洞進行整理、分類和安全威脅等級定級后生成掃描報告文件；

數(shù)據(jù)存儲層，所述數(shù)據(jù)存儲層存儲目標(biāo)代碼、目標(biāo)中間代碼和掃描報告文件。

可選的，代碼掃描引擎，包括：

虛擬中間語言代碼翻譯器，取目標(biāo)代碼，并將目標(biāo)代碼翻譯為中間語言代碼并對中間語言代碼進行預(yù)處理，生成目標(biāo)中間語言代碼；

安全掃描指導(dǎo)規(guī)則，定義安全漏洞類型的特征和掃描規(guī)則；

代碼分析虛擬執(zhí)行引擎，根據(jù)安全漏洞類型的特征和掃描規(guī)則對目標(biāo)中間語言代碼進行掃描，獲取安全漏洞，對安全漏洞進行整理、分類和安全威脅等級定級；

掃描報告生成器，對整理、分類和安全威脅等級定級安全漏洞生成掃描報告文件。

可選的，系統(tǒng)還包括：應(yīng)用層，所述應(yīng)用層為可操作界面，對所述系統(tǒng)進行操作控制。

可選的，預(yù)處理，包括：對目標(biāo)代碼指令進行簡化，剔除與安全無關(guān)的信息。