[發(fā)明專利]基于知識圖譜的第三方庫安全風(fēng)險分析方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 202110382640.3 | 申請日: | 2021-04-09 |
| 公開(公告)號: | CN113139192A | 公開(公告)日: | 2021-07-20 |
| 發(fā)明(設(shè)計)人: | 孫洲;薄莉莉;孫小兵;王一帆;周媛媛;李斌 | 申請(專利權(quán))人: | 揚州大學(xué) |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F21/56 |
| 代理公司: | 南京蘇高專利商標(biāo)事務(wù)所(普通合伙) 32204 | 代理人: | 孟紅梅 |
| 地址: | 225009 *** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 知識 圖譜 第三 安全 風(fēng)險 分析 方法 系統(tǒng) | ||
本發(fā)明公開了一種基于知識圖譜的第三方庫安全風(fēng)險分析方法及系統(tǒng),方法包括以下步驟:采集項目依賴配置文件,迭代獲取多層第三方庫lib信息及api調(diào)用關(guān)系;根據(jù)lib信息在NVD數(shù)據(jù)庫中索引CVE以搜集第三方庫的漏洞信息;根據(jù)CVE的相關(guān)屬性獲取含有漏洞的第三方庫中受影響的api;將生成的第三方庫及漏洞實體、關(guān)系信息文件導(dǎo)入知識圖譜工具構(gòu)建知識圖譜;通過構(gòu)建好的知識圖譜實現(xiàn)第三方庫安全風(fēng)險分析。本發(fā)明構(gòu)建了一種存儲第三方庫多個層級之間的調(diào)用信息及各層級之間存在精確到api級別的漏洞信息的知識圖譜,可對第三方庫調(diào)用鏈進行安全漏洞風(fēng)險分析,使軟件開發(fā)者全方位考慮到第三方庫安全漏洞信息,從而減少安全漏洞對軟件開發(fā)的隱患。
技術(shù)領(lǐng)域
本發(fā)明屬于軟件安全技術(shù)領(lǐng)域,特別涉及一種基于知識圖譜的第三方庫安全風(fēng)險分析方法及系統(tǒng)。
背景技術(shù)
在軟件開發(fā)領(lǐng)域內(nèi),大規(guī)模軟件幾乎都會使用第三方庫依賴來增加功能性。然而,有約超過1/4的第三方庫依賴存在安全漏洞隱患,而且95%的漏洞等級在中危(Middle)及以上,16%的漏洞等級為嚴(yán)重等級(Critical),再加上第三方庫間也存在調(diào)用與被調(diào)用的關(guān)系,如果間接調(diào)用的第三方庫中存在漏洞風(fēng)險,原項目也會有被漏洞風(fēng)險影響的可能性。如果這些安全漏洞被惡意開發(fā)者利用,會造成不可估計的損失。所以對第三方庫調(diào)用鏈進行漏洞分析檢測和風(fēng)險分析十分必要。
國內(nèi)外研究現(xiàn)狀下,對第三方庫依賴進行分析的方法有許多,如白名單匹配檢測、提取函數(shù)方法簽名、基于聚類方法技術(shù)、基于機器學(xué)習(xí)方法等。但這些技術(shù)并沒有在安全漏洞的角度進行對第三方庫的風(fēng)險分析。例如,白名單匹配檢測方法中僅是對代碼中的包名或者第三方庫的包名進行比較,一旦應(yīng)用使用了代碼混淆,對第三方庫的分析就會不準(zhǔn)確,容易誤導(dǎo)開發(fā)者。國外OWASP基金會提出了一種工具OWASP Dependency Check,它能夠連接國家計算機通用漏洞數(shù)據(jù)庫(National Vulnerability Database,NVD)數(shù)據(jù)庫對比項目依賴項列表,篩選出對應(yīng)的通用漏洞披露(Common Vulnerabilities and Exposures,CVE)。目前的風(fēng)險分析技術(shù)僅僅是對第三方庫進行一系列簡單檢測工作,或者是對單個第三方庫進行漏洞分析,沒有在調(diào)用鏈上考慮漏洞風(fēng)險,在第三方庫安全漏洞風(fēng)險存在方面存在分析不全面、漏報、誤報的現(xiàn)象。
發(fā)明內(nèi)容
發(fā)明目的:本發(fā)明的目的在于針對上述現(xiàn)有技術(shù)存在的問題,提供一種基于知識圖譜的第三方庫安全風(fēng)險分析方法及系統(tǒng),為第三方庫及調(diào)用過程中間接依賴時存在的漏洞或者隱藏漏洞進行安全風(fēng)險分析。
技術(shù)方案:實現(xiàn)本發(fā)明目的的技術(shù)解決方案為:基于知識圖譜的第三方庫安全風(fēng)險分析方法,所述方法包括以下步驟:
(1)采集項目依賴配置文件作為初始數(shù)據(jù)集,并從采集的文件中迭代獲取多層第三方庫lib信息及api調(diào)用關(guān)系,生成記錄所有的第三方庫實體的文件,以及記錄第三方庫實體間的精確到api級別的調(diào)用關(guān)系文件;
(2)根據(jù)步驟(1)中獲取的lib信息在NVD數(shù)據(jù)庫中索引CVE以搜集第三方庫的漏洞信息,生成記錄所有的漏洞實體的文件;
(3)根據(jù)漏洞實體的URLs屬性獲取含有漏洞的第三方庫中受影響的api信息,生成記錄第三方庫和漏洞關(guān)系的文件;
(4)將步驟(1)-(3)生成的記錄實體和關(guān)系的文件導(dǎo)入知識圖譜工具生成知識圖譜;
(5)通過構(gòu)建好的知識圖譜實現(xiàn)第三方庫安全風(fēng)險分析,得到CVE漏洞直接和間接影響到的第三方庫。
進一步地,所述步驟(1)中使用并行迭代算法思想實現(xiàn)lib信息及api調(diào)用關(guān)系的數(shù)據(jù)爬取與整理,其中第三方庫實體的屬性包括lib的編號、版本號、類別和發(fā)布時間,具體步驟包括:
(1.1)從項目依賴配置文件中抽取出第一層第三方庫信息lib1;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于揚州大學(xué),未經(jīng)揚州大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110382640.3/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種具有夾緊定位功能的線性模組
- 下一篇:一種雙氟磺酰亞胺鋰的制備方法
- 用于圖譜界面的數(shù)據(jù)處理方法及系統(tǒng)
- 用于內(nèi)容特征圖譜化的特征圖譜布局的服務(wù)器及介質(zhì)
- 圖譜的構(gòu)建方法及裝置、電子設(shè)備
- 信息圖譜構(gòu)建方法、裝置及設(shè)備
- 知識圖譜的完善方法及裝置、數(shù)據(jù)處理方法及裝置
- 一種知識圖譜的構(gòu)建方法、裝置、知識圖譜系統(tǒng)及設(shè)備
- 一種基于知識圖譜的故障判別推理方法
- 一種事件圖譜的匹配方法、裝置、電子設(shè)備及存儲介質(zhì)
- 一種用于創(chuàng)建知識圖譜的計算機設(shè)備
- 一種支持增量實體關(guān)聯(lián)的關(guān)系圖譜計算方法
