【技术实现步骤摘要】
一种基于代码动态分析的代码安全扫描系统及方法
本专利技术涉及网络安全
,并且更具体地,涉及一种基于代码动态分析的代码安全扫描系统及方法。
技术介绍
随着时代的发展,信息技术深远的改变着人们的工作和生活。但是在给人们带来便利的同时,信息技术也带来了新的犯罪手段。信息系统中的黑客攻击比传统犯罪行为更加隐蔽,更加难以预防。在无声无息中,人们的信息资产甚至是物理安全都有可能会受到损害。防御性的设备,包括防火墙、IDS、IPS等的引入,一定程度上提高了系统的安全水准,但是这些设备并不能有效地预防应用级别的攻击,尤其是不能有效防御系统中未知漏洞攻击。目前,公司信息系统规模庞大,版本迭代速度快,开发和维护工作繁重,同时更要兼顾信息安全。信息系统研发人员普遍缺乏安全技术知识和安全意识,不愿意或者不能够编写出安全的程序代码。公司对信息安全工作成本高,但收益和成效难以量化。最重要的是,公司缺乏能够真正高效、准确、深入的发掘代码层面安全漏洞的自动化解决方案。第一代代码扫描技术,一般用于开源的代码扫描工具。采用的主要是关键词和...
【技术保护点】
1.一种基于代码动态分析的代码安全扫描系统,所述系统包括:/n代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;/n数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。/n
【技术特征摘要】
1.一种基于代码动态分析的代码安全扫描系统,所述系统包括:
代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;
数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。
2.根据权利要求1所述的系统,所述代码扫描引擎,包括:
虚拟中间语言代码翻译器,取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
安全扫描指导规则,定义安全漏洞类型的特征和扫描规则;
代码分析虚拟执行引擎,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级;
扫描报告生成器,对整理、分类和安全威胁等...
【专利技术属性】
技术研发人员:李凌,方帅,宋小芹,王杰,左海峰,朱宏杰,贾林,靳鑫,严敏辉,单松玲,
申请(专利权)人:中国电力科学研究院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。