一种代码安全风险检测方法技术

本发明专利技术涉及一种代码安全风险检测方法，包括：步骤1)构建安全信息知识库；步骤2)安全信息知识库增量维护；步骤3)漏洞代码特征信息的提取；步骤4)建立漏洞代码特征与缺陷关联知识库；步骤5)被监测代码特征提取；步骤6)被监测代码特征与漏洞代码与缺陷关联知识库进行匹配，如果匹配到信息，则该被监测代码存在安全风险，否则为安全代码，不存在安全风险。通过本发明专利技术，通过完成安全信息知识库、代码特征提取，以及漏洞代码特征与安全信息知识库的关联知识库的建立，实现对代码是否存在安全风险的检测。

A code security risk detection method

【技术实现步骤摘要】
一种代码安全风险检测方法
本专利技术涉及代码安全检测领域，尤其涉及一种代码安全风险检测方法。
技术介绍
随着网络的飞速发展，各种网络应用不断成熟，各种开发技术层出不穷，上网已经成为人民日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时，安全问题也变得越来越重要。随着全球范围的黑客入侵不断猖獗，信息安全问题越来越严重。在对抗黑客入侵的安全技术中，实时入侵检测和漏洞扫描评估IDnA(IntrusionDetectionandAssessment)的技术和产品已经开始占据越来越重要的位置。实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”，换句话说就是基于知识库的技术。可见，决定一个IDnA技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键本文档来自技高网...

【技术保护点】
1.一种代码安全风险检测方法，其特征在于，所述方法包括：/n步骤1)构建安全信息知识库：从cve漏洞信息网站爬取安全信息，并且从美国国家脆弱性数据库爬取cve漏洞对应的风险等级，构建安全信息知识库；/n步骤2)安全信息知识库增量维护：由于不断有新的漏洞被发现，并公布在cve漏洞信息安全网站，所以定期爬取最新的安全信息增量维护到本地安全信息知识库；/n步骤3)漏洞代码特征信息的提取：在开源网站爬取有已知cve漏洞的代码文件或者片段(函数)，提取特征值；/n步骤4)建立漏洞代码特征与缺陷关联知识库：将步骤3)中获取的代码特征值与对应的cve漏洞ID，建立漏洞代码特征与安全信息关联知识库；/n步骤5...

【技术特征摘要】
1.一种代码安全风险检测方法，其特征在于，所述方法包括：
步骤1)构建安全信息知识库：从cve漏洞信息网站爬取安全信息，并且从美国国家脆弱性数据库爬取cve漏洞对应的风险等级，构建安全信息知识库；
步骤2)安全信息知识库增量维护：由于不断有新的漏洞被发现，并公布在cve漏洞信息安全网站，所以定期爬取最新的安全信息增量维护到本地安全信息知识库；
步骤3)漏洞代码特征信息的提取：在开源网站爬取有已知cve漏洞的代码文件或者片段(函数)，提取特征值；
步骤4)建立漏洞代码特征与缺陷关联知识库：将步骤3)中获取的代码特征值与对应的cve漏洞ID，建立漏洞代码特征与安全信息关联知识库；
步骤5)被检测代码特征提取：对被检测代码文件或者代码片段，提取特征值；
步骤6)被监测代码特征与漏洞代码与缺陷关联知识库进行匹配：将步骤5)获取到的被检测代码特征值，在步骤4)建立的漏洞代码特征与安全信息关联知识库中根据被检测代码特征值能否匹配到cve漏洞，如果能匹配到，则该被检测代...

【专利技术属性】
技术研发人员：巨李岗，从慧珅，田伟丽，
申请(专利权)人：北京关键科技股份有限公司，
类型：发明
国别省市：北京;11