【技术实现步骤摘要】
一种提高源代码审计漏洞命中率开发方法
本专利技术涉及计算机领域,尤其涉及一种提高源代码审计漏洞命中率开发方法。
技术介绍
如果把网络信息安全工作比作一场战争的话,漏洞扫描就是这场战争中,盘旋在终端设备,网络设备上空的“全球鹰”。网络安全工作是防守和进攻的博弈,是保证信息安全,工作顺利开展的奠基石。及时和准确地审视自己信息化工作的弱点,审视自己信息平台的漏洞和问题,才能在这场信息安全战争中,处于先机,立于不败之地。只有做到自身的安全,才能立足本职,保证公司业务稳健的运行。对于开发者而言,在使用源代码漏洞静态扫描系统时,面对包含大量误报的漏洞报告,审核漏洞难度大,会消耗大量时间,甚至会因为无法发现真实漏洞失去耐心,放弃使用扫描系统;但是软件中依然存在真实漏洞,虽然真实漏洞数量较少,但是危害性高,不及时解决容易被恶意开发者利用,造成巨大经济损失。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供提高源代码审计漏洞命中率开发方法。本专利技术的目的是通过以下技术方案来实现的:一种提...
【技术保护点】
1.一种提高源代码审计漏洞命中率开发方法,其特征在于,包括以下步骤:/n对源代码进行审计,获取漏洞报告,将漏洞报告映射到漏洞数据集;/n融合漏洞报告并对其进行向后程序切片,获取切片代码语法特征向量;/n过滤器获取漏洞报告,并对漏洞数据集进行漏洞扫描,过滤掉漏洞报告中的误报;/n其中,所述过滤器的训练,包括以下步骤:/n漏洞专家对漏洞报告进行人工审核,并将误报的漏洞进行标记;/n将经过漏洞专家审核得到的正报和误报数据存储至数据集;/n系统对漏洞数据集进行扫描获取漏洞数据,并对每一个漏洞项进行特征提取,获取漏洞项的语法特征向量;/n将漏洞项的语法特征向量以及正报或误报标签作为训...
【技术特征摘要】
1.一种提高源代码审计漏洞命中率开发方法,其特征在于,包括以下步骤:
对源代码进行审计,获取漏洞报告,将漏洞报告映射到漏洞数据集;
融合漏洞报告并对其进行向后程序切片,获取切片代码语法特征向量;
过滤器获取漏洞报告,并对漏洞数据集进行漏洞扫描,过滤掉漏洞报告中的误报;
其中,所述过滤器的训练,包括以下步骤:
漏洞专家对漏洞报告进行人工审核,并将误报的漏洞进行标记;
将经过漏洞专家审核得到的正报和误报数据存储至数据集;
系统对漏洞数据集进行扫描获取漏洞数据,并对每一个漏洞项进行特征提取,获取漏洞项的语法特征向量;
将漏洞项的语法特征向量以及正报或误报标签作为训练集,用于DNN模型训练;
系统将训练得到的误报过滤模型存入到MongoDB,进行持久化存储;
过滤器对漏洞报告进行误报过滤时,只需要提取切片代码对应的语法和语义特征向量,即可使用已有的误报过滤模型进行误报过滤。
2.根据权利要求1所述的一种提高源代码审计漏洞命中率开发方法,其特征在于,所述代码审计使用开源源代码静态扫描工具SONARQUBE。
3.根据权利要求1所述的一种提高源代码审计漏洞命中率开发方法,其特征在于,所述获取切片代码语法特征向量包括以...
【专利技术属性】
技术研发人员:曹亮,刘魁,吴腾达,肖辉,
申请(专利权)人:成都信息工程大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。