【技术实现步骤摘要】
基于补丁比对和污点分析的漏洞检测方法、设备及介质
[0001]本专利技术涉及漏洞检测
,尤其涉及一种基于补丁比对和污点分析的漏洞检测方法、设备及介质。
技术介绍
[0002]软件漏洞是存在于系统或者应用软件中,可导致攻击者在未授权情况下访问或破坏系统的安全缺陷。软件漏洞形成的原因具有多样性,包括开发人员疏忽及水平受限、编译器安全缺陷、程序功能逻辑复杂、程序测试不充分等因素。新的信息环境下,软件规模越来越大,软件复杂度越来越高,涉及代码规模、功能组成、多线程并发、数据资源共享等复杂机制。
[0003]同时,现有的一些针对软件源代码的漏洞检测工具往往具有较高的误报率和漏报率。即使是经验丰富的安全分析员也需要耗费大量的时间去确认每一个漏洞相关信息,以致严重阻碍了软件源代码漏洞检测的效率。
[0004]手动漏洞分析方法主要存在人工经验依赖度强且难以满足软件规模需求等问题,尤其是随着软件规模的不断提升,该过程往往需要配合程序分析工具进行。而诸如抽象语法树(AST)、控制流图(CFG)、程序依赖图(PDG)等传统源...
【技术保护点】
【技术特征摘要】
1.一种基于补丁比对和污点分析的漏洞检测方法,其特征在于,包括:漏洞代码片段获取:获取与漏洞类型相关的漏洞补丁信息,通过对漏洞补丁文件进行分析获取漏洞代码片段;污点分析:对漏洞代码片段进行污点分析确定污点数据的来源source点和漏洞触发位置的sink点,并对从source点到sink点的污点路径进行污点传播分析,生成相应的漏洞规则,并加入到漏洞规则库中;漏洞检测:利用漏洞规则库中的漏洞规则,对目标代码项目编译后的代码工程进行扫描,匹配到与其类型相匹配的漏洞,并输出漏洞代码位置和路径。2.根据权利要求1所述的基于补丁比对和污点分析的漏洞检测方法,其特征在于,针对公开漏洞库、代码仓库以及漏洞代码管理平台,分别采用不同的自动化方法来采集漏洞补丁信息:针对代码仓库,先后通过commit id分析、文本过滤筛选和命令行调用引擎获取漏洞补丁文件;针对公开漏洞库,先后通过提取reference链接、url过滤筛选和爬虫引擎获取漏洞补丁文件;针对漏洞代码管理平台,先后通过提取reference链接、url过滤筛选和爬虫引擎获取漏洞补丁文件,或直接通过爬虫引擎获取漏洞补丁文件。3.根据权利要求2所述的基于补丁比对和污点分析的漏洞检测方法,其特征在于,针对漏洞数据集中的某一种漏洞类型,对漏洞补丁文件进行分析,通过漏洞补丁diff文件中的commit id,基于命令行调用从对应软件的代码仓库中获取漏洞修补前/后代码,然后通过diff文件的+/
‑
行,定位到漏洞修补前/后代码中的漏洞代码片段。4.根据权利要求2所述的基于补丁比对和污点分析的漏洞检测方法,其特征在于,漏洞补丁文件包括漏洞diff文件,即软件漏洞修复前后差异比对文件。5.根据权利要求2所述的基于补丁比对和污点分析的漏洞检测方法,其特征在于,代码仓库包括GitHub...
【专利技术属性】
技术研发人员:刘杰,饶志宏,毛得明,和达,王一凡,
申请(专利权)人:中国电子科技网络信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。