本发明专利技术公开了一种分布式云系统的漏洞检测方法、装置及电子设备,该方法包括:获取分布式云系统的运行日志、云系统代码以及分布式云系统中的用户参数;对运行日志进行分析得到用户变量和用户相关变量;对云系统代码进行异常检查得到系统相关变量;基于用户变量、用户相关变量和系统相关变量确定权限检查接口和特权操作;根据权限检查接口、特权操作和用户参数对分布式系统进行分析得到漏洞。本发明专利技术通过分析出的用户相关变量和系统相关变量,从而快速准确的识别特权操作,有效提高了漏洞检测的效率和精确度,从而更好的保障分布式云系统的安全。安全。安全。
【技术实现步骤摘要】
一种分布式云系统的漏洞检测方法、装置及电子设备
[0001]本专利技术涉及漏洞检测
,具体涉及一种分布式云系统的漏洞检测方法、装置及电子设备。
技术介绍
[0002]分布式云系统面临着巨大的安全挑战。云平台上托管了大量有价值的数据,这自然吸引了攻击者的注意。尽管已经引入了各种安全机制来保护云系统,但是仍然广泛存在可被利用的漏洞,因而导致出现了大量云漏洞。在分布式云系统的各类漏洞中,访问控制漏洞是最普遍和最麻烦的漏洞之一。分布式云系统由多个组件组成,其中每个组件都提供一套可远程访问的API,用于与用户或系统中的其他组件进行通信。开发人员经常会忘记在这些API中引入适当的权限检查,因而导致出现容易被利用的权限检查缺失(MPC)漏洞。
[0003]目前,人们已经开发了一些方法来检测操作系统和网络应用中的MPC漏洞,这些方法通常由手动指定权限进行检查,分布式云系统中的不同组件往往实现不同的权限检查机制,若在分布式云系统中检查和指定所有这些权限检查方法需要大量的手动工作,且部分权限检查是用户变量临时进行的,目前还不清楚如何手动指定这些条件语句。如果无法正确识别权限检查接口,就无法精确挖掘特权操作;此外,很大一部分特权操作不受任何权限检查的保护,现有的基于挖掘的方法无法识别这些操作。因此这种方式只适用于目标系统,并不适用于分布式云系统。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供了一种分布式云系统的漏洞检测方法、装置及电子设备,以解决现有技术中对分布式系统进行漏洞检测的准确性差的问题。
[0005]为达到上述目的,本专利技术提供如下技术方案:
[0006]本专利技术实施例提供了一种分布式云系统的漏洞检测方法,包括:
[0007]获取分布式云系统的运行日志、云系统代码以及分布式云系统中的用户参数和数据流;
[0008]对所述运行日志进行分析得到用户变量和用户相关变量;
[0009]对所述云系统代码进行异常检查得到系统相关变量;
[0010]基于所述用户变量、用户相关变量和所述系统相关变量确定权限检查接口和特权操作;
[0011]根据所述权限检查接口、所述特权操作、所述用户参数和数据流对所述分布式系统进行通信分析和数据分析得到漏洞。
[0012]可选的,所述对所述运行日志进行分析得到用户变量和用户相关变量,包括:
[0013]从所述运行日志中提取变量;
[0014]从所述变量中筛选出代表用户的用户变量和其余变量;
[0015]将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量。
[0016]可选的,所述将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量,包括:
[0017]判断所述其余变量中的当前变量与所述用户变量或用户相关变量是否在同一条运行日志中;
[0018]若当前变量与所述用户变量或用户相关变量在同一条运行日志中,则将所述当前变量确定为用户相关变量。
[0019]可选的,所述将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量,包括:
[0020]对所述其余变量和所述用户变量进行分析得到各自对应的变量类型;
[0021]将所述其余变量中当前变量的变量类型与所述用户变量的变量类型进行匹配;
[0022]若所述当前变量的变量类型与所述用户变量的变量类型相同,则将所述当前变量确定为用户相关变量。
[0023]可选的,所述对所述云系统代码进行异常检查得到系统相关变量,包括:
[0024]对所述云系统代码进行遍历,得到终止正常执行的错误提示点;
[0025]基于所述错误提示点查找与所述错误提示点相关的第一条件语句;
[0026]根据所述第一条件语句得到对应的实例字段,将所述实例字段作为系统相关变量。
[0027]可选的,所述基于所述用户变量、用户相关变量和所述系统相关变量确定权限检查接口和特权操作,包括:
[0028]根据所述用户变量得到测试用户变量的条件语句标记为权限检查接口;
[0029]筛选与所述用户相关变量和所述系统相关变量的访问操作;
[0030]将所述访问操作作为特权操作。
[0031]可选的,所述根据所述权限检查接口、所述特权操作和所述用户参数对所述分布式系统进行分析得到漏洞,包括:
[0032]对所述用户参数进行解析得到用户请求;
[0033]判断所述用户请求的处理方式,若所述用户请求在其相应的处理程序中存在特权操作且没有通过权限检查接口进行权限检查,则将所述用户请求标记为漏洞;
[0034]通过数据流的方式对用户请求进行分析得到程序路径及程序路径上的多个节点;
[0035]对所述程序路径上的多个节点进行权限检查和特权操作检查,若存在进行了特权操作的节点且所有节点均没有通过权限检查接口进行权限检查,则将所述用户请求标记为漏洞。
[0036]本专利技术实施例还提供了一种分布式云系统的漏洞检测装置,包括:
[0037]获取模块,用于获取分布式云系统的运行日志以及分布式云系统中的用户参数;
[0038]分析模块,用于对所述运行日志进行分析得到用户变量和用户相关变量;
[0039]检查模块,用于对所述云系统代码进行异常检查得到系统相关变量;
[0040]确定模块,用于基于所述用户变量、用户相关变量和所述系统相关变量确定权限检查接口和特权操作;
[0041]漏洞模块,用于根据所述权限检查接口、所述特权操作和所述用户参数对所述分布式系统进行分析得到漏洞。
[0042]本专利技术实施例还提供了一种电子设备,包括:
[0043]存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本专利技术实施例提供的分布式云系统的漏洞检测方法。
[0044]本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行本专利技术实施例提供的分布式云系统的漏洞检测方法。
[0045]本专利技术技术方案,具有如下优点:
[0046]本专利技术提供了一种分布式云系统的漏洞检测方法,通过获取分布式云系统的运行日志、云系统代码以及分布式云系统中的用户参数;对运行日志进行分析得到用户变量和用户相关变量;对云系统代码进行异常检查得到系统相关变量;基于用户变量、用户相关变量和系统相关变量确定权限检查接口和特权操作;根据权限检查接口、特权操作和用户参数对分布式系统进行分析得到漏洞。本专利技术通过分析出的用户相关变量和系统相关变量,从而快速准确的识别特权操作,有效提高了漏洞检测的效率和精确度,从而更好的保障分布式云系统的安全。
附图说明
[0047]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种分布式云系统的漏洞检测方法,其特征在于,包括:获取分布式云系统的运行日志、云系统代码以及分布式云系统中的用户参数;对所述运行日志进行分析得到用户变量和用户相关变量;对所述云系统代码进行异常检查得到系统相关变量;基于所述用户变量、用户相关变量和所述系统相关变量确定权限检查接口和特权操作;根据所述权限检查接口、所述特权操作和所述用户参数对所述分布式系统进行分析得到漏洞。2.根据权利要求1所述的分布式云系统的漏洞检测方法,其特征在于,所述对所述运行日志进行分析得到用户变量和用户相关变量,包括:从所述运行日志中提取变量;从所述变量中筛选出代表用户的用户变量和其余变量;将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量。3.根据权利要求2所述的分布式云系统的漏洞检测方法,其特征在于,所述将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量,包括:判断所述其余变量中的当前变量与所述用户变量或用户相关变量是否在同一条运行日志中;若当前变量与所述用户变量或用户相关变量在同一条运行日志中,则将所述当前变量确定为用户相关变量。4.根据权利要求2所述的分布式云系统的漏洞检测方法,其特征在于,所述将所述用户变量与所述其余变量之间的关系进行判断,得到用户相关变量,包括:对所述其余变量和所述用户变量进行分析得到各自对应的变量类型;将所述其余变量中当前变量的变量类型与所述用户变量的变量类型进行匹配;若所述当前变量的变量类型与所述用户变量的变量类型相同,则将所述当前变量确定为用户相关变量。5.根据权利要求1所述的分布式云系统的漏洞检测方法,其特征在于,所述对所述云系统代码进行异常检查得到系统相关变量,包括:对所述云系统代码进行遍历,得到终止正常执行的错误提示点;基于所述错误提示点查找与所述错误提示点相关的第一条件语句;根据所述第一条件语句得到对应的实例字段,将所述实例字段作为系统相关变量。6.根据权利要求1所述的分布式云系统的漏洞检测方法,其特征在于,所述基于...
【专利技术属性】
技术研发人员:陆杰,李昊峰,刘晨,李炼,高琳,
申请(专利权)人:中科天齐山西软件安全技术研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。