【技术实现步骤摘要】
一种基于网络框架对静态分析缺失语义进行补充的方法
[0001]本专利技术涉及网络服务
,具体涉及一种基于网络框架对静态分析缺失语义进行补充的方法。
技术介绍
[0002]现代Web应用程序基于一个或多个web框架构建。这些框架通常为使用者提供多种形式的配置,并且在框架的实现中依赖于动态语言特性,因此很难对整个程序或仅对应用程序代码进行静态分析。现有方法为了增强静态分析基于web框架应用程序的能力而通过增加框架配置到静态分析语义的映射规则以模拟框架潜在的行为。受web框架影响的静态程序分析的概念可以分为两类,一类是框架主动调用应用程序代码引起的行为语义缺失,另一类是框架对运行时的对象管理导致的对象语义缺失。这两个概念都描述了静态分析所需的信息,但通常不能通过纯代码分析直接获得。现有技术中通过技术人员手动进行配置不仅要面对框架类型各异和版本更迭带来的配置量问题,还需要对不同框架的特性和静态分析领域有一定的专业知识,这些使得手动根据网络框架配置对静态分析过程中缺失的语义进行补充成为一项要求极高且十分耗时的工作。
专利...
【技术保护点】
【技术特征摘要】
1.一种基于网络框架对静态分析缺失语义进行补充的方法,其特征在于,包括:获取目标网络应用程序的执行日志,所述目标网络应用程序是基于目标网络框架生成的;基于所述执行日志中从所述目标网络应用程序中提取与预设缺失语义对应的配置标记;对所述配置标记进行关联分析得到补充语义;基于所述补充语义对静态分析中缺失的语义进行补充。2.根据权利要求1所述的基于网络框架对静态分析缺失语义进行补充的方法,其特征在于,所述获取目标网络应用程序的执行日志,包括:将所述目标网络应用程序与预设插桩工具进行匹配;所述预设插桩工具根据匹配结果将多个记录器插入所述目标网络应用程序中,在所述标网络应用程序启动后记录运行过程中的运行信息,生成运行日志。3.根据权利要求1所述的基于网络框架对静态分析缺失语义进行补充的方法,其特征在于,所述基于所述执行日志中从所述目标网络应用程序中提取与预设缺失语义对应的配置标记,包括:对所述执行日志进行语义分析得到程序执行语义;根据所述程序执行语义与所述目标网络应用程序中程序代码之间的对应关系,得到所述程序执行语义对应的程序代码片段;将所述程序代码片段与所述预设缺失语义的代码片段进行匹配,并根据匹配结果建立所述预设缺失语义与所述程序代码片段之间的映射;从所述目标网络应用程序中提取与所述程序代码片段对应的配置标记。4.根据权利要求3所述的基于网络框架对静态分析缺失语义进行补充的方法,其特征在于,所述对所述执行日志进行语义分析得到程序执行语义,包括:从所述执行日志中提取执行顺序信息和调用点信息构建带有附属信息的动态调用图,所述附属信息为所述执行日志中体现调用点和调用目标之间映射关系的信息;根据所述调用关系对所述动态调用图进行遍历提取入口点语义和非入口点语义;根据所述附属信息对所述动态调用图进行遍历提取间接调用语义;从所述执行日志中提取字段语义相关的运行信息,得到注入字段语义和普通字段语义。5.根据权利要求4所述的基于网络框架对静态分析缺失语义进行补充的方法,其特征在于,所述根据所述调用关系对所述动态调用图进行遍历提取入口点语义和非入口点语义...
【专利技术属性】
技术研发人员:孟海宁,李昊峰,曹立庆,刘晨,陆杰,李炼,高琳,
申请(专利权)人:中科天齐山西软件安全技术研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。