一种系统测试阶段的安全检测方法和系统技术方案

本发明专利技术涉及系统安全检测技术领域，具体地说，涉及一种系统测试阶段的安全检测方法和系统。其包括插桩收集模块以及漏洞监测分析模块。本发明专利技术通过插桩收集模块根据获取数据流或者流量数据，支持对应用中存在的不合规的个人隐私数据处理行为进行检测，不仅可以解决标准中规定的身份证号、密码等信息明文保存至数据库、日志文件或响应时产生的隐私数据泄露问题，还可以根据用户实际使用场景灵活配置检测项，帮助用户按需检测，并迅速定位存在隐私泄露风险的漏洞地址和代码位置。露风险的漏洞地址和代码位置。露风险的漏洞地址和代码位置。

【技术实现步骤摘要】
一种系统测试阶段的安全检测方法和系统


[0001]本专利技术涉及系统安全检测
，具体地说，涉及一种系统测试阶段的安全检测方法和系统。

技术介绍

[0002]目前信息系统的安全检查和整改工作，由系统开发过程中和上线后两部分组成，上线后安全检查发现问题，整改需要重走开发，测试和发布阶段，业务影响和开发成本消耗极大，其次当前的代码安全检查技术手段不足，现有的代码层安全检测均为源代码静态检测。
[0003]为了应对上述问题，现亟需一种系统测试阶段的安全检测方法和系统。

技术实现思路

[0004]本专利技术的目的在于提供一种系统测试阶段的安全检测方法和系统，以解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的，本专利技术目的之一在于，提供了一种系统测试阶段的安全检测系统，包括插桩收集模块，所述插桩收集模块利用插桩技术对字节码程序注入跟踪代码形成插桩字节码，在程序运行时直接获取数据流或者流量数据，所述插桩收集模块输出端连接有流量收集模块，所述流量收集模块用于对获取到的流量数据进行收集，所述插桩收集模块输出端还连接有数据流收集模块，所述数据流收集模块对获取到的数据流进行采集，所述数据流收集模块输出端连接有数据库存储模块，所述数据库存储模块输入端与所述流量收集模块输出端连接，所述数据库存储模块用于对收集到的流量数据以及数据流分类存储，所述数据库存储模块输出端连接有请求分析模块，所述请求分析模块用于接收请求响应信号，所述请求分析模块输出端连接有漏洞监测分析模块，漏洞监测分析模块基于项目代码数据流、代码位置、代码内容和请求响应等信息进行漏洞检测。
[0006]作为本技术方案的进一步改进，所述插桩收集模块包括跟踪代码注入单元，所述跟踪代码注入单元利用插桩技术对字节码程序注入跟踪代码形成插桩字节码，所述跟踪代码注入单元输出端连接有运行节点识别单元，所述运行节点识别单元用于确定程序启动时间节点，所述运行节点识别单元输出端连接有信息获取收集单元，所述信息获取收集单元通过插桩字节码对运行程序进行数据信息获取，并对获取信息进行收集处理。
[0007]作为本技术方案的进一步改进，所述数据库存储模块包括数据信息分类单元，所述数据信息分类单元用于对存储的数据流以及流量数据进行分类处理，所述数据信息分类单元输出端连接有信息标记存储单元，所述信息标记存储单元用于对分类存储的数据流以及流量数据进行标识，所述信息标记存储单元输出端连接有数据输出单元。
[0008]作为本技术方案的进一步改进，所述漏洞监测分析模块包括权限分级单元，所述权限分级单元用于对访问流量进行权限分级，所述权限分级单元输出端连接有覆盖度分析单元，所述覆盖度分析单元用于对访问流量进行覆盖度分析。
[0009]作为本技术方案的进一步改进，所述覆盖度分析单元输出端连接有流量接口提取单元，所述流量接口提取单元用于对访问流量的接口进行提取，并对其进行定位处理。
[0010]作为本技术方案的进一步改进，所述流量收集模块输出端连接有代理模块，所述代理模块输入端与所述数据流收集模块输出端连接，所述代理模块用于对获取到的数据流或者流量数据的用户进行身份验证并复制业务流量到所述数据库存储模块。
[0011]作为本技术方案的进一步改进，所述流量收集模块输出端连接有流量接口模块，所述流量接口模块输入端与所述数据流收集模块输出端连接，所述流量接口模块包括VPN单元，所述流量接口模块还包括流量信使单元。
[0012]本专利技术目的之二在于，提供了一种使用系统测试阶段的安全检测系统的系统测试阶段的安全检测方法，包括如下方法步骤：
[0013]S1、运行节点识别单元确定程序启动时间节点；
[0014]S2、跟踪代码注入单元利用插桩技术对字节码程序注入跟踪代码形成插桩字节码；
[0015]S3、信息获取收集单元通过插桩字节码对运行程序进行数据信息获取；
[0016]S4、流量收集模块结合获取到的信息，提取其中的流量数据进行收集，数据流收集模块对获取到的数据流进行采集；
[0017]S5、数据库存储模块对收集到的流量数据以及数据流分类存储；
[0018]S6、漏洞监测分析模块基于项目代码数据流、代码位置、代码内容和请求响应等信息进行漏洞检测。
[0019]与现有技术相比，本专利技术的有益效果：
[0020]1、该系统测试阶段的安全检测方法和系统中，通过插桩收集模块根据获取数据流或者流量数据，支持对应用中存在的不合规的个人隐私数据处理行为进行检测，不仅可以解决标准中规定的身份证号、密码等信息明文保存至数据库、日志文件或响应时产生的隐私数据泄露问题，还可以根据用户实际使用场景灵活配置检测项，帮助用户按需检测，并迅速定位存在隐私泄露风险的漏洞地址和代码位置。
[0021]2、该系统测试阶段的安全检测方法和系统中，通过流量接口提取单元对访问流量的接口进行提取，并对其进行定位处理，帮助系统识别数据流或者流量数据的来源，支持对应用中存在的不合规的个人隐私数据处理行为进行检测，不仅可以解决标准中规定的身份证号、密码等信息明文保存至数据库、日志文件或响应时产生的隐私数据泄露问题，还可以根据用户实际使用场景灵活配置检测项，帮助用户按需检测，并迅速定位存在隐私泄露风险的漏洞地址和代码位置。
附图说明
[0022]图1为本专利技术实施例1的整体流程图；
[0023]图2为本专利技术实施例1的插桩收集模块流程图；
[0024]图3为本专利技术实施例1的数据库存储模块流程图；
[0025]图4为本专利技术实施例1的漏洞监测分析模块流程图；
[0026]图5为本专利技术实施例1的流量接口模块流程图。
[0027]图中各个标号意义为：
[0028]10、插桩收集模块；110、跟踪代码注入单元；120、运行节点识别单元；130、信息获取收集单元；
[0029]20、流量收集模块；
[0030]30、数据流收集模块；
[0031]40、数据库存储模块；410、数据信息分类单元；420、信息标记存储单元；430、数据输出单元；
[0032]50、请求分析模块；
[0033]60、漏洞监测分析模块；610、权限分级单元；620、覆盖度分析单元；630、流量接口提取单元；
[0034]70、代理模块；
[0035]80、流量接口模块；810、VPN单元；820、流量信使单元。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0037]实施例1
[0038]请参阅图1
‑
图5所示，本实施例目的之一在于，提供了一种系统测试阶段的安全检测系统，包括插桩收集模块10，插桩本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统测试阶段的安全检测系统，其特征在于：包括插桩收集模块(10)，所述插桩收集模块(10)利用插桩技术对字节码程序注入跟踪代码形成插桩字节码，在程序运行时直接获取数据流或者流量数据，所述插桩收集模块(10)输出端连接有流量收集模块(20)，所述流量收集模块(20)用于对获取到的流量数据进行收集，所述插桩收集模块(10)输出端还连接有数据流收集模块(30)，所述数据流收集模块(30)对获取到的数据流进行采集，所述数据流收集模块(30)输出端连接有数据库存储模块(40)，所述数据库存储模块(40)输入端与所述流量收集模块(20)输出端连接，所述数据库存储模块(40)用于对收集到的流量数据以及数据流分类存储，所述数据库存储模块(40)输出端连接有请求分析模块(50)，所述请求分析模块(50)用于接收请求响应信号，所述请求分析模块(50)输出端连接有漏洞监测分析模块(60)，漏洞监测分析模块(60)基于项目代码数据流、代码位置、代码内容和请求响应等信息进行漏洞检测。2.根据权利要求1所述的系统测试阶段的安全检测系统，其特征在于：所述插桩收集模块(10)包括跟踪代码注入单元(110)，所述跟踪代码注入单元(110)利用插桩技术对字节码程序注入跟踪代码形成插桩字节码，所述跟踪代码注入单元(110)输出端连接有运行节点识别单元(120)，所述运行节点识别单元(120)用于确定程序启动时间节点，所述运行节点识别单元(120)输出端连接有信息获取收集单元(130)，所述信息获取收集单元(130)通过插桩字节码对运行程序进行数据信息获取，并对获取信息进行收集处理。3.根据权利要求1所述的系统测试阶段的安全检测系统，其特征在于：所述数据库存储模块(40)包括数据信息分类单元(410)，所述数据信息分类单元(410)用于对存储的数据流以及流量数据进行分类处理，所述数据信息分类单元(410)输出端连接有信息标记存储单元(420)，所述信息标记存储单元(420)用于对分类存储的数据流以及流量数据进行标识，所述信息标记存储单元(420)输出端连接有数据输出单元(430)。...

【专利技术属性】
技术研发人员：明哲，王健，付志博，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：