CN108256335A - 用于检测漏洞的方法和装置 - Google Patents

用于检测漏洞的方法和装置 Download PDF

Info

Publication number
CN108256335A
CN108256335A CN201810129352.5A CN201810129352A CN108256335A CN 108256335 A CN108256335 A CN 108256335A CN 201810129352 A CN201810129352 A CN 201810129352A CN 108256335 A CN108256335 A CN 108256335A
Authority
CN
China
Prior art keywords
function
attack
object code
parameter
input parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810129352.5A
Other languages
English (en)
Other versions
CN108256335B (zh
Inventor
刘钟航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201810129352.5A priority Critical patent/CN108256335B/zh
Publication of CN108256335A publication Critical patent/CN108256335A/zh
Application granted granted Critical
Publication of CN108256335B publication Critical patent/CN108256335B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了用于检测漏洞的方法和装置。上述方法的一具体实施方式包括:获取目标代码;对目标代码进行解析,确定目标代码包括的第一函数集合以及检测第一函数集合中的函数是否包括危险函数;响应于确定第一函数集合中的函数包括危险函数,选取攻击样本作为第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定目标代码的执行路径;响应于包括危险函数的函数存在于执行路径中,确定目标代码包括漏洞。该实施方式提高了漏洞检测的准确率。

Description

用于检测漏洞的方法和装置
技术领域
本申请涉及互联网技术领域,具体涉及安全技术领域,尤其涉及用于检测漏洞的方法和装置。
背景技术
信息社会对软件的依赖不断增加,随着软件数量快速增长,软件存在的信息安全问题日益彰显,成为信息安全和用户隐私方面的重要隐患。因此,软件的安全问题愈加受到产业界和学术界的关注,针对软件的源代码进行安全检测的研究已经成为一个安全领域的热点。
不论在商业软件还是开源软件中,软件的漏洞随处可见。由于软件漏洞的急剧增加,价值软件系统变得越来越复杂和庞大,人工检测源代码已经不再现实,急需一种自动化检测方法来帮助人们发现软件中的漏洞。因此,对源代码进行检测,发现并指出漏洞也就变得十分必要。
发明内容
本申请实施例提出了用于检测漏洞的方法和装置。
第一方面,本申请实施例提供了一种用于检测漏洞的方法,包括:获取目标代码;对所述目标代码进行解析,确定所述目标代码包括的第一函数集合以及检测所述第一函数集合中的函数是否包括危险函数;响应于确定所述第一函数集合中的函数包括危险函数,选取攻击样本作为所述第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定所述目标代码的执行路径;响应于包括危险函数的函数存在于所述执行路径中,确定所述目标代码包括漏洞。
在一些实施例中,所述选取攻击样本作为所述第一函数集合中的函数的输入参数,包括:比较所述第一函数集合中的函数以及预设的函数列表,确定不存在于所述函数列表的函数形成的第二函数集合;选取攻击样本作为所述第二函数集合中的函数的输入参数。
在一些实施例中,所述攻击样本来源于预设的攻击样本列表;以及所述确定函数的输出参数与输入参数的相似度,包括:对于所述第一函数集合中的每个函数,检测该函数的输出参数是否存在于所述攻击样本列表中;响应于确定该函数的输出参数存在于所述攻击样本列表中,确定该函数的输出参数与输入参数的相似度大于所述预设阈值。
在一些实施例中,所述根据函数的调用关系,确定所述目标代码的执行路径,包括:根据函数的调用关系,生成函数调用关系树;根据所述函数调用关系树,将输出参数以及输入参数进行关联分析,确定所述执行路径。
在一些实施例中,所述选取攻击样本作为所述第一函数集合中的函数的输入参数,包括:确定所述第一函数集合中的函数的被调用次数;根据被调用次数,确定函数的测试顺序;根据所述测试顺序,依次选取攻击样本作为函数的输入参数。
在一些实施例中,所述方法还包括:根据所述攻击样本的攻击类型,确定所述第一函数集合的函数的攻击类型;根据所述攻击类型,确定攻击所述漏洞的攻击类型。
第二方面,本申请实施例提供了一种用于检测漏洞的装置,包括:目标代码获取单元,用于获取目标代码;目标代码解析单元,用于对所述目标代码进行解析,确定所述目标代码包括的第一函数集合以及检测所述第一函数集合中的函数是否包括危险函数;函数模拟运行单元,用于响应于确定所述第一函数集合中的函数包括危险函数,选取攻击样本作为所述第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;执行路径确定单元,用于响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定所述目标代码的执行路径;漏洞确定单元,用于响应于包括危险函数的函数存在于所述执行路径中,确定所述目标代码包括漏洞。
在一些实施例中,所述函数模拟运行单元进一步用于:比较所述第一函数集合中的函数以及预设的函数列表,确定不存在于所述函数列表的函数形成的第二函数集合;选取攻击样本作为所述第二函数集合中的函数的输入参数。
在一些实施例中,所述攻击样本来源于预设的攻击样本列表;以及所述函数模拟运行单元进一步用于:对于所述第一函数集合中的每个函数,检测该函数的输出参数是否存在于所述攻击样本列表中;响应于确定该函数的输出参数存在于所述攻击样本列表中,确定该函数的输出参数与输入参数的相似度大于所述预设阈值。
在一些实施例中,所述执行路径确定单元进一步用于:根据函数的调用关系,生成函数调用关系树;根据所述函数调用关系树,将输出参数以及输入参数进行关联分析,确定所述执行路径。
在一些实施例中,所述函数模拟运行单元进一步用于:确定所述第一函数集合中的函数的被调用次数;根据被调用次数,确定函数的测试顺序;根据所述测试顺序,依次选取攻击样本作为函数的输入参数。
在一些实施例中,所述装置还包括攻击类型确定单元,用于:根据所述攻击样本的攻击类型,确定所述第一函数集合的函数的攻击类型;根据所述第一函数集合的函数的攻击类型,确定攻击所述漏洞的攻击类型。
第三方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行,使得上述一个或多个处理器实现上述任一实施例所描述的方法。
第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例所描述的方法。
本申请的上述实施例提供的用于检测漏洞的方法和装置,首先获取目标代码,然后解析目标代码,确定目标代码中的第一函数集合,并检测第一函数集合中是否包括危险函数,在确定第一函数集合中包括危险函数后,选取攻击样本作为第一函数集合中的函数的输入参数,并确定函数的输出参数与输入参数的相似度,在确定相似度大于预设阈值后,根据函数的调用关系,确定目标代码的执行路径,当检测到包括危险函数的函数存在于上述执行路径中,确定目标代码包括漏洞。本申请的上述实施例提供的方法及装置,提高了漏洞检测的准确率,检测过程以函数为单位进行分析,将复杂的分析过程拆解,减少了不必要的重复分析,减少了工作量。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请的用于检测漏洞的方法的一个实施例的流程图;
图2是根据本申请的用于检测漏洞的装置的一个实施例的结构示意图;
图3是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了根据本申请的用于检测漏洞的方法的一个实施例的流程100。本实施例的用于检测漏洞的方法,包括以下步骤:
步骤101,获取目标代码。
在本实施例中,用于检测漏洞的方法运行于其上的电子设备(例如终端或服务器)可以通过有线连接方式或者无线连接方式获取目标代码。上述目标代码可以是用户通过终端在线上传的,也可以是存储在上述电子设备本地的。上述目标代码可以是各种计算机语言编写出来的源代码,例如Python代码、Java代码等。
需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
步骤102,对目标代码进行解析,确定目标代码包括的第一函数集合以及检测第一函数集合中的函数是否包括危险函数。
实际应用中,用于解析代码的工具有很多,本实施例中可以采用任一工具对目标代码进行解析,以确定目标代码中包括的多个函数。函数是实现程序功能的最基本单位,每个程序都是有一个个最基本的函数构成的。函数包括函数头以及函数体,函数头是函数体之前的所有部分,它定义了函数的返回类型,函数体中包括定义函数功能的所有代码。当调用该函数时,就会执行函数内的代码。函数体中可以包括危险函数,危险函数可以指这样一种情况:当该函数基于外部参数来运行时有可能被认为是软件漏洞。每种计算机语言基本都包括危险函数,一般地,危险函数集中体现为一些函数,可以事先列举出来放在一个预定列表中。
目标代码中可能包括一个或多个函数,其所包括的函数形成第一函数集合。在检测到第一函数集合中存在任一函数包括危险函数后执行步骤103。
步骤103,响应于确定第一函数集合中的函数包括危险函数,选取攻击样本作为第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度。
在调用函数时,可以向其传递值,这些值被称为参数。针对每个函数,其输入参数可以包括函数的形式参数、用户输入参数以及被调用函数的返回值。形式参数是在定义函数名和函数体的时候使用的参数,目的是用来接收调用函数时传入的参数,函数的返回值可以将值返回调用该函数的地方。函数的输出参数可以包括函数返回值、调用下游函数传递的参数值以及进入危险函数的参数值。
本实施例中,在确定第一函数集合中的任一函数包括危险函数后,选取攻击样本作为第一函数集合中的函数的输入参数,对函数进行模拟运行,会得到函数的输出参数。然后确定函数的输出参数与输入参数的相似度。上述攻击样本可以包括多个用于表征不同攻击类型的样本,也可以是历史攻击事件中攻击成功的样本。其可以由字符串来表示,例如,攻击样本可以包括“||shutdown”、“&&shutdown”和“&||&shutdown”。可以理解的是,可以设置不同攻击类型的样本来模拟不同类型的攻击。本实施例中,可以预先设置多个不同的攻击样本。
在确定函数的输入参数后,可以得到函数的输出参数,从而可以确定输出参数与输入参数的相似度。本实施例中,可以将输入参数的字符串与输出参数的字符串之间的相似度作为输入参数与输出参数的相似度,也可以预先设置一个参数列表,当输入参数和输出参数都存在于该参数列表中时认为输入参数与输出参数的相似度的较大。
步骤104,响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定目标代码的执行路径。
在确定函数的输入参数与输出参数的相似度大于预设阈值后,可以根据函数间的调用关系,确定目标代码的执行路径。本实施例中,可以通过对目标代码进行解析,确定各函数的调用关系,则被调用函数的输出值可能为调用函数的输入值,据此可以确定目标代码的执行路径。
本实施例中,在确定了函数的输入参数与输出参数的相似度大于预设阈值后,可以认定该函数具有由输入参数至输出参数的攻击向量。只有当目标代码中所有函数的攻击向量都存在时,才会继续确定目标代码的执行路径的步骤。
在本实施例的一些可选的实现方式中,上述攻击样本来源于攻击样本列表。上述步骤103具体可以通过图1中未示出的以下步骤来实现:对于第一函数集合中的每个函数,检测各函数的输出参数是否存在于上述攻击样本列表中,当检测到输出参数也存在于上述攻击样本列表中时,确定该函数的输出参数与输入参数的相似度大于预设阈值。
步骤105,响应于包括危险函数的函数存在于上述执行路径中,确定目标代码包括漏洞。
在确定了目标代码的执行路径后,可以检测包括危险函数的函数是否存在于上述执行路径中,当检测到包括危险函数的函数存在于上述路径中后,确定目标代码包括漏洞。存在漏洞的场景很大一部分是由注入引起的,常见的注入场景有操作系统(OperatingSystem,OS)命令注入、代码注入、结构化查询语言(Structured Query Language,SQL)注入等。在这些注入场景中,所有的漏洞都涉及到使用危险函数,然而并非每一种危险函数都对应着漏洞。
本申请的上述实施例提供的用于检测漏洞的方法,首先获取目标代码,然后解析目标代码,确定目标代码中的第一函数集合,并检测第一函数集合中是否包括危险函数,在确定第一函数集合中包括危险函数后,选取攻击样本作为第一函数集合中的函数的输入参数,并确定函数的输出参数与输入参数的相似度,在确定相似度大于预设阈值后,根据函数的调用关系,确定目标代码的执行路径,当检测到包括危险函数的函数存在于上述执行路径中,确定目标代码包括漏洞。只有当确定了各函数都存在攻击向量,且包含危险函数的函数能够被执行时,才会确定目标代码包括漏洞,提高了漏洞检测的准确率,同时检测过程以函数为单位进行分析,将复杂的分析过程拆解,减少了不必要的重复分析,减少了工作量。
在本实施例的一些可选的实现方式中,上述步骤103还可以包括图1中未示出的以下步骤:比较第一函数集合中的函数以及预设的函数列表,确定不存在于上述函数列表的函数形成的第二函数集合;选取攻击样本作为第二函数集合中的函数的输入参数。
本实现方式中,可以只选取第一函数集合中的部分函数进行模拟运行。例如可以将编程语言自带的部分函数设置在第二函数列表中,将不属于第二函数列表的函数进行模拟运行。例如,第二函数列表可以包括执行数字计算的函数、字符串处理的函数等。因为这些函数的参数都是不可控参数,不存在危险性。可以理解的是,第二函数列表不包括执行数据库操作、执行系统操作的函数。因为这些函数的输入参数属于外部输入参数,属于可控参数。
在本实施例的一些可选的实现方式中,上述步骤104具体还可以包括图1中未示出的以下步骤:根据函数的调用关系,生成函数调用关系树;根据函数调用关系树,确定执行路径。
本实现方式中,可以根据函数的调用关系生成函数调用关系树,可以很清楚的明了函数之间的参数传递关系,即可以将被调用函数的输出参数与调用函数的输入参数关联,最终得到执行路径。
在本实施例的一些可选的实现方式中,步骤103具体还可以包括图1中未示出的以下步骤:确定第一函数集合中的函数的被调用次数;根据被调用次数,确定函数的测试顺序;根据测试顺序,依次选取攻击样本作为函数的输入参数。
本实现方式中,可以首先确定每个函数的被调用次数,然后根据每个函数的被调用次数,确定第一函数集合的测试顺序,然后根据测试顺序依次选取攻击样本作为各函数的输入参数。例如可以自被调用次数最多的函数开始测试。
在本实施例的一些可选的实现方式中,上述方法还可以包括图1中未示出的以下步骤:根据攻击样本的攻击类型,确定第一函数集合的函数的攻击类型;根据攻击类型,确定攻击漏洞的攻击类型。
本实现方式中,可以根据输入每个函数的攻击样本,确定该函数的攻击类型,然后结合各函数的攻击类型,确定攻击上述漏洞的攻击类型,从而得到漏洞的信息更全面。
下面以一段代码来具体来说明本实施例的用于检测漏洞的方法。代码如下:
上述代码中包括三个函数main、vardeal和execcmd。其中,main函数的输入参数包括varA、varB,输出参数包括vardeal(varA)、execcmd(varB);vardeal函数的输入参数包括dealstr,输出参数包括return dealstr;execcmd函数的输入参数包括cmdstr,输出参数包括DengrousExec(cmdstr)。其中,DengrousExec函数为危险函数。将“||shutdown”、“&&shutdown”和“&||&shutdown”作为函数的输入参数,得到的输出参数中包括“||shutdown”、“&&shutdown”,即认为输入参数和输出参数相似,函数存在由输入参数→输出参数的攻击向量。
将各函数的输入参数和输出参数关联分析,得到以下攻击路径:
由于包括危险函数DengrousExec的execcmd函数存在于执行路径中,所以上述代码存在漏洞。
进一步参考图2,作为对上述各图所示方法的实现,本申请提供了一种用于检测漏洞的装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图2所示,本实施例的用于检测漏洞的装置200包括:目标代码获取单元201、目标代码解析单元202、函数模拟运行单元203、执行路径确定单元204以及漏洞确定单元205。
其中,目标代码获取单元201,用于获取目标代码。
目标代码解析单元202,用于对目标代码进行解析,确定目标代码包括的第一函数集合以及检测第一函数集合中的函数是否包括危险函数。
函数模拟运行单元203,用于响应于确定第一函数集合中的函数包括危险函数,选取攻击样本作为第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度。
执行路径确定单元204,用于响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定目标代码的执行路径。
漏洞确定单元205,用于响应于包括危险函数的函数存在于上述执行路径中,确定目标代码包括漏洞。
在本实施例的一些可选的实现方式中,上述函数模拟运行单元203可以进一步用于:比较第一函数集合中的函数以及预设的函数列表,确定不存在于上述函数列表的函数形成的第二函数集合;选取攻击样本作为第二函数集合中的函数的输入参数。
在本实施例的一些可选的实现方式中,上述攻击样本来源于预设的攻击样本列表。上述函数模拟运行单元203可以进一步用于:对于所述第一函数集合中的每个函数,检测该函数的输出参数是否存在于上述攻击样本列表中;响应于确定该函数的输出参数存在于上述攻击样本列表中,确定该函数的输出参数与输入参数的相似度大于预设阈值。
在本实施例的一些可选的实现方式中,上述执行路径确定单元204可以进一步用于:根据函数的调用关系,生成函数调用关系树;根据上述函数调用关系树,将输出参数以及输入参数进行关联分析,确定执行路径。
在本实施例的一些可选的实现方式中,上述函数模拟运行单元203可以进一步用于:确定第一函数集合中的函数的被调用次数;根据被调用次数,确定函数的测试顺序;根据上述测试顺序,依次选取攻击样本作为函数的输入参数。
在本实施例的一些可选的实现方式中,上述装置200还可以包括图2中为示出的攻击类型确定单元,用于:根据攻击样本的攻击类型,确定第一函数集合的函数的攻击类型;根据上述第一函数集合的函数的攻击类型,确定攻击漏洞的攻击类型。
应当理解,用于检测漏洞的装置200中记载的单元201至单元205分别与参考图1中描述的方法中的各个步骤相对应。由此,上文针对用于合成歌声的方法描述的操作和特征同样适用于装置200及其中包含的单元,在此不再赘述。装置200的相应单元可以与服务器中的单元相互配合以实现本申请实施例的方案。
下面参考图3,其示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统300的结构示意图。图3示出的终端设备/服务器仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图3所示,计算机系统300包括中央处理单元(CPU)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储部分308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有系统300操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
以下部件连接至I/O接口305:包括键盘、鼠标等的输入部分306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分307;包括硬盘等的存储部分308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入存储部分308。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在机器可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分309从网络上被下载和安装,和/或从可拆卸介质311被安装。在该计算机程序被中央处理单元(CPU)301执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所描述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括目标代码获取单元、目标代码解析单元、函数模拟运行单元、执行路径确定单元和漏洞确定单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,目标代码获取单元还可以被描述为“获取目标代码的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的装置中所包含的;也可以是单独存在,而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:获取目标代码;对所述目标代码进行解析,确定所述目标代码包括的第一函数集合以及检测所述第一函数集合中的函数是否包括危险函数;响应于确定所述第一函数集合中的函数包括危险函数,选取攻击样本作为所述第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定所述目标代码的执行路径;响应于包括危险函数的函数存在于所述执行路径中,确定所述目标代码包括漏洞。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (14)

1.一种用于检测漏洞的方法,包括:
获取目标代码;
对所述目标代码进行解析,确定所述目标代码包括的第一函数集合以及检测所述第一函数集合中的函数是否包括危险函数;
响应于确定所述第一函数集合中的函数包括危险函数,选取攻击样本作为所述第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;
响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定所述目标代码的执行路径;
响应于包括危险函数的函数存在于所述执行路径中,确定所述目标代码包括漏洞。
2.根据权利要求1所述的方法,其中,所述选取攻击样本作为所述第一函数集合中的函数的输入参数,包括:
比较所述第一函数集合中的函数以及预设的函数列表,确定不存在于所述函数列表的函数形成的第二函数集合;
选取攻击样本作为所述第二函数集合中的函数的输入参数。
3.根据权利要求1所述的方法,其中,所述攻击样本来源于预设的攻击样本列表;以及
所述确定函数的输出参数与输入参数的相似度,包括:
对于所述第一函数集合中的每个函数,检测该函数的输出参数是否存在于所述攻击样本列表中;响应于确定该函数的输出参数存在于所述攻击样本列表中,确定该函数的输出参数与输入参数的相似度大于所述预设阈值。
4.根据权利要求1所述的方法,其中,所述根据函数的调用关系,确定所述目标代码的执行路径,包括:
根据函数的调用关系,生成函数调用关系树;
根据所述函数调用关系树,将输出参数以及输入参数进行关联分析,确定所述执行路径。
5.根据权利要求1所述的方法,其中,所述选取攻击样本作为所述第一函数集合中的函数的输入参数,包括:
确定所述第一函数集合中的函数的被调用次数;
根据被调用次数,确定函数的测试顺序;
根据所述测试顺序,依次选取攻击样本作为函数的输入参数。
6.根据权利要求1-5任一项所述的方法,其中,所述方法还包括:
根据所述攻击样本的攻击类型,确定所述第一函数集合的函数的攻击类型;
根据所述攻击类型,确定攻击所述漏洞的攻击类型。
7.一种用于检测漏洞的装置,包括:
目标代码获取单元,用于获取目标代码;
目标代码解析单元,用于对所述目标代码进行解析,确定所述目标代码包括的第一函数集合以及检测所述第一函数集合中的函数是否包括危险函数;
函数模拟运行单元,用于响应于确定所述第一函数集合中的函数包括危险函数,选取攻击样本作为所述第一函数集合中的函数的输入参数,以及确定函数的输出参数与输入参数的相似度;
执行路径确定单元,用于响应于确定所确定的相似度大于预设阈值,根据函数的调用关系,确定所述目标代码的执行路径;
漏洞确定单元,用于响应于包括危险函数的函数存在于所述执行路径中,确定所述目标代码包括漏洞。
8.根据权利要求7所述的装置,其中,所述函数模拟运行单元进一步用于:
比较所述第一函数集合中的函数以及预设的函数列表,确定不存在于所述函数列表的函数形成的第二函数集合;
选取攻击样本作为所述第二函数集合中的函数的输入参数。
9.根据权利要求7所述的装置,其中,所述攻击样本来源于预设的攻击样本列表;以及
所述函数模拟运行单元进一步用于:
对于所述第一函数集合中的每个函数,检测该函数的输出参数是否存在于所述攻击样本列表中;响应于确定该函数的输出参数存在于所述攻击样本列表中,确定该函数的输出参数与输入参数的相似度大于所述预设阈值。
10.根据权利要求7所述的装置,其中,所述执行路径确定单元进一步用于:
根据函数的调用关系,生成函数调用关系树;
根据所述函数调用关系树,将输出参数以及输入参数进行关联分析,确定所述执行路径。
11.根据权利要求7所述的装置,其中,所述函数模拟运行单元进一步用于:
确定所述第一函数集合中的函数的被调用次数;
根据被调用次数,确定函数的测试顺序;
根据所述测试顺序,依次选取攻击样本作为函数的输入参数。
12.根据权利要求7-11任一项所述的装置,其中,所述装置还包括攻击类型确定单元,用于:
根据所述攻击样本的攻击类型,确定所述第一函数集合的函数的攻击类型;
根据所述第一函数集合的函数的攻击类型,确定攻击所述漏洞的攻击类型。
13.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
CN201810129352.5A 2018-02-08 2018-02-08 用于检测漏洞的方法和装置 Active CN108256335B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810129352.5A CN108256335B (zh) 2018-02-08 2018-02-08 用于检测漏洞的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810129352.5A CN108256335B (zh) 2018-02-08 2018-02-08 用于检测漏洞的方法和装置

Publications (2)

Publication Number Publication Date
CN108256335A true CN108256335A (zh) 2018-07-06
CN108256335B CN108256335B (zh) 2019-06-18

Family

ID=62744544

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810129352.5A Active CN108256335B (zh) 2018-02-08 2018-02-08 用于检测漏洞的方法和装置

Country Status (1)

Country Link
CN (1) CN108256335B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871693A (zh) * 2019-02-21 2019-06-11 北京百度网讯科技有限公司 用于检测漏洞的方法和装置
CN110134373A (zh) * 2019-04-04 2019-08-16 口碑(上海)信息技术有限公司 一种函数信息获取的方法以及装置
CN110502423A (zh) * 2019-06-24 2019-11-26 杭州海康威视数字技术股份有限公司 固件的漏洞识别方法、装置、设备和存储介质
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质
CN110990277A (zh) * 2019-11-29 2020-04-10 珠海豹趣科技有限公司 一种漏洞挖掘方法、装置及计算机可读存储介质
CN111523115A (zh) * 2019-02-02 2020-08-11 阿里巴巴集团控股有限公司 信息确定方法、函数调用方法及电子设备
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控系统网络威胁的量化方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140298474A1 (en) * 2012-02-07 2014-10-02 International Business Machines Corporation Automatic synthesis of unit tests for security testing
CN104850493A (zh) * 2015-04-24 2015-08-19 百度在线网络技术(北京)有限公司 一种检测源代码漏洞的方法和装置
CN105243019A (zh) * 2015-10-27 2016-01-13 北京神州绿盟信息安全科技股份有限公司 一种检测python代码漏洞的方法及装置
US9348735B1 (en) * 2011-05-08 2016-05-24 Panaya Ltd. Selecting transactions based on similarity of profiles of users belonging to different organizations
US9582399B2 (en) * 2014-03-14 2017-02-28 Ca, Inc. Entropy weighted message matching for opaque service virtualization

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9348735B1 (en) * 2011-05-08 2016-05-24 Panaya Ltd. Selecting transactions based on similarity of profiles of users belonging to different organizations
US20140298474A1 (en) * 2012-02-07 2014-10-02 International Business Machines Corporation Automatic synthesis of unit tests for security testing
US9892258B2 (en) * 2012-02-07 2018-02-13 International Business Machines Corporation Automatic synthesis of unit tests for security testing
US9582399B2 (en) * 2014-03-14 2017-02-28 Ca, Inc. Entropy weighted message matching for opaque service virtualization
CN104850493A (zh) * 2015-04-24 2015-08-19 百度在线网络技术(北京)有限公司 一种检测源代码漏洞的方法和装置
CN105243019A (zh) * 2015-10-27 2016-01-13 北京神州绿盟信息安全科技股份有限公司 一种检测python代码漏洞的方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ALI SHAHBAZI: "Black-Box String Test Case Generation through a Multi-Objective Optimization", 《IEEE TRANSACTION ON SOFTWARE ENGINEERING》 *
冯振扬: "代码相似度检测算法的研究与实现", 《中国优秀硕士学位论文全文数据库》 *
戴中印: "基于组件和行为相似性的Android恶意代码检测研究", 《中国优秀硕士学位论文全文数据库》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111523115A (zh) * 2019-02-02 2020-08-11 阿里巴巴集团控股有限公司 信息确定方法、函数调用方法及电子设备
CN111523115B (zh) * 2019-02-02 2023-05-26 斑马智行网络(香港)有限公司 信息确定方法、函数调用方法及电子设备
CN109871693A (zh) * 2019-02-21 2019-06-11 北京百度网讯科技有限公司 用于检测漏洞的方法和装置
CN110134373A (zh) * 2019-04-04 2019-08-16 口碑(上海)信息技术有限公司 一种函数信息获取的方法以及装置
CN110502423A (zh) * 2019-06-24 2019-11-26 杭州海康威视数字技术股份有限公司 固件的漏洞识别方法、装置、设备和存储介质
CN110502423B (zh) * 2019-06-24 2023-07-18 杭州海康威视数字技术股份有限公司 固件的漏洞识别方法、装置、设备和存储介质
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质
CN110990277A (zh) * 2019-11-29 2020-04-10 珠海豹趣科技有限公司 一种漏洞挖掘方法、装置及计算机可读存储介质
CN112819336A (zh) * 2021-02-03 2021-05-18 国家电网有限公司 一种基于电力监控系统网络威胁的量化方法及系统

Also Published As

Publication number Publication date
CN108256335B (zh) 2019-06-18

Similar Documents

Publication Publication Date Title
CN108256335B (zh) 用于检测漏洞的方法和装置
Tann et al. Towards safer smart contracts: A sequence learning approach to detecting security threats
US10628129B2 (en) Intellectual automated security, performance and code generation framework
CN108763928A (zh) 一种开源软件漏洞分析方法、装置和存储介质
CN110414242A (zh) 用于检测业务逻辑漏洞的方法、装置、设备及介质
US8601434B2 (en) Method and system for information processing and test case generation
CN103455759B (zh) 一种页面漏洞检测装置及检测方法
Xiaomeng et al. CPGVA: Code property graph based vulnerability analysis by deep learning
JP2019204482A (ja) 並行脆弱性検出
CN108287927B (zh) 用于获取信息的方法及装置
CN110765459A (zh) 一种恶意脚本检测方法、装置和存储介质
CN110096433B (zh) 一种iOS平台上获取加密数据的方法
US11140179B1 (en) Cybersecurity investigation tools utilizing information graphs
Ullah et al. Clone detection in 5G-enabled social IoT system using graph semantics and deep learning model
US10990510B2 (en) Associating attribute seeds of regression test cases with breakpoint value-based fingerprints
CN109871693A (zh) 用于检测漏洞的方法和装置
CN115146282A (zh) 基于ast的源代码异常检测方法及其装置
CN109739526A (zh) 代码更新方法和装置
CN112016138A (zh) 一种车联网自动化安全建模的方法、装置和电子设备
CN109508296A (zh) 数据检测方法、装置及电子设备
CN108235733A (zh) 基于拉曼光谱的物质识别方法及云端系统
CN111400718B (zh) 一种系统漏洞与攻击的检测方法、装置及其相关设备
Cai et al. Automatic software vulnerability detection based on guided deep fuzzing
CN116702157A (zh) 一种基于神经网络的智能合约漏洞检测方法
CN114928493B (zh) 基于威胁攻击大数据的威胁情报生成方法及ai安全系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant