CN113946831B - 一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 - Google Patents
一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 Download PDFInfo
- Publication number
- CN113946831B CN113946831B CN202111210072.5A CN202111210072A CN113946831B CN 113946831 B CN113946831 B CN 113946831B CN 202111210072 A CN202111210072 A CN 202111210072A CN 113946831 B CN113946831 B CN 113946831B
- Authority
- CN
- China
- Prior art keywords
- micro
- service
- tool
- binary executable
- target system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012502 risk assessment Methods 0.000 title claims abstract description 20
- 238000012360 testing method Methods 0.000 claims abstract description 87
- 230000005540 biological transmission Effects 0.000 claims abstract description 5
- 238000004458 analytical method Methods 0.000 claims description 22
- 238000013507 mapping Methods 0.000 claims description 16
- 238000007781 pre-processing Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 12
- 230000000007 visual effect Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000005206 flow analysis Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明提出一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质,属于安全风险分析技术领域。首先,判断目标系统是否含有源代码,分析目标系统中二进制可执行文件或源代码支持的运行平台,向任务调度模块发出任务请求;其次,向基于微服务的编译与测试模块传输二进制可执行文件或源代码;再其次,将二进制可执行文件或源代码拆分为多个独立的待检测模块,同时动态生成多个微服务,每个独立待检测模块对应一个微服务;再其次,将微服务传输的结果传输至结果输出模块;最后结果输出模块汇总多个微服务器的测试结果和安全风险,生成风险评估报告。解决新软件的评测自动化程度不够、集成化程度不高、动态可伸缩性不足的问题。
Description
技术领域
本申请涉及一种分析方法,尤其涉及一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质,属于安全风险分析技术领域。
背景技术
随着互联网的快速发展,大量新的技术以及对应的原型系统被提出,而大量开发者通常基于网络上已有的原型系统来进行自己系统的开发。一旦原型系统中包含漏洞、软件缺陷、逻辑错误等问题,那么应用该原型系统的后续开发系统将面临着安全威胁。因此,快速自动化地发现网络中新系统的安全问题对于开发者们至关重要。此外,对于网络安全有较要求的企事业单位对于互联网上新技术、新系统的安全也存在很多顾虑,同样需要对这些系统和代码进行多方位的评测。而目前对于新软件的评测主要存在自动化程度不够、集成化程度不高、动态可伸缩性不足的问题。首先,由于互联网中新程序的编写语言多种多样而且运行平台各不相同,导致了对新系统和新程序的评估主要依赖人工处理,自动化程度不高;其次,目前针对程序的安全分析工具大多关注于某一方向的评测,集成度不够;最后,跨平台的程序往往需要在多个平台上进行评估,为了保证评测系统的最佳资源利用,需要平台具有动态可伸缩的任务调度能力,而目前的评测方法尚不具备。
综上,亟待一种面向互联网中大量新出现的软件以及原型系统的安全风险分析方法。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。
鉴于此,为解决现有技术中存在的新软件的评测自动化程度不够、集成化程度不高、动态可伸缩性不足的技术问题,本发明提供一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质。
方案一:本发明提供了一种基于微服务的跨平台新软件以及新系统安全风险分析方法,包括以下步骤:
S1.预处理分析模块,判断目标系统是否含有源代码,分析目标系统中二进制可执行文件或源代码支持的运行平台,生成支持的平台种类列表,向任务调度模块发出任务请求;
S2.任务调度模块收到任务请求后向微服务的编译与测试模块传输二进制可执行文件或源代码;
S3.调度微服务的编译与测试模块收到二进制可执行文件或源代码后,将二进制可执行文件或源代码拆分为多个独立的待检测模块,同时动态生成多个微服务,每个独立待检测模块对应一个微服务;
所述微服务包括编译环境、测试工具,每个编译环境、测试工具运行于一个微服务内,编译环境、测试工具与微服务是同时生成的;所述编译环境为基于S1所述的支持的平台种类列表生成的;
在每个测试工具中分别输入待检测模块的源代码进行测试,输出测试结果至任务调度模块;
在每个编译环境中分别输入待检测模块的源代码进行编译,生成二进制可执行文件后将二进制可执行文件分别输入至不同测试工具中进行安全风险评测,并将安全风险评测结果传输至任务调度模块;
S4.任务调度模块将微服务传输的结果传输至结果输出模块;
S5.所述结果输出模块汇总多个微服务的测试结果和安全风险,生成风险评估报告,风险评估报告包括各目标系统支持的运行平台类型、包含的潜在漏洞类型。
优选的,S1所述判断目标系统是否含有源代码的具体方法是,通过GitHub或SourceForge平台搜索目标系统的名称,判断待测试的目标系统是否有相应的源代码。
优选的,S1所述分析目标系统中二进制可执行文件或源代码支持的运行平台的具体方法是,
源代码,分析并提取源代码的编程语言、头文件信息,同时分析目标系统编译配置文件提取采用的编译工具信息;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台;
二进制可执行文件,检测目标系统依赖的动态链接库和指令类型;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台。
优选的,所述映射模型的类型具体包括:编程语言-支持平台、依赖库-支持平台、编译工具-支持平台、指令类型-支持平台。
优选的,所述微服务,可以按需有众多实例并行化运行,并基于RESTful API与任务调度模块进行交互。
优选的,所述编译环境,支持的编译器类型包括:GCC、Clang/LLVM、Microsoftvisual c++6.0、Microsoft Visual C++、Microsoft visual studio、win-tc、Turb C;支持源代码的运行平台包括:ARM、MIPS、PowerPC、X86、X64;每种编译环境,封装为独立的微服务。
优选的,所述测试工具包括二进制可执行文件测试工具和源程序测试工具;
所述二进制可执行文件测试工具包括:脱壳工具、定位地址工具、反汇编工具、模糊测试工具、符号执行工具、漏洞扫描工具、动态污点分析工具;
所述源代码测试工具包括:数据流分析工具、污点分析工具、模型检测工具。
优选的,所述二进制可执行文件测试工具对目标系统的窗口句柄控制,在获取工具窗口句柄后向其中的输入窗口和按钮发送测试输入内容和触发信号,之后读取系统输出窗口获取测试结果,返回结果传输至二进制可执行文件测试工具进行分析。
方案二:一种计算机,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现方案一所述一种基于微服务的跨平台新软件以及新系统安全风险分析方法的步骤。
方案三:一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现方案一所述一种基于微服务的跨平台新软件以及新系统安全风险分析方法。
本发明的有益效果如下:新软件的评测自动化程度不够、集成化程度不高、动态可伸缩性不足的技术问题,本发明通过集成不同编译环境与测试环境,并将每一种编译以及测试工具转化为微服务,实现各种测试环境以及工具的集成以及动态可扩展的部署。微服务是将传统大而全的服务或软件拆分为多个独立的模块,每个模块都运行于独立的微服务中,从而实现按需运行。由于微服务的启动速度快、资源占用量低等轻量化特性,微服务占用的资源更少,模块启动速度更快。当测试一个新的原型系统时,本发明将自动化分析其可支持的编译平台并动态创建对应的微服务以建立相应的编译环境。在编译生成多平台的二进制可执行文件之后,分配至微服务以并行化采用大量不同的测试工具测试目标系统或程序;基于微服务的高可扩展性,系统能够不断集成各种新型测试工具以及编译平台,实现测试的高度集成化以及自动化。
综上,本发明的优势如下:
1.本发明基于微服务的云计算模式将各种平台的编译环境以及测试工具集成,形成了高弹性的测试平台。与基于虚拟机的云平台相比,相同数量的测试实例下,内存占用低5.3%;
2.相比于基于虚拟机的云环境,基于微服务的平台具有更快的启动速度。经过测试,包含测试工具的容器的启动速度比虚拟机平均快2秒;
3.本方法集成了大量的编译环境以及测试工具,相比于各种威胁评估方法具有更高的集成性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明方法流程示意图;
图2为本发明结构示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1、参照图1-2说明本实施方式,一种基于微服务的跨平台新软件以及新系统安全风险分析方法,包括以下步骤:
S1.预处理分析模块,判断目标系统是否含有源代码,分析目标系统中二进制可执行文件或源代码支持的运行平台,生成支持的平台种类列表,向任务调度模块发出任务请求;
当原型系统的源代码可以从互联网上获取时,系统将分析其源代码;当无法获取原型系统时,系统分析其可执行文件。
具体的,判断目标系统是否含有源代码的具体方法是,通过GitHub或SourceForge平台搜索目标系统的名称,判断待测试的目标系统是否有相应的源代码。
具体的,分析目标系统中二进制可执行文件或源代码支持的运行平台的具体方法是,
分析源代码支持的运行平台:
分析并提取源代码的编程语言、头文件(依赖库)等信息,同时分析目标系统的编译配置文件提取采用的编译工具信息;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台;
具体的,映射模型的类型包括:编程语言-支持平台、依赖库-支持平台、编译工具-支持平台、指令类型-支持平台。
分析二进制可执行文件支持的运行平台:
检测目标系统依赖的动态链接库和指令类型;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台。
具体的,所述映射模型的类型具体包括:编程语言-支持平台、依赖库-支持平台、编译工具-支持平台、指令类型-支持平台。
具体的,基于生成的目标支持的平台种类列表向任务调度模块发出任务请求。
S2.任务调度模块收到预处理分析模块发出的任务请求后向微服务的编译与测试模块传输二进制可执行文件或源代码;
具体的,任务调度模块采用RESTful协议调度微服务的编译与测试模块进行信息传输。
S3.调度微服务的编译与测试模块收到二进制可执行文件或源代码后,将二进制可执行文件或源代码拆分为多个独立的待检测模块,同时动态生成多个微服务,每个独立待检测模块对应一个微服务;
所述微服务包括编译环境、测试工具,每个编译环境、测试工具运行于一个微服务内,编译环境、测试工具与微服务是同时生成的;所述编译环境为基于S1所述的支持的平台种类列表生成的;
具体的,在每个编译环境中分别输入源代码待检测模块进行编译,生成二进制可执行文件后将二进制可执行文件分别输入至不同测试工具中进行安全风险评测,并将安全风险评测结果传输至任务调度模块;
具体的,在每个测试工具中分别输入源代码待检测模块进行测试,输出测试结果至任务调度模块;
步骤S3具体实现过程为,任务调度模块根据目标系统支持的运行平台调度与目标系统支持的运行平台对应的编译环境,并将源代码、编译配置文件以及编译指令传输至测试工具中,进行风险测试。
具体的,所述微服务,可以按需有众多实例并行化运行,并基于RESTful API与任务调度模块进行交互。
具体的,所述编译环境,支持的编译器类型包括:GCC、Clang/LLVM、Microsoftvisual c++6.0、Microsoft Visual C++、Microsoft visual studio、win-tc、Turb C;支持源代码的运行平台包括:ARM、MIPS、PowerPC、X86、X64;每种编译环境,封装为独立的微服务。
具体的,所述测试工具包括二进制可执行文件测试工具和源程序测试工具;
具体的,所述二进制可执行文件测试工具包括:脱壳工具、定位地址工具、反汇编工具、模糊测试工具、符号执行工具、漏洞扫描工具、动态污点分析工具;
具体的,所述源代码测试工具包括:数据流分析工具、污点分析工具、模型检测工具。
具体的,所述基于微服务的编译与测试模块基于容器云搭建,底层为宿主机操作系统,每个微服务都运行于Docker容器之中。容器管理平台采用kubernetes。同一种微服务可以按需有众多实例并行化运行,并基于RESTful API与调度模块进行交互。宿主机中管理程序能够实时获取容器的运行状态并且控制容器的生命周期。
具体的,所述二进制可执行文件测试工具对目标系统的窗口句柄控制,在获取工具窗口句柄后向其中的输入窗口和按钮发送测试输入内容和触发信号,之后读取系统输出窗口获取测试结果,返回结果传输至二进制可执行文件测试工具进行分析。
S4.任务调度模块将微服务传输的结果传输至结果输出模块;
S5.所述结果输出模块汇总多个微服务器的测试结果和安全风险,生成风险评估报告,风险评估报告包括各目标系统支持的运行平台类型、包含的潜在漏洞类型。
对本发明的各个模块功能进行说明:
本发明包含四个模块,分别为预处理分析模块、任务调度模块、基于微服务的编译与测试模块以及结果输出模块。
预处理分析模块用于分析目标程序或系统的源代码或二进制可执行文件,分析目标程序或系统可支持的运行平台。
任务调度模块用于接收预处理分析模块传入的任务请求,调度基于微服务的编译与测试模块创建与目标程序或系统可支持运行平台相应的微服务进行并行化的编译与测试。还用于接收各微服务的返回结果并传输结果至结果输出模块。
基于微服务的编译与测试模块根据任务调度模块的任务请求,动态生成相应的大量编译和微服务。为了提高并行性,各编译环境的微服务是同时生成的,每个编译环境对应一个微服务。当一个编译环境的微服务接收到源代码时,将进行编译并且对外返回编译后的可执行文件。微服务接收二进制可执行文件或者源代码,并进行测试。每个微服务包括一个独立的测试工具(如:漏洞扫描工具、模糊测试工具、恶意代码检测工具等)。在完成测试后,微服务返回结果给任务调度模块,并退出。
结果输出模块用于汇总各微服务的结果,生成风险评估报告。报告包括各目标软件支持的运行平台类型、包含的潜在漏洞类型。
实施例2、一种计算机,本发明的计算机装置可以是包括有处理器以及存储器等装置,例如包含中央处理器的单片机等。并且,处理器用于执行存储器中存储的计算机程序时实现上述的基于CREO软件的可修改由关系驱动的推荐数据的推荐方法的步骤。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
实施例3、计算机可读存储介质
本发明的计算机可读存储介质可以是被计算机装置的处理器所读取的任何形式的存储介质,包括但不限于非易失性存储器、易失性存储器、铁电存储器等,计算机可读存储介质上存储有计算机程序,当计算机装置的处理器读取并执行存储器中所存储的计算机程序时,可以实现上述的基于CREO软件的可修改由关系驱动的建模数据的建模方法的步骤。
所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种基于微服务的跨平台新软件以及新系统安全风险分析方法,其特征在于,包括以下步骤:
S1.预处理分析模块,判断目标系统是否含有源代码,分析目标系统中二进制可执行文件或源代码支持的运行平台,生成支持的平台种类列表,向任务调度模块发出任务请求;
S2.任务调度模块收到任务请求后向微服务的编译与测试模块传输二进制可执行文件或源代码;
S3.调度微服务的编译与测试模块收到二进制可执行文件或源代码后,将二进制可执行文件或源代码拆分为多个独立的待检测模块,同时动态生成多个微服务,每个独立待检测模块对应一个微服务;
所述微服务包括编译环境、测试工具,每个编译环境、测试工具运行于一个微服务内,编译环境、测试工具与微服务是同时生成的;所述编译环境为基于S1所述的支持的平台种类列表生成的;
在每个测试工具中分别输入待检测模块的源代码进行测试,输出测试结果至任务调度模块;
在每个编译环境中分别输入待检测模块的源代码进行编译,生成二进制可执行文件后将二进制可执行文件分别输入至不同测试工具中进行安全风险评测,并将安全风险评测结果传输至任务调度模块;
S4.任务调度模块将微服务传输的结果传输至结果输出模块;
S5.所述结果输出模块汇总多个微服务的测试结果和安全风险,生成风险评估报告,风险评估报告包括各目标系统支持的运行平台类型、包含的潜在漏洞类型。
2.根据权利要求1所述的方法,其特征在于,S1所述判断目标系统是否含有源代码的具体方法是,通过GitHub或SourceForge平台搜索目标系统的名称,判断待测试的目标系统是否有相应的源代码。
3.根据权利要求1所述的方法,其特征在于,S1所述分析目标系统中二进制可执行文件或源代码支持的运行平台的具体方法是:
源代码,分析并提取源代码的编程语言、头文件信息,同时分析目标系统编译配置文件提取采用的编译工具信息;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台;
二进制可执行文件,检测目标系统依赖的动态链接库和指令类型;预处理分析模块内置有映射模型,使用映射模型分析目标系统支持的运行平台。
4.根据权利要求3所述的方法,其特征在于,所述映射模型的类型具体包括:编程语言-支持平台、依赖库-支持平台、编译工具-支持平台、指令类型-支持平台。
5.根据权利要求4所述的方法,其特征在于,所述微服务,可以按需有众多实例并行化运行,并基于RESTful API与任务调度模块进行交互。
6.根据权利要求5所述的方法,其特征在于,所述编译环境,支持的编译器类型包括:GCC、Clang/LLVM、Microsoft visual c++6.0、Microsoft Visual C++、Microsoft visualstudio、win-tc、Turb C;支持源代码的运行平台包括:ARM、MIPS、PowerPC、X86、X64;每种编译环境,封装为独立的微服务。
7.根据权利要求6所述的方法,其特征在于,所述测试工具包括二进制可执行文件测试工具和源程序测试工具;
所述二进制可执行文件测试工具包括:脱壳工具、定位地址工具、反汇编工具、模糊测试工具、符号执行工具、漏洞扫描工具、动态污点分析工具;
所述源代码测试工具包括:数据流分析工具、污点分析工具、模型检测工具。
8.根据权利要求7所述的方法,其特征在于,所述二进制可执行文件测试工具对目标系统的窗口句柄控制,在获取工具窗口句柄后向其中的输入窗口和按钮发送测试输入内容和触发信号,之后读取系统输出窗口获取测试结果,返回结果传输至二进制可执行文件测试工具进行分析。
9.一种计算机,其特征在于,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现权利要求1至5任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111210072.5A CN113946831B (zh) | 2021-10-18 | 2021-10-18 | 一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111210072.5A CN113946831B (zh) | 2021-10-18 | 2021-10-18 | 一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113946831A CN113946831A (zh) | 2022-01-18 |
| CN113946831B true CN113946831B (zh) | 2024-04-05 |
Family
ID=79331039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111210072.5A Active CN113946831B (zh) | 2021-10-18 | 2021-10-18 | 一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113946831B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011076972A1 (en) * | 2009-12-21 | 2011-06-30 | Nokia Corporation | A method, apparatuses and a system for compilation |
| CN110633112A (zh) * | 2019-08-30 | 2019-12-31 | 北京小米移动软件有限公司 | 信息处理方法及装置、设备、存储介质 |
| CN111914408A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 面向威胁建模的信息处理方法、系统及电子设备 |
| CN112333096A (zh) * | 2020-10-16 | 2021-02-05 | 济南浪潮数据技术有限公司 | 一种微服务流量调度方法及相关组件 |
| CN112463581A (zh) * | 2020-08-18 | 2021-03-09 | 清华大学 | 一种对分布式系统进行模糊测试的方法及系统 |
| CN112988594A (zh) * | 2021-04-25 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 用于代码质量评估的集成检测方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190012183A1 (en) * | 2006-02-06 | 2019-01-10 | Ralph Saunders | Method of providing software development services |
| US8495583B2 (en) * | 2009-09-11 | 2013-07-23 | International Business Machines Corporation | System and method to determine defect risks in software solutions |
| US11151024B2 (en) * | 2019-08-09 | 2021-10-19 | International Business Machines Corporation | Dynamic automation of DevOps pipeline vulnerability detecting and testing |
-
2021
- 2021-10-18 CN CN202111210072.5A patent/CN113946831B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011076972A1 (en) * | 2009-12-21 | 2011-06-30 | Nokia Corporation | A method, apparatuses and a system for compilation |
| CN110633112A (zh) * | 2019-08-30 | 2019-12-31 | 北京小米移动软件有限公司 | 信息处理方法及装置、设备、存储介质 |
| CN111914408A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 面向威胁建模的信息处理方法、系统及电子设备 |
| CN112463581A (zh) * | 2020-08-18 | 2021-03-09 | 清华大学 | 一种对分布式系统进行模糊测试的方法及系统 |
| CN112333096A (zh) * | 2020-10-16 | 2021-02-05 | 济南浪潮数据技术有限公司 | 一种微服务流量调度方法及相关组件 |
| CN112988594A (zh) * | 2021-04-25 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 用于代码质量评估的集成检测方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| 一种基于执行轨迹监测的微服务故障诊断方法;王子勇;王焘;张文博;陈宁江;左春;软件学报;20171231;28(6);全文 * |
| 国鹏飞.基于动态符号执行的二进制代码漏洞挖掘系统研究与设计.2011,全文. * |
| 基于复杂网络分析的软件高危缺陷评估方法;马皖王莹;陈林;陈芝菲;王子元;计算机科学与探索;20141231;8(8);全文 * |
| 赵威威.跨平台大规模同源二进制文件关联方法研究.2018,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113946831A (zh) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068382B2 (en) | Software testing and verification | |
| US10416973B2 (en) | Analysis of source code for deployment | |
| CN112417461B (zh) | 设备固件的模糊测试方法及系统 | |
| CN110401634A (zh) | 一种Web应用漏洞检测规则引擎实现方法及终端 | |
| CN110968437A (zh) | 一种基于Java智能合约的单个合约并行执行的方法、装置、设备及介质 | |
| CN107832059A (zh) | 一种基于Makefile的代码静态分析方法和装置 | |
| CN109918296A (zh) | 软件自动化测试方法及装置 | |
| CN103823665B (zh) | 一种sdk活跃度分析方法、网络服务器及系统 | |
| CN112767135A (zh) | 规则引擎的配置方法及装置、存储介质、计算机设备 | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| CN114138674A (zh) | 自动化测试方法、装置及计算机设备 | |
| KR102535978B1 (ko) | 전이학습을 통한 적응형 모델 기반의 온 디바이스 안드로이드 악성코드 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
| TWI626538B (zh) | 基礎架構規則產生技術 | |
| CN110598419A (zh) | 一种区块链客户端漏洞挖掘方法、装置、设备及存储介质 | |
| CN107341106A (zh) | 应用程序兼容性检测方法、开发终端及存储介质 | |
| CN113946831B (zh) | 一种基于微服务的跨平台新软件以及新系统安全风险分析方法、计算机及存储介质 | |
| CN106844219A (zh) | 应用检测方法及应用检测装置 | |
| Aljohani et al. | A unified framework for automating software security analysis in DevSecOps | |
| CN116305120A (zh) | 一种双重验证的安卓恶意软件混合检测系统及方法 | |
| CN110502900A (zh) | 一种检测方法、终端、服务器及计算机存储介质 | |
| US20230029250A1 (en) | Type inference in dynamic languages | |
| CN115544518A (zh) | 漏洞扫描引擎实现方法、装置、漏洞扫描方法及电子设备 | |
| CN110489124B (zh) | 源代码执行方法、装置、存储介质及计算机设备 | |
| CN113806231A (zh) | 一种代码覆盖率分析方法、装置、设备和介质 | |
| CN112306496A (zh) | 区块链运行信息分析方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |