[发明专利]基于软件安全缺陷检测的综合处理方法及其功能模块构架

权利要求书

1.一种基于软件安全缺陷检测的综合处理方法，包括：

A.待测软件及检测标准初始化处理：

A_a.将需要检测的软件名称、选用的常规软件分析工具、原始数据存储地址、最终检 测结果存储地址，以及各单一安全缺陷检测标准和综合处理程序进行初始化设置，并将其 作为初始化数据存入数据库、以备调用；

A_b.将待测的软件录入选用的常规软件分析工具，经过常规软件分析工具逐一处理， 获得待测软件的初步分析数据，以待检测用；

B.待测软件初步分析数据的预处理：从步骤A_b输入的待测软件所有初步分析数据中 抽取缺陷特征数据，并逐一录入原始数据存储地址，作为待测软件的分析数据，以备进一 步检测用；

C.按单一的安全缺陷检测标准依次检测及安全缺陷等级评估：将从步骤B所得待测 软件的分析数据，采用步骤A_a中设定的各单一安全缺陷检测标准逐一进行检测，检测结 束后转步骤D；各单一安全缺陷检测步骤是：

C_a.首先按照设定的单一安全缺陷检测标准分别对由从步骤B所得待测软件的分析数 据逐一进行对比检测，每当与单一安全缺陷检测标准中任意特征参数相符时，则将分析数 据以及触发单一安全缺陷检测标准的特征参数，送步骤C_b处理；若均与各单一安全缺陷 检测标准不符，则为无安全缺陷数据、直接转步骤D处理；

C_b.安全缺陷等级评估：由步骤C_a输入的存在单一安全缺陷的分析数据以及触发单 一安全缺陷检测标准的特征参数，将与之对应的分析数据中安全缺陷评估等级上加1；然 后返回步骤C_a继续执行未曾进行的对比检测以及本步骤的安全缺陷等级评估，直至检测、 评估完毕：

D.安全缺陷综合处理：经步骤C检测后输入的数据中，若为无安全缺陷的数据纪录、 则存入数据库后直接转步骤E；若为带安全缺陷的分析数据、则从中提取包括缺陷位置特 征及缺陷函数特征在内的缺陷特征数据进行安全缺陷的综合处理，处理结束后、直接转步 骤E；安全缺陷综合处理的步骤为：

D_a.针对缺陷位置特征进行处理：对步骤C处理后输入带安全缺陷的各分析数据，针 对缺陷出现行号进行逐一比对，每当相同的行号出现时、则将相应的安全缺陷等级相加， 并将被分析的软件名称、缺陷出现行号、安全缺陷等级作为缺陷的位置特征参数记录存入 数据库；

D_b.针对缺陷函数特征进行处理：对经步骤C处理后输入带安全缺陷的各分析数据， 针对缺陷特征进行逐一比对，每当存在相同的缺陷特征时、则将相应的安全缺陷等级相加， 并将引起缺陷的函数名、安全缺陷等级作为缺陷的函数特征记录存入数据库；

E：检测结果的存储和数据丢弃处理：将由步骤D处理后输入的数据，即：无安全 缺陷或缺陷位置特征及缺陷函数特征逐一存入最终检测结果存储地址，即为被测软件的安 全缺陷检测结果；并将其它分析数据和待测软件的原始数据作丢弃处理。

2.按权利要求1所述基于软件安全缺陷检测的综合处理方法，其特征在于所述软件 单一安全缺陷检测标准包括：敏感函数检测标准参数，字符串检测标准参数，指针检测标 准参数。

3.按权利要求2所述基于软件安全缺陷检测的综合处理方法，其特征在于所述敏感 函数检测标准参数为strcpy，fscanf，getwd，strncpy，strcat、strdup，sprintf，sqrt，log。

4.按权利要求2所述基于软件安全缺陷检测的综合处理方法，其特征在于所述字符 串检测标准参数为“/”、“％”、“/＝”、“％＝”、len，abort，exit，assert，setjmp，longjmp， goto，break，continue，return，switch，for，while，do while。

5.按权利要求2所述基于软件安全缺陷检测的综合处理方法，其特征在于所述指针 检测标准参数为malloc，new，HeapAlloc，NULL。