[发明专利]源代码后门发现方法

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种源代码后门发现方法。

背景技术

目前源代码中的后门发现基本靠人工审查，根据人工的经验来判断源代码中是否存在后门，通过对源代码的审查及搜索可能会调用的敏感函数来确定源代码中是否包含后门。一般情况下，后门通过一定的程序流程调用，实现驻留在受害系统的目的。

针对上述情况，可以采用动态监测的方法，即监测系统进程，在某一进程调用了一系列与某一后门流程相符合的函数或程序时，认为该进程对应的程序源代码即为后门。但在后门源代码未执行时，就无法发现这一后门。因为，亦可以采用静态监测的方法对源代码进行检测，即对某些关键函数或关键字进行检索匹配，但当源代码分布在不同文件、不同目录，且在经过混淆处理使得多个源代码文件相互之间的关系复杂时，静态监测方法也无法有效的将后门源代码检测出来。综上，由于缺乏对源代码后门有效的检测方式，导致系统安全性有所降低。

发明内容

本发明提供了一种源代码后门发现方法，解决了由于缺乏对源代码后门有效的检测方式导致系统安全性降低的问题。

一种源代码后门发现方法，包括：

搜索存在关联的多个源代码文件；

根据预置的后门检测策略对所述多个源代码文件进行规则匹配，所述检测策略包括与一源代码后门相关的多个规则以及判定存在源代码后门的判定条件；

在所述多个源代码文件与所述检测策略中的规则匹配情况满足所述判定条件时，确认所述多个源代码文件为一源代码后门。

优选的，所述搜索存在关联的多个源代码文件具体为：

确定起始的控制节点源代码文件；

搜索与该控制节点源代码文件存在直接或间接参数传递关系的源代码文件，搜索得到的全部文件即为存在关联的多个源代码文件。

优选的，所述搜索存在关联的多个源代码文件的步骤之前，还包括：

定义检测策略，所述检测策略包括多个与一源代码后门相关的规则；

设置各规则的排列顺序，并为各个规则设置一权值；

定义判定条件，所述判定条件包含一权值标准值，在所匹配的规则权值之和达到所述权值标准值时确定所述多个源代码文件为一源代码后门。

优选的，所述检测策略包括规则中的任意若干个：

API|apiname|*x，其中，apiname为被调用的API函数名称，x为调用该函数的次数，该规则表示在所述源代码文件中存在x个对apinameb函数的调用时认为所述源代码匹配该规则；

API|apiname|argv[pos]:expr，其中，pos表示参数编号，expr为表达式，该规则表示在所述apiname函数满足该表达式时认为所述源代码匹配该规则；

API|apiname|argv_asign[pos]＝＝return(RECORD[id])，其中，return(RECORD[id])是该id所指定的RECORD所描述的函数的返回值，该规则表示在所述源代码文件中apiname参数返回值与参数相同时认为所述源代码匹配该规则；

STR|”sting”|sf |*y，其中，”sting”表示字符串，y表示字符串数量，s表示大小写敏感，f表示全字符串匹配，该规则表示在所述源代码中具有x个该”sting”字符串是认为所述述源代码匹配该规则；

BACKDOOR|tablename，其中，tablename为其他后门的表名称，该规则表示在所述源代码中出现该tablename时认为所述源代码匹配该规则；

GRAM|str1+str2+str3+...+str n，其中，str n为语法元素，该规则表示在所述源代码中存在str1+str2+str3+...+str n的语法调用规则时认为所述源代码匹配该规则。

优选的，所述根据预置的后门检测策略对所述多个源代码文件进行规则匹配具体为：

依照预置的各规则排序，将所述检测策略中的规则逐条与所述多个源代码文件进行规则匹配。

本发明还提供了一种源代码后门发现装置，包括：

文件发现模块，用于搜索存在关联的多个源代码文件；

匹配执行模块，用于根据预置的后门检测策略对所述多个源代码文件进行规则匹配，所述检测策略包括与一源代码后门相关的多个规则以及判定存在源代码后门的判定条件；

结果判定模块，用于在所述多个源代码文件与所述检测策略中的规则匹配情况满足所述判定条件时，确认所述多个源代码文件为一源代码后门。