[发明专利]基于源代码插桩的社交网络安全运行时验证方法及系统

说明书

本发明属于计算机应用技术领域，公开了一种基于源代码插桩的社交网络安全运行时验证方法及系统，通过对开源社交网络进行代码插桩来捕获事件，用PPTL₃来描述性质并生成相应的性质监控模块，然后将事件和性质监控模块输入运行时监控器，运行时监控器自动的监控开源社交网络的运行是否符合给定的性质，并可以在社交网络不满足性质时给出监控信息，避免了模型检测状态空间爆炸的问题，也不需要复杂的定理证明，而且具有良好的实时性。本发明在不影响社交网络正常运行的前提下进行代码的插桩，以此实时的捕获关注的事件并验证性质，解决在大型开源社交网络中，传统模型检测方法的状态爆炸和不具备实时性的问题。

技术领域

本发明属于计算机应用技术领域，尤其涉及一种基于源代码插桩的社交网络安全运行时验证方法及系统。

背景技术

近年来，随着互联网的飞速发展，社交网络(Social Network,SN)已经进入大多数人的生活之中。SN旨在帮助人们建立社会性网络的互联网应用服务，由代表不同的人或群体组成。SN作为虚拟的社交媒介，提供了一种快速交流和共享信息的途径，为生活和工作带来了极大的便利。国内典型的SN有百度贴吧、开心网、人人网、新浪微博、微信等，国外有Facebook、YouTube、Twitter、Tumblr、LinkedIn等。这些SN的用户群体都有资料页面，也在SN中分享大量信息包括文字、图片、视频等，以新浪微博为例，新浪微博的“账号设置”一栏，“昵称”、“所在地”、“性别”这三个必填信息都不能设置查看权限。再比如新浪微博官方客户端有分享地理位置的功能，如果用户经常用它签到，那么个人行踪很可能被用心不良者掌握。因此，安全是SN中不可忽视的问题，为了减少类似事件发生，需要提高SN系统的正确性和可靠性，传统的方法有三种方法：测试、定理证明和模型检测。测试只能通过测试用例来证明程序中存在问题，而不能证明其不存在问题；定理证明需使用数学推理的方式证明系统的正确性，较为繁琐；模型检测则对软件进行建模，使用自动验证技术搜索模型的状态空间来判断系统是否具备某些性质，两者都不具备实时性，而且对于复杂的SN系统，建模面临着状态空间爆炸的问题。运行时验证是一种轻量级验证技术，运行时验证技术通过监控系统运行时的行为，来判断系统的行为是否违背某些性质，一旦系统的行为违背性质，监控器能立即给出警告。运行时验证同样需要使用形式化的方法对性质进行描述，例如LTL₃(Three-Valued Linear Temporal Logic),FSM(Finite State Machine)，PPTL₃(Three-Valued Propositional Projection Temporal Logic)等。运行时验证只关注系统当前的执行路径产生的信息，不需要对整个系统进行建模，可以避免定理证明和模型检测产生的问题。运行时验证技术从诞生至今已应用与各个领域，如恶意攻击检测，列车运行控制系统，C语言内存溢出检测，网络协议检测等。开源社交网络是社交网络开放源代码的版本，比较著名的有Elgg、DolphinSNS、ThinkSNS等，其功能比实际流行的社交网络相比要精简许多，但优点在于源代码易获取，易扩展，对其进行验证分析的方法同样也适用于当前流行的社交网络。若采用传统的模型检测对开源社交网络进行验证分析，由于模型检测是基于对状态空间的穷举，系统所对应的状态数会随着系统的大小成指数级增长，而社交网络系统功能多，代码量大，必然存在状态空间爆炸的问题，建模显得十分不方便。同时，若采用模型检测的方法，模型和实际社交网络系统是分离的，模型并不能反映社交网络的实际行为，即不具备实时性。而基于代码插桩的运行时验证方法很好的解决了上述两个问题，能够实时的验证复杂社交网络系统。

综上所述，现有技术存在的问题是：采用传统的模型检测对开源社交网络进行验证分析，由于开源社交网络系统功能多，代码量大，必然存在状态空间爆炸的问题，且不具备实时性。

发明内容

针对现有技术存在的问题，本发明提供了一种基于源代码插桩的社交网络安全运行时验证方法及系统。