[发明专利]一种污点分析方法及装置

说明书

本申请实施例涉及安全技术领域，公开一种污点分析方法及装置，用以提高污点分析技术的通用性。污点分析装置获取被测试对象中污染源的原始污染源信息；获得所述原始污染源信息对应的变异污染源信息组，所述变异污染源信息组包括根据所述原始污染源信息构造的至少一个变异污染源信息；获得污染目标信息，确定至少一个污染目标信息组；将所述变异污染源信息组与所述至少一个污染目标信息组进行匹配；确定所述被测试对象中的污染源与匹配的第一污染目标信息组对应的污染目标之间存在污染路径。由于通过变异污染源信息组和污染目标信息组进行匹配来实现污点分析，不依赖于线程模型，可以适用于多组件分布式架构和异步IO并发框架，因此具有通用性。

技术领域

本申请涉及安全技术领域，尤其涉及一种污点分析方法及装置。

背景技术

传统的污点分析方法中，一般先分析污染源信息及其相应的线程标识(identifier，ID)，以及分析每个污染目标信息及污染目标信息对应的线程ID，然后确定线程ID相同的污染源信息和污染目标信息之间存在关联关系，最后判断存在关联关系的污染源信息和污染目标信息之间是否存在污染路径，从而检测存在关联关系的污染源信息和污染目标信息之间的污染路径是否存在安全漏洞。

但是在多组件分布式架构下，污染源和污染目标位于不同的软件中，这时污染源和污染目标对应不同线程ID，导致无法完成污染源和污染目标之间的污点分析。以及在很多异步输入输出(input output，IO)并发框架，如协程技术，这些技术不依赖于线程模型、不存在线程ID，导致也无法完成污染源和污染目标之间的污点分析。

可见，传统的污点分析方法存在局限性，无法适应多组件分布式架构和很多异步IO并发框架，因此提出一种通用的污点分析方法十分必要。

发明内容

本申请实施例提供一种污点分析方法及装置，用以提高污点分析技术的通用性，更好地适应多组件分布式架构及异步IO并发框架。

第一方面，提供一种污点分析方法，所述方法可以应用于污点分析装置，所述污点分析装置为电子设备。污点分析装置可以获取被测试对象中污染源的原始污染源信息；根据所述原始污染源信息获得所述原始污染源信息对应的变异污染源信息组，其中，所述变异污染源信息组包括根据所述原始污染源信息构造的至少一个变异污染源信息；获得污染目标信息，确定至少一个污染目标信息组；将所述变异污染源信息组与所述至少一个污染目标信息组进行匹配；若所述变异污染源信息组与所述至少一个污染目标信息组中的第一污染目标信息组匹配，确定所述被测试对象中的污染源与所述第一污染目标信息组对应的污染目标之间存在污染路径。

污染源为产生污染源信息的实体、组件、指令、或代码，污染源信息为污染源产生的数据。

污染目标为产生污染目标信息的实体、组件、指令、或代码，污染目标信息为污染目标产生的数据。

在该方法中，污点分析装置通过生成的变异污染源信息组和污染目标信息组进行匹配，可以确定出存在关联关系的污染源和污染目标，及污染路径，可见本申请实施例中的污点分析方法不依赖于线程ID，因此具有通用性，能够适配多组件分布式架构或者异步IO。

在一个可能的实现中，所述污点分析装置还可以根据原始污染源信息构造至少一个变异污染源信息，然后将所述至少一个变异污染源信息保存为所述原始污染源信息对应的变异污染源信息组，即所述变异污染源信息组中包括所述至少一个变异污染源信息。

示例的，所述污点分析装置可以对所述原始污染源信息中的参数值进行至少一次重新赋值，并将每次重新赋值后得到的污染源信息确定为一个变异污染源信息。或者所述污点分析装置可以对所述原始污染源信息中的参数进行至少一次更改，并将每次更改后得到的污染源信息确定为一个变异污染源信息。

在该实现中，所述污点分析装置通过构造至少一个变异污染源信息，避免了仅通过原始污染源信息进行匹配造成的偏差，若构造多个变异污染源信息，还可以进一步提高匹配的准确性，提高污点分析的准确性。