[发明专利]应用代码的安全加固方法、系统、设备及存储介质

说明书

本发明提供了应用代码的安全加固方法、系统、设备及存储介质，其中，方法包括：收集攻击信息和应用源代码；基于攻击信息提取攻击点，基于静态输入的应用源代码，构建静态调用依赖图，基于攻击点和依赖图进行反向传播的依赖搜索，将与攻击点具有直接或间接依赖关系的节点标记为可能的威胁点；对威胁点信息和攻击值信息，进行基于输入和约束的威胁原因分析，并对威胁原因进行记录；将基于威胁点信息和威胁原因生成的安全校验策略加入安全校验策略库；将安全校验策略库合并到应用代码。本发明能够基于动态攻击信息和静态代码上下文依赖信息，进行攻击威胁点标记和威胁原因分析，实现全面准确的代码威胁点识别。

技术领域

本发明涉及代码检测领域，具体地说，涉及应用代码的安全加固方法、系统、设备及存储介质。

背景技术

应用代码安全校验不足是运行时应用安全面临的难点之一，代码安全校验不足将降低攻击者针对应用实施攻击行为的成本，威胁应用系统安全。

静态源代码扫描是近年被人提及较多的软件应用安全解决方案之一。它是指在软件工程中，程序员在写好源代码后，无需经过编译器编译，而直接使用一些扫描工具对其进行扫描，找出代码当中存在的一些语义缺陷、安全漏洞的解决方案。静态扫描技术已经从90年代时候的，编码规则匹配这种由编译技术拓展过来的分析技术向程序模拟全路径执行的方向发展，由此，这种模拟执行相对的执行路径比动态执行更多，能够发现很多动态测试难以发现的缺陷。

当前针对于代码安全校验和加固的工作，通常是考虑开发人员在编码阶段将检测逻辑嵌入应用代码实现的。然而此方法无法识别全文代码的威胁点，导致应用安全运行时防御的漏报率高。在进行代码安全校验和加固时，往往涉及大量的威胁检测点。该方法无法对威胁检测点进行自动识别，全面准确地针对脆弱代码进行安全校验。

有鉴于此，本发明提出了一种应用代码的安全加固方法、系统、设备及存储介质。

需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

针对现有技术中的问题，本发明的目的在于提供应用代码的安全加固方法、系统、设备及存储介质，克服了现有技术的困难，能够基于动态攻击信息和静态代码上下文依赖信息，进行攻击威胁点标记和威胁原因分析，实现全面准确的代码威胁点识别。

本发明的实施例提供一种应用代码的安全加固方法，包括以下步骤：

收集攻击信息和应用源代码；

基于所述攻击信息提取攻击点，基于静态输入的应用源代码，构建静态调用依赖图，基于所述攻击点和依赖图进行反向传播的依赖搜索，将与所述攻击点具有直接或间接依赖关系的节点标记为可能的威胁点；

对所述威胁点信息和攻击值信息，进行基于输入和约束的威胁原因分析，并对威胁原因进行记录；

将基于所述威胁点信息和威胁原因生成的安全校验策略加入安全校验策略库；以及

将所述安全校验策略库合并到应用代码。

优选地，所述基于所述攻击信息提取攻击点，基于静态输入的应用源代码，构建静态调用依赖图，基于所述攻击点和依赖图进行反向传播的依赖搜索，将与所述攻击点具有直接或间接依赖关系的节点标记为可能的威胁点，包括：

基于所述攻击信息获得攻击溯源信息，提取本次攻击的调用栈信息和变量值信息，获取攻击的爆发点位置和攻击值；

基于所述应用源代码进行数据流、控制流分析，构造静态的方法调用数据流图；

将所述攻击点和攻击值输入到所述静态调用数据流图，进行基于图的反向传播搜索；

将收集到的与攻击点有直接依赖关系或间接依赖关系的约束节点，标记为威胁点信息。