[发明专利]基于软件安全缺陷检测的综合处理方法及其功能模块构架

摘要

该发明属于网络安全领域中的软件安全缺陷检测方法及所采用的功能模块构架装置。其方法包括待测软件及检测标准初始化处理，待测软件初步分析数据的预处理，按单一的安全缺陷标准依次检测及安全缺陷等级评估，安全缺陷综合处理及检测结果的存储和数据丢弃处理；功能模块构架包括待测软件及检测标准初始化处理、对待测软件初步分析数据进行预处理、按单一的安全缺陷标准检测及安全缺陷等级评估、安全缺陷综合处理、对检测结果存储和作数据丢弃处理的单元模块及数据库。该发明具有可对软件的安全缺陷进行整体检测及综合处理，检测范围广、对软件安全缺陷的适应性强，检测及综合处理结果准确性、可靠性高，对软件的功能和性能无特别要求等特点。

主权项

一种基于软件安全缺陷检测的综合处理方法，包括：A.待测软件及检测标准初始化处理：Aa.将需要检测的软件名称、选用的常规分析工具、原始数据存储地址、最终检测结果存储地址，以及各单一缺陷检测标准和综合处理程序进行初始化设置，并将其作为初始化数据存入数据库、以备调用；Ab.将待测的软件录入选用的常规软件分析工具，经过分析工具逐一处理，获得待测软件的初步分析数据，以待检测用；B.待测软件初步分析数据的预处理：从步骤Ab输入的待测软件所有初步分析数据中抽取缺陷特征数据，并逐一录入原始数据存储地址，作为待测软件的分析数据数据，以备进一步检测用；C.按单一的安全缺陷标准依次检测及安全缺陷等级评估：将从步骤B所得待测软件的分析数据，采用步骤Aa中设定的各单一安全缺陷检测标准逐一进行检测，检测结束后转步骤D；各单一安全缺陷检测步骤是：Ca.首先按照设定的单一安全缺陷标准分别对各分析工具给出的初步分析数据逐一进行对比检测，每当与安全缺陷标准中任意特征参数相符时，则将分析数据以及触发检测标准的特征参数，送步骤Cb处理；若均与各单一缺陷检测标准不符，则为无安全缺陷数据、直接转步骤D处理；Cb.安全缺陷等级评估：根据步骤Ca输入的存在安全缺陷的数据，将与之对应的分析数据中缺陷评估等级上加1；然后返回步骤Ca继续执行未曾进行的检测以及本步骤的缺陷等级评估，直至检测、评估完毕：D.安全缺陷综合处理：经步骤C检测后输入的数据中，若为无安全缺陷的数据纪录、则存入数据库后直接转步骤E；若为带安全缺陷的分析数据、则从中提取包括缺陷位置特征及缺陷函数特征在内的缺陷特征数据进行安全缺陷的综合处理，处理结束后、直接转步骤E；安全缺陷综合处理的步骤为：Da.针对缺陷位置特征进行处理：对步骤C处理后输入带安全缺陷的各分析数据，针对缺陷出现行号进行逐一比对，每当相同的行号出现时、则将相应的缺陷等级相加，并将被分析的软件文件名、缺陷出现行号、安全缺陷等级作为缺陷的位置特征参数记录存入数据库；Db.针对缺陷函数特征进行处理：对经步骤C处理后输入带安全缺陷的各分析数据，针对缺陷特征进行追逐一比对，每当存在相同的缺陷特征时、则将相应的缺陷等级相加，并将引起缺陷的函数名、安全缺陷等级作为缺陷的函数特征记录存入数据库；E：检测结果的存储和数据丢弃处理：将经过步骤D输入的处理的结果，即：无安全缺陷或缺陷位置特征及缺陷函数特征逐一存入最终检测结果存储地址，即为被测软件的安全缺陷检测结果；并将其它分析数据和软件待测时的原始数据作丢弃处理。