[发明专利]软件安全漏洞的发掘方法及系统、存储介质和计算机设备有效
| 申请号: | 201810565226.4 | 申请日: | 2018-06-04 |
| 公开(公告)号: | CN110197072B | 公开(公告)日: | 2023-03-21 |
| 发明(设计)人: | 廖崇粮 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F11/36 |
| 代理公司: | 北京励诚知识产权代理有限公司 11647 | 代理人: | 贾玉姣 |
| 地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开一种软件安全漏洞的发掘方法。发掘方法包括:将待分析软件转换成中间语言形式的程序代码包;根据程序代码包构建控制流图和识别当前函数名;根据当前函数名确定污点源函数和污点源;根据当前函数名和安全攸关函数库确定安全攸关函数;获得与污点源函数和/或安全攸关函数相关的语句以作为待分析代码段;在待分析代码段上进行符号执行和污点分析;和在污点源传播至安全攸关函数时,产生软件安全漏洞的告警信息。本发明还公开发掘系统、计算机可读存储介质和计算机设备。本发明的发掘方法、发掘系统、计算机可读存储介质和计算机设备可以直接根据待分析软件的程序代码产生软件安全漏洞的告警信息,过程全自动,无需人工参与。 | ||
| 搜索关键词: | 软件 安全漏洞 发掘 方法 系统 存储 介质 计算机 设备 | ||
【主权项】:
1.一种软件安全漏洞的发掘方法,其特征在于,所述发掘方法包括:将待分析软件的程序代码转换成用中间语言描述的程序代码包;根据所述程序代码包构建控制流图;识别所述程序代码包中的当前函数名;根据所述当前函数名确定所述程序代码包中的污点源函数,所述污点源函数用于接收外部数据,所述外部数据为污点源;根据所述当前函数名和安全攸关函数库确定所述程序代码包中的安全攸关函数,所述安全攸关函数库包括对软件安全造成严重影响的预定安全攸关函数;根据所述控制流图确定所述程序代码包中与所述污点源函数和/或所述安全攸关函数相关的语句以作为待分析代码段并采用程序切片的方式获得所述待分析代码段;在所述待分析代码段上进行符号执行和污点分析;和在所述污点源传播至所述安全攸关函数时,产生所述安全攸关函数的告警信息以作为所述软件安全漏洞的告警信息。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810565226.4/,转载请声明来源钻瓜专利网。
