[发明专利]面向第三方库依赖的知识图谱构建方法及系统

说明书

本发明公开了一种面向第三方库依赖的知识图谱构建方法及系统，方法包括以下步骤：采集若干应用程序项目，从中提取所依赖的第三方库；爬取所述第三方库的漏洞报告；从所述漏洞报告中提取实体；从所述漏洞报告中抽取关系；对所述实体进行对齐，之后结合所述关系构建完整的知识图谱。本发明的方法提供了一种能够帮助开发者对第三方库依赖进行全方位漏洞及功能分析的数据语义网络，使用构建知识图谱的方法全方位存储第三方库漏洞、功能等信息，为进一步的对第三方库的功能、风险分析提供结构化数据，使开发人员能快速、准确、高效的掌握第三方库信息，提高开发的效率与质量。

技术领域

本发明属于软件安全技术领域，特别涉及一种面向第三方库依赖的知识图谱构建方法。

背景技术

目前80％的应用程序是基于第三方库和已有框架开发的，然而，约1/4的第三方库是存在漏洞的，而且大部分漏洞的严重等级为中级(Middle)和高级(High)，少部分是严重等级(Critical)，如果这些漏洞被利用，则会给应用程序的安全性造成严重威胁。因此不仅要分析第三方库依赖是否满足原应用的需求，还要对其进行漏洞分析检测和风险分析。

目前国内外存在对第三方库依赖进行分析的方法，比如白名单匹配检测、提取函数方法签名、基于聚类方法技术、基于机器学习方法等。这些技术或多或少在效率或者准确度上有些许弊端。例如，白名单匹配检测方法仅对代码中的包名或者第三方库的包名比较，一旦应用使用了代码混淆，对第三方库的分析就会不全面，检测提取出的数据就不精确，容易误导开发者。针对白名单匹配检测第三方库不完善且不准确的问题。然而，如果第三方库被修改或属于多种类别，会降低方法的准确性。此外，国外OWASP基金会提出了一种工具OWASP Dependency Check，它提供的功能可自动提取项目依赖项列表，并检查此列表是否包含具有已知安全漏洞的任何库。该工具通过将库名与国家通用漏洞数据库(NVD)中漏洞描述(CVE)中指示的通用平台枚举(CPE)版本进行比较，可以自动将库与关联的CVE进行匹配。由上可知，目前仅仅是对第三方库进行一系列检测工作，只能达到检测第三方库是否存在漏洞，不能对漏洞进行分析。

发明内容

本发明的目的在于针对上述现有技术存在的问题，提供一种面向第三方库依赖的知识图谱构建方法及系统，为第三方库的功能及风险分析提供结构化数据。

实现本发明目的的技术解决方案为：面向第三方库依赖的知识图谱构建方法，所述方法包括以下步骤：

步骤1，采集若干应用程序项目，从中提取所依赖的第三方库；

步骤2，爬取所述第三方库的漏洞报告；

步骤3，从所述漏洞报告中提取实体；

步骤4，从所述漏洞报告中抽取关系；

步骤5，对所述实体进行对齐，之后结合所述关系构建完整的知识图谱。

进一步地，步骤3所述从所述漏洞报告中提取实体，具体为利用NLTK自然语言处理工具提取实体，具体过程包括：

步骤3-1，对所述漏洞报告文本进行句子分割；

步骤3-2，对所述句子进行分词以及词性标注；

步骤3-3，进行命名实体识别，提取实体。

进一步地，步骤5中所述对所述实体进行对齐，之后结合所述关系构建完整的知识图谱，具体过程包括：

步骤5-1，利用编辑距离算法计算两两实体的相似度，计算公式为：

式中，sim1为相似度，distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤，所述单字符编辑包括插入、删除或替换，str1.length、str2.length分别为两个实体字符串的长度；