[发明专利]基于优化变异策略的漏洞检测方法、装置、设备及介质

说明书

本公开提供一种基于优化变异策略的漏洞检测检测方法、装置、设备及介质，方法包括：获取目标应用程序的源代码；对源代码进行编译和插桩，得到源代码的结构中每个分支的内部变量和判断条件，并形成分支‑内部变量映射关系；对目标应用程序的输入变量所包括的各输入字节进行逐字节变动，确定源代码中随变动的所述输入字节发生变化的内部变量，得到输入字节‑内部变量映射关系；基于分支‑内部变量映射关系和输入字节‑内部变量映射关系生成关于输入字节的优化变异策略；基于优化变异策略对源代码进行模糊测试，得到漏洞检测结果。根据本公开，实现了对应用程序的源代码快速漏洞检测，从源头上保证了应用程序的安全，提高了漏洞检测效率。

技术领域

本公开涉及计算机技术领域，尤其涉及一种基于优化变异策略的应用测试方法、装置、设备及介质。

背景技术

随着互联网规模的快速增大和网络用户人数的快速增加，各种基于WEB的网络应用程序和服务也在海量增长。近几年来，伴随着越来越多的用户需求，各种应用程序也随着不断发展，促使应用程序的源代码规模不断地增大。应用程序的开发语言可以有多种选择，由于开发人员对信息安全以及网络安全缺乏足够的认知，同时对代码质量和代码安全问题没有足够的重视，因此在各种应用程序中都存在一些危险的安全漏洞，如果被黑产人员利用会对企业乃至个人造成巨大的损失。而由于程序员在开发应用程序时造成的高耦合性，使得易被利用的安全漏洞、代码后门也不再局限于过去的形式，采用传统方法检测源代码中的安全漏洞难度增加，不仅导致漏洞检测的效率降低还无法有效地检测漏洞。

发明内容

有鉴于此，本公开的目的在于提出一种基于优化变异策略的漏洞检测方法、装置、设备及介质。

基于上述目的，根据本公开的第一方面，提供了一种基于优化变异策略的漏洞检测方法，包括：

获取目标应用程序的源代码；

对所述源代码进行编译和插桩，得到所述源代码的结构中每个分支的内部变量和判断条件，并形成分支-内部变量映射关系；

对所述目标应用程序的输入变量所包括的各输入字节计进行逐字节变动，确定所述源代码中随变动的所述输入字节发生变化的所述内部变量，得到输入字节-内部变量映射关系；

基于所述分支-内部变量映射关系和所述输入字节-内部变量映射关系生成关于输入字节的优化变异策略；

基于所述优化变异策略对所述源代码进行模糊测试，得到漏洞检测结果。

可选地，所述对所述源代码进行插桩包括：

对所述源代码进行词法分析和语法分析得到插桩的位置；

在所述插桩的位置插入信息采集代码，以获取所述源代码被执行时的特征数据。

可选地，得到所述源代码的结构中每个分支的内部变量和判断条件，包括：在所述插桩过程中对所述源代码进行词法分析和语法分析得到每个分支的内部变量和判断条件。

可选地，基于所述分支-内部变量映射关系和所述输入字节-内部变量映射关系生成关于输入字节的优化变异策略，包括：

基于所述输入字节-内部变量映射关系得到所述输入字节对应的内部变量；

基于所述输入字节对应的内部变量和所述分支-内部变量映射关系确定所述输入字节对应的所述判断条件；

基于所述判断条件生成所述输入字节对应的优化变异策略。

可选地，基于所述优化变异策略对所述源代码进行模糊测试，包括：

重新对所述源代码进行编译和插桩，得到经重新插桩的源代码；

基于所述优化变异策略针对所述输入变量的至少部分输入字节进行变异，得到包括变异输入字节的输入队列；