[发明专利]基于调用链的JAVA漏洞检测方法及检测系统有效
| 申请号: | 201910085114.3 | 申请日: | 2019-01-29 |
| 公开(公告)号: | CN109829312B | 公开(公告)日: | 2021-01-01 |
| 发明(设计)人: | 李雷;李鑫力 | 申请(专利权)人: | 北京启明星辰信息安全技术有限公司;启明星辰信息技术集团股份有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/56 |
| 代理公司: | 北京科石知识产权代理有限公司 11595 | 代理人: | 李艳霞 |
| 地址: | 100193 北京市海淀区东*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本申请提供了一种基于调用链的JAVA漏洞检测方法及检测系统,检测方法包括:设定待检测的目标JAR包;对JAR包进行处理,生成函数调用关系图;采集已知的软件敏感调用点Sink方法,并根据漏洞类型对软件敏感调用点Sink方法进行分类,将各类软件敏感调用点Sink方法配置在相应的漏洞审计模块中;执行漏洞审计模块,在函数调用关系图的基础上利用深度优先搜索算法创建调用链;对得到的调用链进行筛选,筛选得到顶层方法能够被外部访问解析的调用链并输出。本申请利用深度优先搜索算法创建调用链,深入完整的挖掘软件系统中存在的安全漏洞,并以调用链的形式展示给审计人员,方便审计人员分析以及复现漏洞。 | ||
| 搜索关键词: | 基于 调用 java 漏洞 检测 方法 系统 | ||
【主权项】:
1.一种基于调用链的JAVA漏洞检测方法,其特征在于,包括以下步骤:设定待检测的目标JAR包;对JAR包进行处理,生成函数调用关系图;采集已知的软件敏感调用点Sink方法,并根据漏洞类型对软件敏感调用点Sink方法进行分类,将各类软件敏感调用点Sink方法配置在相应的漏洞审计模块中;执行漏洞审计模块,在函数调用关系图的基础上利用深度优先搜索算法创建调用链;对得到的调用链进行筛选,筛选得到顶层方法能够被外部访问解析的调用链并输出。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息安全技术有限公司;启明星辰信息技术集团股份有限公司,未经北京启明星辰信息安全技术有限公司;启明星辰信息技术集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910085114.3/,转载请声明来源钻瓜专利网。
