[发明专利]用于动态选择串分析算法的方法、系统和装置

说明书

技术领域

本发明涉及软件分析领域。

背景技术

串分析是用来推断和分析软件应用的操作生成的串变量的内容的技术。串分析是用于检测和评估软件应用的安全脆弱性（vulnerability），如Web应用的跨站点脚本（XSS）脆弱性，或访问控制策略违反的特别有利的工具。

发明内容

本发明的一个方面可以包括一种用于动态地选择串分析算法的方法。当在教学环境中时，串分析模块的动态串分析处理机（handler）可以训练来有效地处理具有从客户端应用接收的上下文元数据的串查询的子集。动态串分析处理机可以以训练模式操作，动态串分析处理机的有效性可以基于来自客户端应用的反馈。串查询的子集可以代表预期将由操作环境中的客户端应用生成的串查询的范围（spectrum）。完成训练后，可以为客户端应用合成串分析算法选择策略。串分析算法选择策略可以基于在训练期间处理串查询的子集时，动态串分析处理机和客户端应用之间的交互。串分析算法选择策略可以将子集中串查询的上下文与串分析算法的使用相关连。当在操作环境中时，动态串分析处理机可以根据串分析算法选择策略动态地处理具有从客户端应用接收的上下文元数据的串查询。动态串分析处理机可以以生产（production）模式操作。用于串查询的串分析算法可以动态和独立地确定。

本发明的另一个方面可以包括一种用于动态地选择串分析算法的系统。这种系统可以包括客户端应用和串分析模块。客户端应用可以被配置为发出包括要求串分析的串查询和相关联的上下文元数据的查询请求。串分析模块可以被配置为客户端应用提供响应于发出的查询请求的串分析的结果。串分析模块还可以包括串分析算法和动态串分析处理机。串分析算法可以代表不同的串分析技术。动态串分析处理机可以被配置为在训练模式下时，利用试探性（heuristic）策略基于在教学环境中与客户端应用的交互合成串分析算法选择策略。交互可以包括来自客户端应用的查询请求、动态串分析处理机对查询请求的响应，以及来自客户端应用有关响应的选择反馈。交互的查询请求可以利用预期将由操作环境中的客户端应用生成的串查询的子集。当处于生产模式时，动态串分析处理机可以利用串分析算法选择策略动态地选择串分析算法，以提供对操作环境中的客户端应用发出的查询请求的响应。

然而，在本发明的另一个方面可以包括一种计算机程序产品，其包括具有嵌入的计算机可用程序代码的计算机可读存储介质。计算机可用程序代码可以被配置为在训练模式下操作时，处理在教学环境中从客户端应用接收的具有上下文元数据的串查询的子集。处理串查询的子集的有效性可以基于来自客户端应用的反馈。串查询的子集可以代表预期将由操作环境中的客户端应用生成的串查询的范围。计算机可用程序代码可以被配置为在处理串查询的子集完成后为客户端应用合成串分析算法选择策略。串分析算法选择策略可以基于在训练模式时串查询的子集的处理。串分析算法选择策略可以将子集中串查询的上下文与串分析算法的使用相关连。计算机可用程序代码可以被配置为当以生产模式操作时，根据串分析算法选择策略动态地处理具有从操作环境中的客户端应用接收的上下文元数据的串查询。用于串查询的串分析算法可以动态和独立地确定。

附图说明

图1（现有技术）是图示对用于客户端应用的串查询的串分析算法选择的当前处理的功能图。

图2是图示根据本文公开的创造性布置的实施例的、动态地选择与从客户端应用接收的串查询的复杂度相称的串分析算法的系统的高级次功能图。

图3是描述根据本文公开的创造性布置的实施例的、动态地选择串分析算法来处理串查询的串分析模块的一般操作的方法的流程图。

图4是根据本文公开的创造性布置的实施例的、在教学环境的系统以及在操作环境中的系统的示意图的集合，示意图图示对于串分析算法的基于动态策略的选择的、串分析模块的动态串分析处理机的使用。

图5是详细描述根据本文公开的创造性布置的实施例的、在教学环境中训练动态串分析处理机的方法的流程图。

图6是详细描述根据本文公开的创造性布置的实施例的、在操作环境中操作动态串分析处理机的方法的流程图。

具体实施方式