[发明专利]软件安全缺陷发现系统有效
| 申请号: | 201510456810.2 | 申请日: | 2015-07-29 |
| 公开(公告)号: | CN105068925B | 公开(公告)日: | 2017-09-01 |
| 发明(设计)人: | 胡昌振;赵小林;付裕;王子阳;薛静锋 | 申请(专利权)人: | 北京理工大学 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 北京理工大学专利中心11120 | 代理人: | 付雷杰,杨志兵 |
| 地址: | 100081 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种软件安全缺陷发现系统。使用本发明能够对待测软件进行静态分析、行为监测、模糊测试和渗透测试,测试方式完善,能够较完善、准确地发现软件的安全缺陷,且提高了检测速度。本发明首先进行静态分析,将其获得的安全缺陷数据按照设定的数据库格式存入缺陷数据库,然后采用行为监控模块、模糊测试模块和渗透测试模块分别对静态分析模块获得的安全缺陷进行检测,同时也对待测软件进行常规的检测,将导致系统行为异常或出现安全问题的系统调用序列、模糊测试用例或渗透测试用例名存入缺陷数据库中。本发明能够实现完整且强大的缺陷检测流程,检测流程自动化,能够减少安全缺陷测试人员的使用难度。 | ||
| 搜索关键词: | 软件 安全 缺陷 发现 系统 | ||
【主权项】:
一种软件安全缺陷发现系统,其特征在于,包括静态测试模块、行为监控模块、模糊测试模块、渗透测试模块、行为监控知识库和缺陷数据库;其中,静态测试模块、行为监控模块、模糊测试模块、渗透测试模块分别与缺陷数据库连接,行为监控模块、模糊测试模块、渗透测试模块分别与静态测试模块连接,行为监控知识库与行为监测模块连接;其中,静态分析模块内包括一个以上静态分析插件,每一个静态分析插件分别对应着一个特定编程语言;静态分析模块在系统对被测软件的源代码目录进行递归扫描并获取源代码目录下所有文件后,根据文件名后缀将文件分类并过滤掉静态分析模块中静态分析插件不能检测的文件,然后针对各类型的源代码文件,选择对应的静态分析插件进行安全检测,得到安全缺陷数据;将安全缺陷数据按照设定的缺陷数据库格式进行格式化处理后存入缺陷数据库;行为监控模块针对由静态分析模块获得的安全缺陷,对输入的待测软件进行行为监控,得到系统调用序列,并与行为监控知识库中的参考系统调用序列相匹配;将系统行为异常的系统调用序列存入缺陷数据库中;模糊测试模块针对由静态分析模块获得的安全缺陷,对待测软件进行模糊测试,将能够造成被测软件出现安全问题的模糊测试用例存入缺陷数据库中;渗透测试模块针对由静态分析模块获得的安全缺陷,对待测软件进行渗透测试;其中,利用一台Linux服务器运行metasploit软件对待测软件进行渗透测试;将能够造成被测软件出现安全问题的渗透测试用例名存入缺陷数据库中;其中,Linux服务器监听来自待测软件所在系统的请求,当监听到待测软件所在系统发送的待测软件及其所在系统的信息后,调用metasploit完成对待测软件所在系统端口和服务的扫描,得到输出结果后,发送给待测软件所在系统。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京理工大学,未经北京理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510456810.2/,转载请声明来源钻瓜专利网。
