[发明专利]基于程序切片技术的Web服务安全分析方法

摘要

本发明给出了一种基于程序切片技术的Web服务安全分析方法，该发明以Java开发的Web服务为研究对象，以Java源代码中的关键信息作为研究出发点，将Java源代码中的漏洞分为显式漏洞和隐式漏洞两种。对于显式漏洞的检测，可以通过传统的语句级别的切片对源代码进行分析和抽取，得到显式漏洞的分析结果。对于隐式漏洞的检测，该方法首先分析了源代码中方法之间的依赖关系，生成了方法依赖图，并使用方法级别的切片对方法依赖图进行切片，得到隐式漏洞的分析结果。结合对显式和隐式漏洞的分析，使用漏洞修复模块对漏洞进行修复，并使用服务发布模块对修复过的Web服务进行发布。

主权项

一种基于程序切片技术的Web服务安全漏洞检测方法，其特征在于该方法对安全漏洞进行分类，分为显式漏洞和隐式漏洞；针对显式漏洞，使用程序切片技术对Web服务的Java源代码中的语句进行语法解析，以此来检测显式漏洞；针对隐式漏洞，以图论知识为理论基础，以程序切片为技术手段，根据Web服务的Java源代码中的方法之间的依赖关系，生成方法依赖图并对其切片，以此来检测隐式漏洞；该安全漏洞检测方法包括漏洞分类模块、代码分析模块、切片模块、漏洞修复模块、服务发布模块以及服务测试模块；该方法从Java语言开发的Web服务着手，根据Web服务Java源代码中的语法结构以及Java方法之间的依赖关系，结合切片技术对其中的安全漏洞进行检测与修复，并实现对修复后的Web服务进行发布以及测试功能；该方法具体包含以下步骤：步骤1：将用户提供的Web服务的Java源代码作为输入；步骤2：用代码分析模块对Web服务的Java源代码进行语法解析，得到一个中间类型结构以及记录Java方法之间依赖关系的一个Method类型的列表；步骤3：根据步骤2中的中间类型结构记录的方法之间的调用关系，使用依赖图生成算法生成依赖关系集合S1；步骤4：根据步骤2中的Method类型的列表中记录的方法之间的依赖关系，使用依赖图生成算法生成方法依赖关系集合S2；步骤5：对步骤3和4中的两个集合S1和S2使用并集操作，得到一个新的依赖关系集合，根据该集合生成Web服务源代码的方法依赖图；步骤6：检测显式漏洞，使用程序切片技术对Java源代码中修改了关键信息的语句进行语法解析，得到一个包含显式漏洞的不安全方法的列表；步骤7：检测隐式漏洞，使用程序切片技术，将步骤6中得到的包含显式漏洞的不安全方法的列表作为切片节点，对步骤5中生成的方法依赖图进行切片，得到的最终结果是一个包含隐式漏洞的不安全方法列表；步骤8：合并步骤6和步骤7中的不安全方法列表得一个新的不安全方法列表，这个列表就是安全检测得到的最终的不安全方法的列表；步骤9：根据步骤8中的不安全方法列表，使用漏洞修复模块对源代码中的不安全方法的关键词进行修改，如果不安全方法的关键词是public，则改为private，如果不安全方法的关键词是除了public以外的关键词，则保持不变，最终将修改后的代码作为Web服务新的源代码；步骤10：用户提供Axis2平台所在的路径、Web服务的名称以及相应的描述信息；步骤11：根据用户在步骤10提供的信息，使用Axis2平台和服务发布模块，实现对Web服务的自动发布；步骤12：对发布后的Web服务进行测试，使用服务测试模块的功能生成测试用例并对Web服务中发布的操作进行自动测试，验证被修复过的漏洞是否还存在。