一种基于可达性分析的组件间交互威胁检测方法及装置与流程

技术特征：
1.一种基于可达性分析的组件间交互威胁检测方法，其步骤包括：1)收集漏洞，组成漏洞集合，并将待分析软件系统中主应用及依赖组件的代码进行反汇编或中间翻译，得到中间表示代码；2)依据中间表示代码，分别构建主应用类层次图、主应用调用图、主应用过程间控制流图、主应用系统依赖图、依赖组件类层次图与依赖组件系统依赖图；3)利用主应用类层次图及主应用调用图进行分析，获取若干候选外部输入点；4)在主应用过程间控制流图上进行分析，并根据获取的被调用函数的函数原型，在主应用类层次图上进行检索，将主应用类层次图上查询不到类型引用的被调用函数，放入调用指令集合，其中函数原型包括：类型引用、函数名、参数数量和参数类型；5)将调用指令集合中的每一调用函数与依赖组件类层次图中的函数进行匹配，并将匹配成功的调用函数作为组件间的交互接口，把交互接口调用点放入调用点集合；6)利用主应用系统依赖图，获取与候选外部输入点存在数据依赖关系的交互接口调用点，并将存在依赖关系的交互接口调用点，作为可控交互接口调用点；7)利用依赖组件系统依赖图，识别与漏洞集合中各漏洞存在数据依赖关系的可控交互接口调用点，得到组件间交互威胁检测结果。2.如权利要求1所述的方法，其特征在于，主应用及依赖组件的代码包括：源代码、字节码或二进制代码。3.如权利要求1所述的方法，其特征在于，主应用类层次图或依赖组件类层次图中的每个节点代表面向对象语言中的一个类，边代表类的继承关系；主应用调用图中的每个节点代表一个函数，边代表函数调用关系；主应用过程间控制流图中的每个节点代表函数中的一个基本块，边代表控制流转移关系；主应用系统依赖图中每一函数表示一主应用程序依赖图，依赖组件系统依赖图中每一函数表示一依赖组件程序依赖图，主应用程序依赖图或依赖组件程序依赖图中的每个节点为程序中的语句，边表示数据依赖关系。4.如权利要求1所述的方法，其特征在于，通过以下步骤查找候选外部输入点：1)遍历主应用类层次图中所有函数；2)当任一函数是main函数，且在主应用调用图上查询不到前驱节点，则认为该main函数为候选外部输入点。5.如权利要求1所述的方法，其特征在于，通过以下步骤获取被调用函数的函数原型：1)从主应用过程间控制流图的根结点开始以深度优先顺序进行迭代遍历；2)对遍历到的每个节点，通过识别中间表示上的所有调用类型的指令，获取被调用函数的函数原型。6.如权利要求1所述的方法，其特征在于，通过以下步骤进行匹配：1)对于调用指令集合中的每一调用函数，在依赖组件类层次图上查询接口的类型声明是否存在；2)若类型声明存在，则在依赖组件类层次图上查找相应函数原型中的函数名、参数数量和参数类型；3)若相应的函数名、参数数量和参数类型存在，则匹配成功。7.如权利要求1所述的方法，其特征在于，通过以下步骤存在数据依赖关系的交互接口调用点：
1)从主应用系统依赖图中的交互接口调用点处，做第一后向数据流切片；2)若第一后向数据流切片中某条语句的use点包含一候选外部输入点，则该候选外部输入点与该交互接口调用点存在依赖关系。8.如权利要求1所述的方法，其特征在于，通过以下步骤识别与漏洞集合中各漏洞存在数据依赖关系的可控交互接口调用点：1)在各漏洞所在依赖组件系统依赖图上，以各漏洞的漏洞路径集合中所有节点为起点，做第二后向数据流切片；2)若第二后向数据流切片中包含可控交互接口调用点处被调用接口的函数体，则该漏洞与该可控交互接口调用点存在数据依赖关系。9.如权利要求1所述的方法，其特征在于，组件间交互威胁检测结果包括：识别出的可控交互接口调用点及相应的候选外部输入点、漏洞。10.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1
‑
9中任一所述方法。

技术总结
本发明公开一种基于可达性分析的组件间交互威胁检测方法及装置，包括基于软件系统中主应用及依赖组件的相应中间表示代码，构建主应用类层次图、主应用调用图、主应用过程间控制流图、主应用系统依赖图、依赖组件类层次图与依赖组件系统依赖图；利用漏洞路径可达性和外部输入可控性，判断某个组件内的漏洞能否能通过组件间交互触发。本发明不局限于分析某一类漏洞，而是通过对输入点、交互接口的识别和漏洞路径可达性、外部输入可控性分析，实现通用的威胁检测效果，且结果具有较强的可验证性和可复现性。和可复现性。和可复现性。


技术研发人员：李文超 李丰 薄德芳 周建华 霍玮
受保护的技术使用者：中国科学院信息工程研究所
技术研发日：2021.06.29
技术公布日：2021/11/8