-
公开(公告)号:CN114329478A
公开(公告)日:2022-04-12
申请号:CN202111484888.7
申请日:2021-12-07
Applicant: 复旦大学
IPC: G06F21/57
Abstract: 本发明属于软件漏洞挖掘技术领域,具体为一种安卓系统服务内存消耗类漏洞挖掘方法。本发明方法分为静态分析和动态模糊测试两个阶段;静态分析阶段的任务是定位潜在漏洞,首先通过启发式规则定位数据存储指令和能够到达这些指令的系统服务接口;然后收集到达数据存储指令的约束条件,并根据约束条件生成模糊测试的初始输入。动态模糊测试阶段是判断时间窗口内对数据存储指令的攻击是否足以造成安全影响;在动态模糊测试过程中,在反馈收集、种子选择、种子生成和变异、攻击代码生成这四个方面提出了新的方法,从而实现高效的模糊测试:本发明可以高效、准确地检测安卓系统服务中的内存消耗类漏洞。
-
公开(公告)号:CN104966031B
公开(公告)日:2018-02-27
申请号:CN201510374683.1
申请日:2015-07-01
Applicant: 复旦大学
Abstract: 本发明属于程序信息安全检测技术领域,具体为安卓应用程序中非权限相关隐私数据的识别方法。本发明方法分为数据预处理、隐私相关文本的分析、非权隐私相关界面元素的识别、基于代码静态信息流分析的果过滤四个阶段,主要针对处于Android系统的权限模型的保护范围之外的Android应用程序中非权限相关的隐私数据,将机器学习技术与传统静态信息流分析技术相结合进行识别。通过对此类隐私数据识别,能够将其标记为敏感数据源,进一步结合传统静态信息流分析检测技术或者动态污点信息跟踪检测技术,为此类隐私数据的监控和保护提供基础,从而降低用户隐私数据的泄露风险。
-
公开(公告)号:CN108171073B
公开(公告)日:2021-08-20
申请号:CN201711277112.1
申请日:2017-12-06
Applicant: 复旦大学
IPC: G06F21/62 , G06F40/279
Abstract: 本发明属于程序信息安全检测技术领域,具体为一种基于代码层语义解析驱动的隐私数据识别方法。本发明方法包括:基于自然语言处理技术的隐私相关语义分析和代码片段定位:提取代码中的字符串常量标识符,经过预处理之后,将字符串常量中的语义信息与预先定义好的语义相关隐私词典进行匹配,通过字符串常量当中的词性标签,以及不同词语在句子短语当中的依赖关系来判断其是否表明特定的隐私数据;基于机器学习的隐私相关代码片段识别:采用机器学习的支持向量机模型,通过抽取隐私数据使用的代码特征行为作为判断给定的代码是否包含系统所关注的隐私数据。通过对这类隐私数据识别,将其标记为敏感数据源,从而降低用户隐私数据的泄露风险。
-
公开(公告)号:CN111966579A
公开(公告)日:2020-11-20
申请号:CN202010723055.0
申请日:2020-07-24
Applicant: 复旦大学
IPC: G06F11/36 , G06F16/35 , G06F40/205 , G06F40/253 , G06F40/151 , G06F40/126
Abstract: 本发明属于程序动态分析和测试技术领域,具体为基于自然语言处理与机器学习的自适应文本输入生成方法。本发明包括:基于UI结构和机器学习的约束信息提取,首先实时获取安卓应用动态测试中的UI界面信息,提取产生的文本信息,利用机器学习方法识别所有约束信息,并将其与对应的输入框绑定;基于自然语言处理的约束信息解析,使用CNN-RNN分类器对提取的约束信息进行多分类,使用自然语言处理方法对属于不同分类类别的约束进行相应解析处理,提取与文本输入相关的约束成分;基于字符串求解器的文本输入的生成,将约束信息转化成字符串生成器的输入格式,并将其填入输入框。本发明能帮助动态测试和分析工具,提高测试时的代码覆盖率以及隐私、漏洞等检出率。
-
公开(公告)号:CN115470494A
公开(公告)日:2022-12-13
申请号:CN202211075112.4
申请日:2022-09-03
Applicant: 复旦大学
Abstract: 本发明属于软件漏洞挖掘技术领域,具体为一种安卓应用用户隐私泄露漏洞识别方法。本发明包括:双向程序切片分析,基于关联分析及机器学习方法辅助的隐私信息识别,以及非单射数据变换分析。其中双向程序切片分析用于检测安卓应用从服务器端接收的数据以及判断它们是否流向了用户界面接口函数;基于关联分析及机器学习方法辅助的用户隐私信息识别技术能够全面地分析出上述服务器端返回的信息里哪些属于其他用户的隐私信息;非单射数据变换分析用于检测用户数据在呈现给用户之前在客户端进行了怎样的变换,进而判断是否遵守了“数据最小化”原则以及有无隐私风险。
-
Patent Agency Ranking
公开(公告)号:CN105022958A
公开(公告)日:2015-11-04
申请号:CN201510403224.1
申请日:2015-07-11
Applicant: 复旦大学
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明属于程序信息安全监测技术领域,具体为安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法。本发明方法包括:建立安全规约模型,即用形式化的规则语言描述代码库安全规约;设计基于安全规约模型的用于进行自动化验证的静态程序分析器;将该静态程序分析器用于应用程序编译和应用市场对应用程序审查两个阶段,进行安全漏洞检测。本发明可以防范程序中的安全性风险。
-
公开(公告)号:CN104966031A
公开(公告)日:2015-10-07
申请号:CN201510374683.1
申请日:2015-07-01
Applicant: 复旦大学
CPC classification number: G06F21/6254 , G06F17/2705 , G06F17/2745 , G06F17/30115 , G06F17/30908
Abstract: 本发明属于程序信息安全检测技术领域,具体为安卓应用程序中非权限相关隐私数据的识别方法。本发明方法分为数据预处理、隐私相关文本的分析、非权隐私相关界面元素的识别、基于代码静态信息流分析的果过滤四个阶段,主要针对处于Android系统的权限模型的保护范围之外的Android应用程序中非权限相关的隐私数据,将机器学习技术与传统静态信息流分析技术相结合进行识别。通过对此类隐私数据识别,能够将其标记为敏感数据源,进一步结合传统静态信息流分析检测技术或者动态污点信息跟踪检测技术,为此类隐私数据的监控和保护提供基础,从而降低用户隐私数据的泄露风险。
-
公开(公告)号:CN119046918A
公开(公告)日:2024-11-29
申请号:CN202410948738.4
申请日:2024-07-16
Applicant: 复旦大学
Abstract: 本发明属于移动安全技术领域,具体为一种安全的扫码登录方法。本发明通过生成并绑定唯一的二维码ID和会话ID,并在移动设备和服务端之间进行严格的数据交互和验证,确保用户身份的真实性和登录过程的安全性。具体过程包括二维码生成、二维码扫描及确认登录三个阶段。本发明通过强随机性的二维码ID生成、会话ID绑定、用户登录态凭证校验等技术手段,增强扫码登录过程的安全性,有效防御授权窃取攻击、双重登录攻击、暴力枚举攻击和任意登录攻击等多种安全威胁。
-
公开(公告)号:CN109299610B
公开(公告)日:2021-03-30
申请号:CN201811163790.X
申请日:2018-10-02
Applicant: 复旦大学
IPC: G06F21/57
Abstract: 本发明属于程序安全分析漏洞挖掘技术领域,具体为一种安卓系统中不安全敏感输入验证识别方法。本发明方法包括:输入验证识别,首先提取程序代码中的中断分支,经过对代码结构特征进行分析,找出包含中断指令的独立程序分支,来判断当前程序执行是否包含校验输入的意图;敏感输入验证识别,采用自然语言处理对大量输入参数进行基于语义的聚类,再通过指定少量已知敏感参数,采用机器学习来推测其他的未知敏感参数;最后,漏洞识别,通过检查这些包含敏感参数的输入验证是否满足安全规则来判断其是否为不安全的输入验证。通过对这类输入验证进行识别,能够确定由其构成的系统级安全漏洞,对加强移动系统安全、防范系统级别攻击具有重要意义。
-
公开(公告)号:CN109299610A
公开(公告)日:2019-02-01
申请号:CN201811163790.X
申请日:2018-10-02
Applicant: 复旦大学
IPC: G06F21/57
Abstract: 本发明属于程序安全分析漏洞挖掘技术领域,具体为一种安卓系统中不安全敏感输入验证识别方法。本发明方法包括:输入验证识别,首先提取程序代码中的中断分支,经过对代码结构特征进行分析,找出包含中断指令的独立程序分支,来判断当前程序执行是否包含校验输入的意图;敏感输入验证识别,采用自然语言处理对大量输入参数进行基于语义的聚类,再通过指定少量已知敏感参数,采用机器学习来推测其他的未知敏感参数;最后,漏洞识别,通过检查这些包含敏感参数的输入验证是否满足安全规则来判断其是否为不安全的输入验证。通过对这类输入验证进行识别,能够确定由其构成的系统级安全漏洞,对加强移动系统安全、防范系统级别攻击具有重要意义。
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.013 seconds)
