公开(公告)号：CN109299610B

公开(公告)日：2021-03-30

申请号：CN201811163790.X

申请日：2018-10-02

Applicant: 复旦大学

Inventor： 杨珉 ,  杨哲慜 ,  张磊 ,  何郁郁 ,  张振宇 ,  洪庚 ,  张源

IPC: G06F21/57

Abstract: 本发明属于程序安全分析漏洞挖掘技术领域，具体为一种安卓系统中不安全敏感输入验证识别方法。本发明方法包括：输入验证识别，首先提取程序代码中的中断分支，经过对代码结构特征进行分析，找出包含中断指令的独立程序分支，来判断当前程序执行是否包含校验输入的意图；敏感输入验证识别，采用自然语言处理对大量输入参数进行基于语义的聚类，再通过指定少量已知敏感参数，采用机器学习来推测其他的未知敏感参数；最后，漏洞识别，通过检查这些包含敏感参数的输入验证是否满足安全规则来判断其是否为不安全的输入验证。通过对这类输入验证进行识别，能够确定由其构成的系统级安全漏洞，对加强移动系统安全、防范系统级别攻击具有重要意义。

公开(公告)号：CN109299610A

公开(公告)日：2019-02-01

申请号：CN201811163790.X

申请日：2018-10-02

Applicant: 复旦大学

Inventor： 杨珉 ,  杨哲慜 ,  张磊 ,  何郁郁 ,  张振宇 ,  洪庚 ,  张源

IPC: G06F21/57

Abstract: 本发明属于程序安全分析漏洞挖掘技术领域，具体为一种安卓系统中不安全敏感输入验证识别方法。本发明方法包括：输入验证识别，首先提取程序代码中的中断分支，经过对代码结构特征进行分析，找出包含中断指令的独立程序分支，来判断当前程序执行是否包含校验输入的意图；敏感输入验证识别，采用自然语言处理对大量输入参数进行基于语义的聚类，再通过指定少量已知敏感参数，采用机器学习来推测其他的未知敏感参数；最后，漏洞识别，通过检查这些包含敏感参数的输入验证是否满足安全规则来判断其是否为不安全的输入验证。通过对这类输入验证进行识别，能够确定由其构成的系统级安全漏洞，对加强移动系统安全、防范系统级别攻击具有重要意义。