-
公开(公告)号:CN106446691A
公开(公告)日:2017-02-22
申请号:CN201611050817.5
申请日:2016-11-24
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
CPC classification number: G06F21/577
Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置,涉及软件漏洞检测技术领域。方法包括:从预先设置的搜集库中获取开源项目的原始漏洞信息;根据开源项目的原始漏洞信息,提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息;根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库;漏洞检测数据库包括以预设索引顺序排列的各检测项;从待检测软件中提取待检测软件的代码和可执行文件;根据漏洞检测数据库中的各检测项,以预设索引顺序依次匹配检测待检测软件的代码和可执行文件,以确定待检测软件集成或定制的开源项目是否存在漏洞。
-
Patent Agency Ranking
公开(公告)号:CN106446691B
公开(公告)日:2019-07-05
申请号:CN201611050817.5
申请日:2016-11-24
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置,涉及软件漏洞检测技术领域。方法包括:从预先设置的搜集库中获取开源项目的原始漏洞信息;根据开源项目的原始漏洞信息,提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息;根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库;漏洞检测数据库包括以预设索引顺序排列的各检测项;从待检测软件中提取待检测软件的代码和可执行文件;根据漏洞检测数据库中的各检测项,以预设索引顺序依次匹配检测待检测软件的代码和可执行文件,以确定待检测软件集成或定制的开源项目是否存在漏洞。
-
公开(公告)号:CN105391714B
公开(公告)日:2018-09-07
申请号:CN201510763582.3
申请日:2015-11-11
Applicant: 工业和信息化部电信研究院
Abstract: 本发明提供了一种移动应用软件自动化签名和验证方法及装置,涉及移动应用软件签名技术领域,方法包括:接收待检测的移动应用软件,并判断其是否包含第三方认证签名;若包含,对第三方认证签名进行验证,输出第一验证结果;若不包含,根据签名服务器上的第三方签名证书对移动应用软件进行第三方签名,并输出签名结果;接收已签名移动应用软件,对其检测机构签名进行验证;若验证通过,确定已签名移动应用软件是否处于一移动应用软件黑名单中;若验证未通过,向移动应用软件检测机构服务器发送未通过通知消息,接收移动应用软件检测机构服务器发送的打包文件,对移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
-
公开(公告)号:CN104376266A
公开(公告)日:2015-02-25
申请号:CN201410670870.X
申请日:2014-11-21
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
CPC classification number: G06F21/57 , G06F2221/033
Abstract: 本发明公开了一种应用软件安全级别的确定方法及装置,该方法包括:接收待测应用软件,获取待测应用软件的至少一个敏感行为;接收用户输入的信息,根据该信息及至少一个敏感行为确定每个敏感行为的权值;在终端模拟运行环境中触发待测应用软件执行其所有行为,获取待测应用软件对每个敏感行为的防御方式,并根据防御方式确定每个敏感行为的防御系数;根据每个敏感行为的权值和防御系数,确定待测应用软件的安全级别。根据用户定制化的需求以及对应用软件所执行的行为的敏感程度,对应用软件安全级别进行确定,得到量化的安全级别,实现了应用软件安全级别确定的定制化且能够得到较为准确的安全级别,使用户清楚安装该应用软件所带来的风险。
-
公开(公告)号:CN104376266B
公开(公告)日:2017-09-15
申请号:CN201410670870.X
申请日:2014-11-21
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
Abstract: 本发明公开了一种应用软件安全级别的确定方法及装置,该方法包括:接收待测应用软件,获取待测应用软件的至少一个敏感行为;接收用户输入的信息,根据该信息及至少一个敏感行为确定每个敏感行为的权值;在终端模拟运行环境中触发待测应用软件执行其所有行为,获取待测应用软件对每个敏感行为的防御方式,并根据防御方式确定每个敏感行为的防御系数;根据每个敏感行为的权值和防御系数,确定待测应用软件的安全级别。根据用户定制化的需求以及对应用软件所执行的行为的敏感程度,对应用软件安全级别进行确定,得到量化的安全级别,实现了应用软件安全级别确定的定制化且能够得到较为准确的安全级别,使用户清楚安装该应用软件所带来的风险。
-
公开(公告)号:CN105391714A
公开(公告)日:2016-03-09
申请号:CN201510763582.3
申请日:2015-11-11
Applicant: 工业和信息化部电信研究院
Abstract: 本发明提供了一种移动应用软件自动化签名和验证方法及装置,涉及移动应用软件签名技术领域,方法包括:接收待检测的移动应用软件,并判断其是否包含第三方认证签名;若包含,对第三方认证签名进行验证,输出第一验证结果;若不包含,根据签名服务器上的第三方签名证书对移动应用软件进行第三方签名,并输出签名结果;接收已签名移动应用软件,对其检测机构签名进行验证;若验证通过,确定已签名移动应用软件是否处于一移动应用软件黑名单中;若验证未通过,向移动应用软件检测机构服务器发送未通过通知消息,接收移动应用软件检测机构服务器发送的打包文件,对移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
-
-
-
-
-
Search Results
6
records
(took 0.024 seconds)
