公开(公告)号：CN113626823A

公开(公告)日：2021-11-09

申请号：CN202110726263.0

申请日：2021-06-29

Applicant: 中国科学院信息工程研究所

Inventor： 李文超 ,  李丰 ,  薄德芳 ,  周建华 ,  霍玮

IPC: G06F21/57

Abstract: 本发明公开一种基于可达性分析的组件间交互威胁检测方法及装置，包括基于软件系统中主应用及依赖组件的相应中间表示代码，构建主应用类层次图、主应用调用图、主应用过程间控制流图、主应用系统依赖图、依赖组件类层次图与依赖组件系统依赖图；利用漏洞路径可达性和外部输入可控性，判断某个组件内的漏洞能否能通过组件间交互触发。本发明不局限于分析某一类漏洞，而是通过对输入点、交互接口的识别和漏洞路径可达性、外部输入可控性分析，实现通用的威胁检测效果，且结果具有较强的可验证性和可复现性。

公开(公告)号：CN113626823B

公开(公告)日：2023-06-27

申请号：CN202110726263.0

申请日：2021-06-29

Applicant: 中国科学院信息工程研究所

Inventor： 李文超 ,  李丰 ,  薄德芳 ,  周建华 ,  霍玮

IPC: G06F21/57

Abstract: 本发明公开一种基于可达性分析的组件间交互威胁检测方法及装置，包括基于软件系统中主应用及依赖组件的相应中间表示代码，构建主应用类层次图、主应用调用图、主应用过程间控制流图、主应用系统依赖图、依赖组件类层次图与依赖组件系统依赖图；利用漏洞路径可达性和外部输入可控性，判断某个组件内的漏洞能否能通过组件间交互触发。本发明不局限于分析某一类漏洞，而是通过对输入点、交互接口的识别和漏洞路径可达性、外部输入可控性分析，实现通用的威胁检测效果，且结果具有较强的可验证性和可复现性。