公开(公告)号：CN112632550B

公开(公告)日：2021-06-29

申请号：CN202110242574.X

申请日：2021-03-05

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  徐国胜 ,  王晨宇 ,  张洪盈

IPC: G06F21/56

Abstract: 本公开提供一种口令和密钥的应用安全的检测方法及其电子设备。具体地，所述检测方法包括：获取目标源代码，并对所述目标源代码进行预处理，得到第一抽象语法树；根据所述第一抽象语法树，确定口令和密钥的应用特征集；获取误用特征库，将所述应用特征集和所述误用特征库进行匹配，确定所述目标源代码的口令和密钥的误用数据；获取预设应用安全分级模型，根据所述误用数据和所述应用安全分级模型，确定所述目标源代码中的口令和密钥的应用安全等级。本公开的技术方案，能够快速对目标源代码中存在的口令和密钥的安全问题进行评估，有助于帮助开发者进一步完善源代码的安全防护工作，从而提高网络空间中信息的安全性。

公开(公告)号：CN114595482A

公开(公告)日：2022-06-07

申请号：CN202210233434.0

申请日：2022-03-10

Applicant: 北京邮电大学

Inventor： 张淼 ,  张洪盈 ,  舒梓峰 ,  高善勋

IPC: G06F21/62 ,  G06F21/56 ,  G06F8/41

Abstract: 本发明公开了一种基于静态检测的软件源代码隐私检测方法及系统，从源代码角度讨论隐私检测及隐私保护的问题，针对隐私信息的存在性进行检测，通过源代码静态分析技术从开源代码中检测出存在隐私处理的位置，可以从软件开发的源头发现隐私安全问题，同时补充了针对隐私信息处理流程的安全性检测，从源代码中的隐私点开始进行分析，首先判断源代码对隐私处理的过程中是否存在敏感操作或不安全操作，如未加密的保存、网络传输等，若存在敏感操作，则说明其对隐私的处理存在安全问题，需要提出并进行改正，是一种通用型源代码的隐私信息的检测方法，可以充分覆盖到各个层次、各个角度的隐私信息，提高其适用性，更全面的监控隐私安全。

公开(公告)号：CN112632550A

公开(公告)日：2021-04-09

申请号：CN202110242574.X

申请日：2021-03-05

Applicant: 北京邮电大学

Inventor： 徐国爱 ,  徐国胜 ,  王晨宇 ,  张洪盈

IPC: G06F21/56

Abstract: 本公开提供一种口令和密钥的应用安全的检测方法及其电子设备。具体地，所述检测方法包括：获取目标源代码，并对所述目标源代码进行预处理，得到第一抽象语法树；根据所述第一抽象语法树，确定口令和密钥的应用特征集；获取误用特征库，将所述应用特征集和所述误用特征库进行匹配，确定所述目标源代码的口令和密钥的误用数据；获取预设应用安全分级模型，根据所述误用数据和所述应用安全分级模型，确定所述目标源代码中的口令和密钥的应用安全等级。本公开的技术方案，能够快速对目标源代码中存在的口令和密钥的安全问题进行评估，有助于帮助开发者进一步完善源代码的安全防护工作，从而提高网络空间中信息的安全性。

公开(公告)号：CN112632423A

公开(公告)日：2021-04-09

申请号：CN202110258227.6

申请日：2021-03-10

Applicant: 北京邮电大学 ,  奇安信科技集团股份有限公司

Inventor： 徐国爱 ,  徐国胜 ,  齐向东 ,  纪胜龙 ,  王少杰 ,  王晨宇 ,  张洪盈 ,  毛庆梅

IPC: G06F16/955

Abstract: 本公开一个或多个实施例提供一种URL提取方法及装置。所述URL提取方法通过：获取源代码文件；基于源代码文件构建抽象语法树；遍历所述抽象语法树，获取Web‑API；根据Web‑API，确定目标参数；再次遍历所述抽象语法树，判断目标参数是否存在于源代码文件中；若是，进行第一处理；若否，进行第二处理，得到URL。能够直接获取源代码中存在的URL。具有URL提取的准确率较高，能够较为灵活的应对不同的场景，无需实时维护等优点，大大提升源代码中可疑URL检测的工作效率。

公开(公告)号：CN114595482B

公开(公告)日：2024-06-11

申请号：CN202210233434.0

申请日：2022-03-10

Applicant: 北京邮电大学

Inventor： 张淼 ,  张洪盈 ,  舒梓峰 ,  高善勋

IPC: G06F21/62 ,  G06F21/56 ,  G06F8/41

Abstract: 本发明公开了一种基于静态检测的软件源代码隐私检测方法及系统，从源代码角度讨论隐私检测及隐私保护的问题，针对隐私信息的存在性进行检测，通过源代码静态分析技术从开源代码中检测出存在隐私处理的位置，可以从软件开发的源头发现隐私安全问题，同时补充了针对隐私信息处理流程的安全性检测，从源代码中的隐私点开始进行分析，首先判断源代码对隐私处理的过程中是否存在敏感操作或不安全操作，如未加密的保存、网络传输等，若存在敏感操作，则说明其对隐私的处理存在安全问题，需要提出并进行改正，是一种通用型源代码的隐私信息的检测方法，可以充分覆盖到各个层次、各个角度的隐私信息，提高其适用性，更全面的监控隐私安全。

公开(公告)号：CN112632423B

公开(公告)日：2021-06-29

申请号：CN202110258227.6

申请日：2021-03-10

Applicant: 北京邮电大学 ,  奇安信科技集团股份有限公司

Inventor： 徐国爱 ,  徐国胜 ,  齐向东 ,  纪胜龙 ,  王少杰 ,  王晨宇 ,  张洪盈 ,  毛庆梅

IPC: G06F16/955

Abstract: 本公开一个或多个实施例提供一种URL提取方法及装置。所述URL提取方法通过：获取源代码文件；基于源代码文件构建抽象语法树；遍历所述抽象语法树，获取Web‑API；根据Web‑API，确定目标参数；再次遍历所述抽象语法树，判断目标参数是否存在于源代码文件中；若是，进行第一处理；若否，进行第二处理，得到URL。能够直接获取源代码中存在的URL。具有URL提取的准确率较高，能够较为灵活的应对不同的场景，无需实时维护等优点，大大提升源代码中可疑URL检测的工作效率。