小程序安全风险自动化评估方法及相关设备技术

本申请提供一种小程序安全风险自动化评估方法及相关设备。所述方法包括：对小程序进行特征检测，得到若干备选特征；将所述备选特征与预先构建的安全检测特征库进行匹配，响应于确定所述安全检测特征库中存在与所述备选特征相匹配的第一特征，根据所述第一特征确定所述小程序的第一漏洞信息；其中，所述安全检测特征库包括若干第一特征；根据所述第一漏洞信息生成安全评估报告。本申请的方案，利用预先构建的安全检测特征库检测小程序中的漏洞，并从小程序中匹配与特征库相同行为的特征，从而实现针对小程序中漏洞的快速查找并获得安全评估报告，进而能够防范小程序安全，有效保护信息安全。护信息安全。护信息安全。

【技术实现步骤摘要】
小程序安全风险自动化评估方法及相关设备


[0001]本申请涉及信息安全
，尤其涉及一种小程序安全风险自动化评估方法及相关设备。

技术介绍

[0002]小程序(Mini Program)是一种不需要下载安装即可使用的应用，用户扫一扫或者搜一下即可打开应用。近年来，小程序应用领域更广种类更多，给人们的生活带来更多的便利，但同时小程序的应用也带来了众多安全风险。
[0003]然而，相关技术中的安全解决方案并非针对小程序所设计，因此往往会出现适配性的问题，小程序的开发商往往需要将大量精力耗费在与安全服务的兼容、调优方面，而且还有可能会影响小程序的持续运营。

技术实现思路

[0004]有鉴于此，本申请的目的在于提出一种小程序安全风险自动化评估方法及相关设备，以解决或部分解决上述问题。
[0005]本申请第一方面，提供了一种小程序安全风险自动化评估方法，包括：
[0006]对小程序进行特征检测，得到若干备选特征；
[0007]将所述备选特征与预先构建的安全检测特征库进行匹配，响应于确定所述安全检测特征库中存在与所述备选特征相匹配的第一特征，根据所述第一特征确定所述小程序的第一漏洞信息；其中，所述安全检测特征库包括若干第一特征；
[0008]根据所述第一漏洞信息生成安全评估报告。
[0009]可选的，所述对小程序进行特征检测，得到若干备选特征，包括：
[0010]提取小程序的源代码；
[0011]对所述源代码进行编译，生成抽象语法树；
[0012]对所述抽象语法树进行转换，得到代码属性图；
[0013]利用预先定义的漏洞检测规则对所述代码属性图进行特征检测，得到若干备选特征。
[0014]可选的，还包括通过以下方法构建安全检测特征库：
[0015]对所述源代码进行解析，得到特征代码；其中，所述特征代码表征产生代码漏洞的代码；
[0016]对所述特征代码进行转化，得到特征向量；
[0017]根据所述特征向量生成漏洞文本向量；
[0018]利用预先训练得到的分类模型对所述漏洞文本向量进行分类，得到分类结果；
[0019]根据所述分类结果构建得到所述安全检测特征库。
[0020]可选的，所述方法还包括：
[0021]对所述小程序的数据库进行数据抽取，得到若干第一数据；
[0022]响应于确定所述第一数据为明文数据，根据预先设定的敏感数据特征对所述第一数据进行识别，确定第二数据；其中，所述第二数据表征敏感数据；
[0023]将所述第二数据从所述数据库中清除。
[0024]可选的，还包括通过以下方法对所述小程序进行渗透测试：
[0025]拦截对所述小程序的第一请求；
[0026]对所述第一请求进行更改，生成第二请求；
[0027]将所述第二请求发送至所述小程序，得到第二漏洞信息。
[0028]可选的，所述对小程序进行特征检测之前，所述方法还包括：
[0029]输入待测试的小程序的名称；
[0030]对所述小程序进行模拟运行。
[0031]本申请第二方面，提供了一种小程序安全风险自动化评估装置，包括：
[0032]检测模块，被配置为：对小程序进行特征检测，得到若干备选特征；
[0033]确定模块，被配置为：将所述备选特征与预先构建的安全检测特征库进行匹配，响应于确定所述安全检测特征库中存在与所述备选特征相匹配的第一特征，根据所述第一特征确定所述小程序的第一漏洞信息；其中，所述安全检测特征库包括若干第一特征；
[0034]生成模块，被配置为：根据所述第一漏洞信息生成安全评估报告。
[0035]本申请第三方面，提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如第一方面所述的方法。
[0036]本申请第四方面，提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令用于使计算机执行如第一方面所述的方法。
[0037]本申请第五方面，提出了一种计算机程序产品，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行如第一方面所述的方法。
[0038]从上面所述可以看出，本申请提供的小程序安全风险自动化评估方法及相关设备，利用预先构建的安全检测特征库检测小程序中的漏洞，并从小程序中匹配与特征库相同行为的特征，从而实现针对小程序中漏洞的快速查找并获得安全评估报告，进而能够防范小程序安全，有效保护信息安全。
附图说明
[0039]为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0040]图1为本申请实施例的小程序安全风险自动化评估方法的流程示意图；
[0041]图2为本申请实施例的代码属性图的构建流程示意图；
[0042]图3为本申请实施例的污点分析的遍历流程示意图；
[0043]图4为本申请实施例的在构建安全检测特征库的过程中特征分类的流程示意图；
[0044]图5为本申请实施例的静态分析特征提取流程示意图；
[0045]图6为本申请实施例的特征向量的生成过程的流程示意图；
[0046]图7为本申请另一实施例的小程序安全风险自动化评估方法的流程示意图；
[0047]图8本申请实施例的小程序渗透测试的流程示意图；
[0048]图9本申请实施例的数据库安全检测的流程示意图；
[0049]图10本申请实施例的针对小程序前端和后台WEB端整体进行安全检测的流程示意图；
[0050]图11本申请实施例的小程序安全风险自动化评估装置的结构示意图；
[0051]图12为本申请实施例的电子设备的结构示意图。
具体实施方式
[0052]为使本申请的目的、技术方案和优点更加清楚明白，以下结合附图对本申请的实施例进行详细说明。
[0053]需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种小程序安全风险自动化评估方法，其特征在于，包括：对小程序进行特征检测，得到若干备选特征；将所述备选特征与预先构建的安全检测特征库进行匹配，响应于确定所述安全检测特征库中存在与所述备选特征相匹配的第一特征，根据所述第一特征确定所述小程序的第一漏洞信息；其中，所述安全检测特征库包括若干第一特征；根据所述第一漏洞信息生成安全评估报告。2.根据权利要求1所述的方法，其特征在于，所述对小程序进行特征检测，得到若干备选特征，包括：提取小程序的源代码；对所述源代码进行编译，生成抽象语法树；对所述抽象语法树进行转换，得到代码属性图；利用预先定义的漏洞检测规则对所述代码属性图进行特征检测，得到若干备选特征。3.根据权利要求2所述的方法，其特征在于，还包括通过以下方法构建安全检测特征库：对所述源代码进行解析，得到特征代码；其中，所述特征代码表征产生代码漏洞的代码；对所述特征代码进行转化，得到特征向量；根据所述特征向量生成漏洞文本向量；利用预先训练得到的分类模型对所述漏洞文本向量进行分类，得到分类结果；根据所述分类结果构建得到所述安全检测特征库。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：对所述小程序的数据库进行数据抽取，得到若干第一数据；响应于确定所述第一数据为明文数据，根据预先设定的敏感数据特征对所述第一数据进行识别，确定第二数据；其中，所述第二数据表征敏感数据；将所述第二数据从所述数据库中清除。5.根据权利要求1所述的方法，其特征在于，还包...

【专利技术属性】
技术研发人员：马敏燕，贾世琳，龙泉，杨华雨，何能强，祝旭晨，
申请(专利权)人：国家计算机网络与信息安全管理中心浙江分中心，
类型：发明
国别省市：