二基于源码的安全测试方法绪论.ppt

基于安全规则的源代码分析方法研究 3.4 安全规则描述语言 2013-01-29 * 安全规则声明部分 转移规则列表 变量声明列表 基于安全规则的源代码分析方法研究 安全规则库 2013-01-29 * 方便用户重复使用自定义的安全规则 安全规则库的设计：唯一标识码，规则名称，规则描述，规则的存放路径，适用的语言类型，规则分类，漏洞风险等级，推荐修复方案，规则入库时间 相似安全规则检测：基于k-shingle和长度过滤的安全规则相似度检测算法 规则描述字符串的k-shingle定义为其中任意长度为k的子串 Jaccard相似度： 基于安全规则的源代码分析方法研究 安全规则库 2013-01-29 * 1．删去规则描述字符串中的停用词，包括常见的“的”、“了”以及“为了”等，从而缩短规则描述字符串的长度，使得产生的k-shingle的集合变小，同时提高了相似性检测结果的准确率 2．基于长度的过滤。在删除停用词的基础上，通过比较待检测相似字符串的长度，提前过滤掉一部分不符合相似度要求的规则描述，从而避免了产生k-shingle的集合和后续Jaccard相似度的计算，进一步提高算法效率 假定两个安全规则字符串u和v的Jaccard相似度的上界为J，对于任意一个规则字符串s，且Lu≤Lv，则有u和v的Jaccard相似度SIM(u,v)最大值为Ku/Kv，其中K为k-shingle