(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211314916.5 (22)申请日 2022.10.26 (71)申请人 清华大学 地址 100084 北京市海淀区清华园1号 (72)发明人 李池　周旻　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苟冬梅 (51)Int.Cl. G06F 21/57(2013.01) G06F 21/56(2013.01) H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种基于FlowDroid工 具的实时漏洞检测系 统、 方法与存 储介质 (57)摘要 本申请提供一种基于FlowDroid工 具的实时 漏洞检测系统、 方法与存储介质， 属于计算机漏 洞检测技术领域。 所述系统包括： 实时监控模块， 用于在检测到目标Web应用的内容发生变化时， 向所述中央服务器发送所述目标Web应用变化的 上下文信息； 中央服务器， 用于在接收到所述目 标Web应用变化的上下文信息后， 确定所述目标 Web应用的最新版本， 并将所述目标Web应用变化 后的最新版本的URL地址和当前检测的安全规则 放入消息队列中； 漏洞检测模块， 根据所述消息 队列中的URL地址， 下载所述目标Web应用的目标 项目， 并基于所述当前检测的安全规则， 通过改 进的FlowDroid工具生成变化后的目标Web应用 的漏洞检测结果。 本申请旨在增强Web应用程序 的安全性。 权利要求书2页 说明书11页 附图3页 CN 115391793 A 2022.11.25 CN 115391793 A 1.一种基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述系 统包括： 实时监 控模块、 中央服 务器以及漏洞检测模块， 其中： 所述实时监控模块， 用于在检测到目标Web应用的内容发生变化时， 向所述中央服务器 发送所述目标Web应用变化的上 下文信息； 所述中央服务器， 用于在接收到所述目标Web应用变化的上下文信息后， 确定所述目标 Web应用的最新版本， 并将所述目标Web应用变化后的最新版本的URL地址和当前检测的安 全规则放入消息队列中； 所述漏洞检测模块， 用于根据所述消息队列中的URL地址， 下载所述目标Web应用的目 标项目， 并基于所述当前检测的安全规则， 通过改进的FlowDroid工具生成变化后的目标 Web应用的漏洞检测结果。 2.根据权利要求1所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 系统还包括后台管理模块； 所述后台管理模块， 用于实时获取并显示检测过程的进度， 以及显示所述变化后的目 标Web应用的漏洞检测结果。 3.根据权利要求1所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 基于FlowDroid工具的实时漏洞检测系统还 包括文件服 务器； 所述文件服务器， 用于存储由所述实时监控模块在检测到所述目标Web应用的内容发 生变化时上传的所述目标Web应用变化的文件内容， 以及 存储所述目标Web应用当前的最新 版本； 还用于向中央服 务器提供用于下 载所述目标Web应用的最 新版本的URL 地址； 所述中央服务器包括增量计算单元， 所述增量计算单元用于在接收到所述上下文信 息 后， 在所述文件服务器上下载所述目标Web应用所有变化的文件内容以及所述目标Web应用 当前的最新版本， 通过增量计算确定所述目标Web应用变化后的最新版本， 并将所述目标 Web应用变化后的最 新版本上传至所述文件服 务器进行存 储。 4.根据权利要求1所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 中央服务器还包括： 安全规则收集单元， 用于在所述中央服务器接收到所述目标Web应用变化的上下文信 息后， 在博客与公共漏洞和暴露中记录的J2EE  Web应用程序漏洞中， 收集当前检测的安全 规则。 5.根据权利要求1 ‑4任一所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在 于， 所述漏洞检测模块包括： 编译子模块， 用于将所述目标Web应用的J2E E Web应用程序编译为Jimple文件； 检测子模块， 用于基于所述当前检测的安全规则， 通过改进的FlowDroid工具对所述目 标Web应用的Jimple文件进行漏洞检测， 生成变化后的目标Web应用的漏洞检测结果， 并将 所述漏洞检测结果以及将所述当前检测的安全规则中使用了的安全规则通过所述消息队 列返回所述中央服 务器； 其中， 所述漏洞检测结果包括漏洞类型与错 误路径。 6.根据权利要求5所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 编译子模块包括： 第一编译单 元， 用于将所述目标Web应用的JS P文件编译成Java代码； 第二编译单 元， 用于将编译成的Java代码编译成Java字节码；权　利　要　求　书 1/2 页 2 CN 115391793 A 2第三编译单 元， 用于将所述Java字节码编译成Jimple文件。 7.根据权利要求6所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 第二编译单 元包括： 第一编译子单元， 用于对于所述Java代码中的原始Java源代码， 直接检索存储在默认 路径中的Java字节码， 或通过自动化工具Maven执 行Java字节码的编译过程； 第二编译子单元， 用于对于所述Java代码中的Jasper生成的Java代码， 通过javac   compile命令编译生成对应的Java字节码。 8.根据权利要求5所述的基于FlowDroid工具的实时漏洞检测系统， 其特征在于， 所述 漏洞检测模块还 包括： 改进FlowDroid模块， 用于定义FlowDroid工具应用于J2EE  Web应用程序的分析入口 点； 还用于根据污染分析原理， 利用污染源、 污染汇聚点以及清洗器构建FlowDroid工具检 测J2EE Web应用程序的安全规则， 以涵盖多种类型的Web应用程序漏洞， 其中， 所述多种类 型的Web应用程序 漏洞包括： SQ L注入、 目录遍历和远端命令执 行。 9.一种基于Fl owDroid工具的实时漏洞检测方法， 其特 征在于， 所述方法包括： 在目标Web应用的内容发生变化时， 确定所述目标Web应用的最新版本， 并将所述目标 Web应用变化后的最 新版本的URL 地址和当前检测的安全规则放入消息队列中； 根据所述消息队列中的URL地址， 下载所述目标Web应用变化后的目标项目， 并基于所 述当前检测的安全规则， 通过改进的FlowDr oid工具生 成变化后的目标Web应用的漏洞检测 结果。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储计算机程 序， 所述计算机程序被处理器执行时实现如权利要求9所述的基于FlowDr oid工具的实时漏 洞检测方法。权　利　要　求　书 2/2 页 3 CN 115391793 A 3