(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211069474.2 (22)申请日 2022.08.31 (71)申请人 中科天齐 （山西） 软件安全技 术研究 院有限公司 地址 030032 山西省太原市太原唐槐园区 汾东大街10号A栋 501室 (72)发明人 陆杰　李昊峰　刘晨　李炼　高琳　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 胡晓静 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/57(2013.01) H04L 67/12(2022.01) (54)发明名称 一种分布式云系统的漏洞检测方法、 装置及 电子设备 (57)摘要 本发明公开了一种分布式云系统的漏洞检 测方法、 装置及电子设备， 该方法包括： 获取分布 式云系统的运行日志、 云系统代码以及分布式云 系统中的用户参数； 对运行日志进行分析得到用 户变量和用户相关变量； 对云系统代码进行异常 检查得到系统相关变量； 基于用户变量、 用户相 关变量和系统相关变量确定权限检查接口和特 权操作； 根据权限检查接口、 特权操作和用户参 数对分布式系统进行分析得到漏洞。 本发明通过 分析出的用户相关变量和系统相关变量， 从而快 速准确的识别特权操作， 有效提高了漏洞检测的 效率和精确度， 从而更好的保障分布式云系统的 安全。 权利要求书2页 说明书8页 附图4页 CN 115333852 A 2022.11.11 CN 115333852 A 1.一种分布式云系统的漏洞检测方法， 其特 征在于， 包括： 获取分布式云系统的运行日志、 云系统代码以及分布式云系统中的用户参数； 对所述运行日志进行分析 得到用户变量和用户相关变量； 对所述云系统代码进行异常检查得到系统相关变量； 基于所述用户变量、 用户相关变量和所述系统相关变量确定权限检查接口和特权操 作； 根据所述权限检查接口、 所述特权操作和所述用户参数对所述分布式系统进行分析得 到漏洞。 2.根据权利要求1所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述对所述运行 日志进行分析 得到用户变量和用户相关变量， 包括： 从所述运行日志中提取变量； 从所述变量中筛 选出代表用户的用户变量和其 余变量； 将所述用户变量与所述 其余变量之间的关系进行判断， 得到用户相关变量。 3.根据权利要求2所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述将所述用户 变量与所述 其余变量之间的关系进行判断， 得到用户相关变量， 包括： 判断所述其余变量中的当前变量与所述用户变量或用户相关变量是否在同一条运行 日志中； 若当前变量与 所述用户变量或用户相关变量在同一条运行 日志中， 则将所述当前变量 确定为用户相关变量。 4.根据权利要求2所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述将所述用户 变量与所述 其余变量之间的关系进行判断， 得到用户相关变量， 包括： 对所述其余变量和所述用户变量进行分析 得到各自对应的变量类型； 将所述其余变量中当前变量的变量类型与所述用户变量的变量类型进行匹配； 若所述当前变量的变量类型与所述用户变量的变量类型相同， 则将所述当前变量确定 为用户相关变量。 5.根据权利要求1所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述对所述云系 统代码进行异常检查得到系统相关变量， 包括： 对所述云系统代码进行遍历， 得到终止正常执 行的错误提示点； 基于所述 错误提示点查找与所述 错误提示点相关的第一条件语句； 根据所述第一条件语句得到对应的实例字段， 将所述实例字段作为系统相关变量。 6.根据权利要求1所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述基于所述用 户变量、 用户相关变量和所述系统相关变量确定 权限检查接口和特权操作， 包括： 根据所述用户变量得到测试用户变量的条件语句标记为权限检查接口； 筛选与所述用户相关变量和所述系统相关变量的访问操作； 将所述访问操作 作为特权操作。 7.根据权利要求1所述的分布式云系统 的漏洞检测方法， 其特征在于， 所述根据 所述权 限检查接口、 所述特权操作和所述用户参数对所述分布式系统进行分析 得到漏洞， 包括： 对所述用户参数进行解析 得到用户请求； 判断所述用户请求的处理方式， 若所述用户请求在其相应的处理程序中存在特权操作权　利　要　求　书 1/2 页 2 CN 115333852 A 2且没有通过权限检查接口进行权限检查， 则将所述用户请求标记为漏洞； 通过数据流的方式对用户请求进行分析 得到程序路径及程序路径上的多个节点； 对所述程序路径上的多个节点进行权限检查和特权操作检查， 若存在进行了特权操作 的节点且所有节点均没有通过权限检查接口进行权限检查， 则将所述用户请求标记为漏 洞。 8.一种分布式云系统的漏洞检测装置， 其特 征在于， 包括： 获取模块， 用于获取分布式云系统的运行日志、 云系统代码以及分布式云系统中的用 户参数； 分析模块， 用于对所述 运行日志进行分析 得到用户变量和用户相关变量； 检查模块， 用于对所述云系统代码进行异常检查得到系统相关变量； 确定模块， 用于基于所述用户变量、 用户相关变量和所述系统相关变量确定权限检查 接口和特权操作； 漏洞模块， 用于根据所述权限检查接口、 所述特权操作和所述用户参数对所述分布式 系统进行分析 得到漏洞。 9.一种电子设备， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器中存储有 计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行权利要求 1‑7中任一项 所述的 分布式云系统的漏洞检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使计算机执行权利要求1 ‑7中任一项所述的分布式云系统的漏洞 检测方法。权　利　要　求　书 2/2 页 3 CN 115333852 A 3