源代码中的API密钥自动识别方法

doi:10.19678/j.issn.1000-3428.0048197

计算机工程 ›› 2018, Vol. 44 ›› Issue (6): 117-121,129.doi: 10.19678/j.issn.1000-3428.0048197

源代码中的API密钥自动识别方法

薛敏¹,方勇²,黄诚¹,刘亮 ²

1.四川大学电子信息学院,成都 610065; 2.四川大学网络空间安全学院,成都 610207

收稿日期:2017-07-31 出版日期:2018-06-15 发布日期:2018-06-15
作者简介:薛敏(1993—),女,硕士研究生,主研方向为Web安全;方勇,教授、博士;黄诚,博士;刘亮,讲师、博士。

Automatic Identification Method of API Key in Source Code

XUE Min ¹,FANG Yong ²,HUANG Cheng¹,LIU Liang²

1.College of Electronics and Information,Sichuan University,Chengdu 610065,China; 2.College of Cybersecurity,Sichuan University,Chengdu 610207,China

Received:2017-07-31 Online:2018-06-15 Published:2018-06-15

摘要/Abstract

摘要： 应用程序编程接口(API)密钥的泄露可能导致相关服务被恶意利用,从而造成难以预估的经济损失。为此,通过对样本进行基本特征统计和源代码静态结构分析,提取出不同项目代码中API密钥的共性特征,从而构建一种基于机器学习的自动识别源代码中API密钥的方法。实验结果表明,该识别方法的检索性能比全文匹配搜索、关键字搜索和信息熵值搜索等传统检测方式更优。

关键词: 应用程序编程接口密钥, 源代码, 机器学习, 静态结构, 信息熵

Abstract: The leak of Application Programming Interface(API) key may cause the illegal use of services,and then lead to unpredictable economic losses.The common characteristics of API keys in different project codes are extracted by analyzing the basic characteristics statistics and the source code static structure of the samples.Then,an automatic identification method based on machine learning is built to detect the API keys in the source code.The result of 10-fold cross-validation experiment results show that the identification method is better in retrieval performance than traditional detection approaches such as full-text matching search,keywords search and information entropy search.

Key words: Application Programming Interface(API) key, source code, machine learning, static structure, information entropy

中图分类号:

TP309

薛敏,方勇,黄诚,刘亮. 源代码中的API密钥自动识别方法[J]. 计算机工程, 2018, 44(6): 117-121,129.

XUE Min,FANG Yong,HUANG Cheng,LIU Liang. Automatic Identification Method of API Key in Source Code [J]. Computer Engineering, 2018, 44(6): 117-121,129.

参考文献

［1］FARRELL S.API keys to the kingdom［J］.IEEE Internet Computing,2009,13(5):91-93.
［2］VIENNOT N,GARCIA E,NIEH J.A measurement study of google play［C］//Proceedings of ACM International Conference on Measurement & Modeling of Computer Systems.New York,USA:ACM Press,2014:221-233.
［3］Techspot.10 000 AWS secret access keys carelessly left in code up-loaded to GitHub［EB/OL］.［2017-07-31］.http://www.techspot.com/news/56127-10000-aws-secret-access-keys-carelessly-left-in-code-uploaded-to-github.html.
［4］We reverse engineered 16k apps,here’s what we found［EB/OL］.［2017-07-31］.https://hackernoon.com/we-reverse-engineered-16k-apps-heres-what-we-found-51bdf3b456bb.
［5］“Truffle Hog” tool detects secret key leaks on GitHub［EB/OL］.［2017-07-31］.http://www.security week.com/truffle-hog-tool-detects-secret-key-leaks-github.
［6］SINHA V S,SAHA D,DHOOLIA P,et al.Detecting and mitigating secret-key leaks in source code repositories［C］//Proceedings of the 12th Working Conference on Mining Software Repositories.Washington D.C.,USA:IEEE Press,2015:396-400.
［7］刘浩广,蔡绍洪.信息熵及其随机性［J］.贵州大学学报(自然科学版),2007,24(4):350-351.
(下转第129页) (上接第121页) ［8］Scanning data for entropy anomalies［EB/OL］.［2017-07-31］.http://blog.dkbza.org/2007/05/scanning-data-for-entropy-anomalies.html.
［9］PENG F,SCHUURMANS D.Combining naive Bayes and n-gram language models for text classification［C］//Proceedings of European Conference on Information Retrieval.Berlin,Germany:Springer,2003:335-350.
［10］NORVIG P.Natural language corpus data［EB/OL］.［2017-07-31］.http://www.norvig.com/ngrams/ch14.pdf.
［11］WANG Wei,SHIRLEY K.Breaking bad:detecting malicious domains using word segmentation［EB/OL］.［2017-07-31］.https://arxiv.org/abs/1506.04111 2015.
［12］邓爱萍.程序代码相似度度量算法研究［J］.计算机工程与设计,2008,29(17):4636-4638.
［13］石野,黄龙和,车天阳,等.基于语法树的程序相似度判定方法［J］.吉林大学学报(信息科学版),2014,32(1):95-100.
［14］COMANICIU D,MEER P.Mean shift:a robust approach toward feature space analysis［J］.IEEE Transactions on Pattern Analysis and Machine Intelligence,2012,24(5):603-619.
［15］张华伟,王明文,甘丽新.基于随机森林的文本分类模型研究［J］.山东大学学报(理学版),2006,41(3):139-143.
［16］张希翔,赵欢.基于随机森林的语音人格预测方法［J］.计算机工程,2017,43(6):253-258.
［17］KOHAVI R.A study of cross-validation and bootstrap for accuracy estimation and model selection［C］//Proceedings of International Joint Conference on Artificial Intelligence.New York,USA:ACM Press,1995:1137-1145.
［18］GOUTTE C,GAUSSIER E.A probabilistic interpretation of precision,recall and F-score,with implication for evalua-tion［C］//Proceedings of European Conference on Infor-mation Retrieval.Berlin,Germany:Springer,2005:345-359.

[1]	王旭, 陈永乐, 王庆生, 陈俊杰. 结合特征选择与集成学习的密码体制识别方案[J]. 计算机工程, 2021, 47(1): 139-145,153.
[2]	张凯, 周德云, 杨振, 潘潜. 基于自适应谐振理论的武器目标分配快速决策算法[J]. 计算机工程, 2020, 46(9): 283-291,297.
[3]	张杰, 沈苏彬. 一种适用于物联网的在线GP-ELM算法[J]. 计算机工程, 2020, 46(6): 314-320.
[4]	张春富, 王松, 吴亚东, 王勇, 张红英. 基于GA_Xgboost模型的糖尿病风险预测[J]. 计算机工程, 2020, 46(3): 315-320.
[5]	潘维蔚, 康凯, 张武雄, 王海峰. 基于WiFi的室内定位准确率改进算法[J]. 计算机工程, 2020, 46(2): 207-213.
[6]	赵军, 朱荽, 杨雯璟, 许彦辉, 庞宇. 一种基于密度峰值聚类的图像分割算法[J]. 计算机工程, 2020, 46(2): 274-278,285.
[7]	李慧, 张南南, 曹卓, 郑海, 陈湘萍. 基于机器学习的恐怖分子预测算法[J]. 计算机工程, 2020, 46(2): 315-320.
[8]	谢坤, 容钰添, 胡奉平, 陈桓, 姚小龙. 基于数据集成的随机森林算法[J]. 计算机工程, 2020, 46(12): 290-298.
[9]	张潘, 卢光跃, 吕少卿, 赵雪莉. 基于矩阵分解的属性网络表示学习[J]. 计算机工程, 2020, 46(10): 67-73.
[10]	刘佳美, 徐巧枝. 基于机器学习的SDN网络流量预测与部署策略[J]. 计算机工程, 2020, 46(10): 223-230.
[11]	王亮, 王敏, 王晓鹏, 罗威, 冯瑜. 基于流式计算的网络排队时延预测技术研究[J]. 计算机工程, 2020, 46(10): 289-293,300.
[12]	王重仁, 王雯, 佘杰, 凌晨. 融合深度神经网络的个人信用评估方法[J]. 计算机工程, 2020, 46(10): 308-314.
[13]	宋匡时, 李翀, 张士波. 一个轻量级分布式机器学习系统的设计与实现[J]. 计算机工程, 2020, 46(1): 201-207.
[14]	刘文杰, 江贺. 基于特征选择的软件缺陷报告严重性评估[J]. 计算机工程, 2019, 45(8): 80-85.
[15]	张景莲, 彭艳兵. 基于特征融合的恶意代码分类研究[J]. 计算机工程, 2019, 45(8): 281-286,295.

源代码中的API密钥自动识别方法

Automatic Identification Method of API Key in Source Code

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

Metrics

本文评价

推荐阅读 10