源代码中的API密钥自动识别方法

doi:10.19678/j.issn.1000-3428.0048197

计算机工程 ›› 2018, Vol. 44 ›› Issue (6): 117-121,129.doi: 10.19678/j.issn.1000-3428.0048197

源代码中的API密钥自动识别方法

薛敏¹,方勇²,黄诚¹,刘亮 ²

1.四川大学电子信息学院,成都 610065; 2.四川大学网络空间安全学院,成都 610207

收稿日期:2017-07-31 出版日期:2018-06-15 发布日期:2018-06-15
作者简介:薛敏(1993—),女,硕士研究生,主研方向为Web安全;方勇,教授、博士;黄诚,博士;刘亮,讲师、博士。

Automatic Identification Method of API Key in Source Code

XUE Min ¹,FANG Yong ²,HUANG Cheng¹,LIU Liang²

1.College of Electronics and Information,Sichuan University,Chengdu 610065,China; 2.College of Cybersecurity,Sichuan University,Chengdu 610207,China

Received:2017-07-31 Online:2018-06-15 Published:2018-06-15

摘要/Abstract

摘要： 应用程序编程接口(API)密钥的泄露可能导致相关服务被恶意利用,从而造成难以预估的经济损失。为此,通过对样本进行基本特征统计和源代码静态结构分析,提取出不同项目代码中API密钥的共性特征,从而构建一种基于机器学习的自动识别源代码中API密钥的方法。实验结果表明,该识别方法的检索性能比全文匹配搜索、关键字搜索和信息熵值搜索等传统检测方式更优。

关键词: 应用程序编程接口密钥, 源代码, 机器学习, 静态结构, 信息熵

Abstract: The leak of Application Programming Interface(API) key may cause the illegal use of services,and then lead to unpredictable economic losses.The common characteristics of API keys in different project codes are extracted by analyzing the basic characteristics statistics and the source code static structure of the samples.Then,an automatic identification method based on machine learning is built to detect the API keys in the source code.The result of 10-fold cross-validation experiment results show that the identification method is better in retrieval performance than traditional detection approaches such as full-text matching search,keywords search and information entropy search.

Key words: Application Programming Interface(API) key, source code, machine learning, static structure, information entropy

中图分类号:

TP309

薛敏,方勇,黄诚,刘亮. 源代码中的API密钥自动识别方法[J]. 计算机工程, 2018, 44(6): 117-121,129.

XUE Min,FANG Yong,HUANG Cheng,LIU Liang. Automatic Identification Method of API Key in Source Code [J]. Computer Engineering, 2018, 44(6): 117-121,129.

参考文献

［1］FARRELL S.API keys to the kingdom［J］.IEEE Internet Computing,2009,13(5):91-93.
［2］VIENNOT N,GARCIA E,NIEH J.A measurement study of google play［C］//Proceedings of ACM International Conference on Measurement & Modeling of Computer Systems.New York,USA:ACM Press,2014:221-233.
［3］Techspot.10 000 AWS secret access keys carelessly left in code up-loaded to GitHub［EB/OL］.［2017-07-31］.http://www.techspot.com/news/56127-10000-aws-secret-access-keys-carelessly-left-in-code-uploaded-to-github.html.
［4］We reverse engineered 16k apps,here’s what we found［EB/OL］.［2017-07-31］.https://hackernoon.com/we-reverse-engineered-16k-apps-heres-what-we-found-51bdf3b456bb.
［5］“Truffle Hog” tool detects secret key leaks on GitHub［EB/OL］.［2017-07-31］.http://www.security week.com/truffle-hog-tool-detects-secret-key-leaks-github.
［6］SINHA V S,SAHA D,DHOOLIA P,et al.Detecting and mitigating secret-key leaks in source code repositories［C］//Proceedings of the 12th Working Conference on Mining Software Repositories.Washington D.C.,USA:IEEE Press,2015:396-400.
［7］刘浩广,蔡绍洪.信息熵及其随机性［J］.贵州大学学报(自然科学版),2007,24(4):350-351.
(下转第129页) (上接第121页) ［8］Scanning data for entropy anomalies［EB/OL］.［2017-07-31］.http://blog.dkbza.org/2007/05/scanning-data-for-entropy-anomalies.html.
［9］PENG F,SCHUURMANS D.Combining naive Bayes and n-gram language models for text classification［C］//Proceedings of European Conference on Information Retrieval.Berlin,Germany:Springer,2003:335-350.
［10］NORVIG P.Natural language corpus data［EB/OL］.［2017-07-31］.http://www.norvig.com/ngrams/ch14.pdf.
［11］WANG Wei,SHIRLEY K.Breaking bad:detecting malicious domains using word segmentation［EB/OL］.［2017-07-31］.https://arxiv.org/abs/1506.04111 2015.
［12］邓爱萍.程序代码相似度度量算法研究［J］.计算机工程与设计,2008,29(17):4636-4638.
［13］石野,黄龙和,车天阳,等.基于语法树的程序相似度判定方法［J］.吉林大学学报(信息科学版),2014,32(1):95-100.
［14］COMANICIU D,MEER P.Mean shift:a robust approach toward feature space analysis［J］.IEEE Transactions on Pattern Analysis and Machine Intelligence,2012,24(5):603-619.
［15］张华伟,王明文,甘丽新.基于随机森林的文本分类模型研究［J］.山东大学学报(理学版),2006,41(3):139-143.
［16］张希翔,赵欢.基于随机森林的语音人格预测方法［J］.计算机工程,2017,43(6):253-258.
［17］KOHAVI R.A study of cross-validation and bootstrap for accuracy estimation and model selection［C］//Proceedings of International Joint Conference on Artificial Intelligence.New York,USA:ACM Press,1995:1137-1145.
［18］GOUTTE C,GAUSSIER E.A probabilistic interpretation of precision,recall and F-score,with implication for evalua-tion［C］//Proceedings of European Conference on Infor-mation Retrieval.Berlin,Germany:Springer,2005:345-359.

[1]	刘志昊, 孙晓山, 张阳. 基于改进PCFG的语言解释器模糊测试[J]. 计算机工程, 2019, 45(8): 22-24,30.
[2]	刘文杰, 江贺. 基于特征选择的软件缺陷报告严重性评估[J]. 计算机工程, 2019, 45(8): 80-85.
[3]	张景莲, 彭艳兵. 基于特征融合的恶意代码分类研究[J]. 计算机工程, 2019, 45(8): 281-286,295.
[4]	刘一宁,申彦明. 基于终身机器学习的主题挖掘与评分预测联合模型[J]. 计算机工程, 2019, 45(6): 237-241,248.
[5]	郭良敏,高俊杰,胡桂银. 一种基于机器学习的虚拟机放置方法[J]. 计算机工程, 2019, 45(5): 135-142.
[6]	段晓毅, 陈东, 高献伟, 范晓红, 周玉坤. 功耗分析攻击中机器学习模型选择研究[J]. 计算机工程, 2019, 45(11): 144-151,158.
[7]	张璐. 虚假商品评论识别的研究与进展[J]. 计算机工程, 2019, 45(10): 293-300.
[8]	戴仙波, 王娜, 刘颖. 基于改进高斯核函数的BGP异常检测方法[J]. 计算机工程, 2019, 45(10): 122-129.
[9]	刘冶,刘荻,王砚文,傅自豪,印鉴. 基于多源融合特征提取的在线广告预测模型[J]. 计算机工程, 2019, 45(1): 178-185,191.
[10]	殷亚博,杨文忠,杨慧婷,许超英. 基于卷积神经网络和KNN的短文本分类算法研究[J]. 计算机工程, 2018, 44(7): 193-198.
[11]	刘玉环,唐庭龙,陈胜勇. 基于词袋特征算法的药品分层缺陷检测[J]. 计算机工程, 2018, 44(6): 249-252,258.
[12]	刘凯,林基明,郑霖,杨超. 基于深度自编码网络的慢速移动目标检测 [J]. 计算机工程, 2018, 44(2): 129-134.
[13]	黄玉洁,唐作其,梁静. 基于信息熵与三参数区间的信息安全风险评估[J]. 计算机工程, 2018, 44(12): 178-183.
[14]	张艺豪,李梁,赵清华,马建芬,段倩倩. 基于全局相似度的社交网络个性化推荐算法[J]. 计算机工程, 2018, 44(10): 204-208.
[15]	任卓君,陈光. 熵可视化方法在恶意代码分类中的应用[J]. 计算机工程, 2017, 43(9): 167-171.

源代码中的API密钥自动识别方法

Automatic Identification Method of API Key in Source Code

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

Metrics

本文评价

推荐阅读 10