随着人工智能和机器学习的快速发展,Python广泛应用于网络爬虫、机器学习、数据分析等领域,并且Python拥有强大第三方库,这使得Python在编程语言中的地位越来越高。但是,由于系统的不安全性,无法保证Python脚本在其整个生命周期内都是可信的。当系统受到攻击时,计算机中的Python脚本可能会被篡改。因此,需要研究Python脚本中存在的脆弱性,为此,本文从完整性验证和漏洞检测两个方面进行研究。在本文中,完整性验证和漏洞检测都是基于两个Python脚本,一个原始Python脚本和一个当前的Python脚本。原始的Python脚本在其生命周期内被更改后,就称为当前Python脚本。本文的研究内容及创新点如下:(1)当原始的Python脚本来源可信时,通过完整性校验检测当前的Python脚本与原始的Python脚本是否语义一致。这里的完整性校验是一种宽松的完整性校验,更加倾向于相似性检测而非密码学意义上的完整性校验。在此,提出一种UNIX diff指令和抽象语法树相结合的相似性检测方法。实验证明该方法可以有效地避免基于树形结构的相似性检测所带来的缺点。(2)当原始的Python脚本来源可信并且其完整性已经被破坏时,需要对当前的Python脚本进行漏洞检测。对此,对具有良好扩展性的Python漏洞检测工具Bandit进行分析,总结其优缺点,并针对其缺点进行改进——将污点分析与Bandit结合起来。实验证明该方案可以在不影响Bandit性能的前提下,降低漏洞的误报率。(3)当原始的Python脚本来源不可信时,直接对当前的Python脚本进行漏洞检测。对此,提出了一种基于特征矩阵的Python克隆代码漏洞检测方法。首先,针对不同的漏洞类型,提取相应的关键特征,依照不同关键特征对Python脚本进行前向或后向的程序切片。然后,利用基于代码块的抽象语法树,将代码转换为向量,构建特征矩阵。最后,利用机器学习的方法,对特征矩阵进行降维并计算相似度。实验证 明该方案可以有效地检测出Python程序中存在的漏洞。