[发明专利]一种软件漏洞特征操作序列的提取方法

权利要求书

1.一种软件漏洞特征操作序列的提取方法，其特征在于：具体 操作步骤如下：

步骤一、收集已有的软件漏洞程序；

步骤二、对步骤一收集的软件漏洞程序进行预处理，过滤掉软件 漏洞程序中与软件漏洞分析无关的函数块和语句；

步骤三、从步骤二预处理过的软件漏洞程序中得到软件漏洞程序 操作序列；其特征在于：所述获取软件漏洞程序操作序列的具体操作 步骤如下：

第1步：对经过步骤二预处理后的软件漏洞程序载入漏洞模型， 由控制流提取算法对软件漏洞程序进行处理，将其转换为软件漏洞程 序控制流图；

第2步：生成中间文件，中间文件包括：所有子函数名称和每个 子函数内单层调用关系；从中间文件提取软件漏洞程序中函数的调用 关系，生成函数调用图；

第3步：采用深度优先的方法遍历函数调用图，得到软件漏洞程 序操作序列；

第4步：给每一条软件漏洞程序操作序列赋予一个序列标识符， 存入软件漏洞程序操作序列数据库；

步骤四、对步骤三得到的软件漏洞程序操作序列采用加权闭合序 列模式挖掘算法WCSMining进行挖掘，得到软件漏洞特征操作序列集 合；其具体操作步骤如下：

第1步：设置最小支持度阈值的初始值min_sup，并设置用于存储 挖掘结果的加权闭合序列树WClosedTree为空；

第2步：扫描软件漏洞程序操作序列数据库SDB一次，通过软件漏 洞程序操作序列出现的频率和定义的权值度量方法，计算所有项的权 值；

第3步：计算软件漏洞程序操作序列数据库SDB基于最小支持度阈 值min_sup长度为1的所有频繁序列1_sequence，并且记录它们的位置 数据，把这些长度为1的频繁序列1_sequence加入到加权闭合序列树 WClosedTree中，即创建加权闭合序列树结点；

第4步：对于长度为1的每一个频繁序列，将它与所有的长度为1 的频繁序列1_sequence相连接，生成长度为2的频繁序列2_sequence 和相应的位置数据，执行闭集检查，把这些长度为2的频繁序列 2_sequence加入到WClosedTree中，即创建加权闭合序列树结点；

第5步：设置两个新的集合P和P₁为空集；

第6步：通过加权闭合序列树WClosedTree对长度为2的每一个频 繁序列s₁检查逆向超模式和相同位置数据；

第7步：如果它们符合逆向超模式或有相同的位置数据，更新加 权闭合序列树WClosedTree中相应的连接和结点信息，即如果长度为2 的频繁序列2sequence中某一序列s₁_sup表示长度为2的频繁 序列2_sequence的子序列s₁的结点的支持数，并且s₁_sup＝s_sup，则 将该长度为1的频繁序列s的结点的支持数s_sup记为0；否则把s₁加入 到一个新的集合P中以备扩展；

第8步：如果步骤7操作以后，集合P为空，结束操作；否则对于 集合P中的每个序列s₁执行第9步到14步；

第9步：用长度为2的频繁序列和它们的位置数据将序列s₁进行扩 展，并且得到比序列s₁长1的新序列s₂，用j表示新序列s₂的长度，并 计算该新序列s₂的位置数据；

第10步：判断每一个长度为j的序列s₂是否为频繁序列；

第11步：如果当前长度为j的序列s₂是频繁序列，创建加权闭合 序列树结点Cnode，把长度为j的频繁序列加入到加权闭合序列树 WClosedTree中；否则，丢弃该长度为j的序列s₂；

第12步：通过加权闭合序列树对长度为j的序列s₂检查其是否符 合逆向超模式或有相同的位置数据；

第13步：如果长度为j的序列s₂满足第12步中两种情况中的任一 情况，更新WClosedTree中相应的连接和结点信息，即如果长度为j 的频繁序列中某一序列s₂_sup表示长度为j的频繁序列中某一 序列s₂的结点的支持数，并且s₂_sup＝s_sup，将长度小于j的频繁序列 s的节点的支持数记为0；

第14步：把s₂加入到集合P₁中，置P＝P₁，

2.如权利要求1所述的一种软件漏洞特征操作序列的提取方法， 其特征在于：还包括步骤五：当有新的软件漏洞程序操作序列产生时， 在已有软件漏洞特征操作序列的基础上，结合新的软件漏洞程序操作 序列，增量式的更新软件漏洞特征操作序列数据库。