[发明专利]一种基于隐马尔可夫模型的汇编指令级漏洞检测方法

说明书

技术领域

本发明涉及一种汇编指令级的漏洞检测方法，特别涉及一种基于隐马尔可夫模型的汇编指令级漏洞检测方法，属于信息安全技术领域。

背景技术

随着计算机技术的迅速发展，人类社会的信息化程度越来越高，整个社会的政治、经济、军事、文化以及其他领域对计算机信息系统的依赖程度也越来越高。在这种情况下，计算机系统的安全性得到了人们越来越多的关注。然而，大型软件、系统的编写需要许许多多程序员共同完成，他们将一个软件或系统分成若干板块，分工编写，然后再汇总，测试；最后再修补、发布，因此在软件中存在安全漏洞几乎是不可避免的。软件漏洞是指软件设计实现过程中被引入的、在数据访问或行为逻辑等方面的缺陷。这些漏洞常常被攻击者利用，从而使程序行为违背一定的安全策略。在大多数情况下，软件系统的源代码不可得，因此必须对软件的可执行程序进行分析，这种针对可执行程序的分析非常困难，因为从中很难发现典型的上下文相关性。基于上述原因，目前对汇编指令级漏洞检测技术的研究越来越受到重视。

为了检测到漏洞，相应的分析方法需要具有高覆盖率和低误报率/漏报率。自动化的动态检测方法通常会在可控环境中(通常位于虚拟机中)执行程序，同时监视汇编指令的执行以分析可执行程序的行为特征。然而，动态分析的问题在于其必须运行可执行程序，并且必须执行尽可能多的汇编指令，这会产生大量的系统开销。特别是当软件系统进入休眠状态时，动态检测方法必须等待软件的下一次执行，而这意味着更长的分析时间和更多的系统开销。由于受限于执行遍历策略，动态分析方法目前只对分析恶意软件效果较好，因为恶意软件体积较小。当分析包含海量汇编指令的软件时，有限的汇编指令执行策略无法对软件系统的行为特征进行有效分析，也无法对潜在的安全漏洞进行定位。

静态检测方法可执行程序的源代码或汇编指令进行分析，且可以在提高分析覆盖率的同时减少系统开销。此类分析方法可以比动态分析方法发现更多的安全漏洞。此外，静态分析方法可以覆盖所有可能的汇编指令。

Csaba Nagy等人提出了一种静态分析方法(在实施例中称为“方法1”)，该方法通过识别并跟踪软件中与用户输入相关的源代码实现对漏洞的定位。该方法通过扫描源代码实现分析过程，而不需要运行可执行程序或执行汇编指令。在对源代码的扫描过程中，该方法采用污点标记技术对安全漏洞进行定位。因此，当无法获得源代码时，该方法就无法跟踪软件的数据流，也就是说，该方法的分析对象受限于开源软件系统。

Pattabiraman等人开发了一套安全漏洞检测系统(在实施例中称为“方法2”)。该系统分析与关键变量相关的源代码片段。该方法通过控制流分析法判断需要分析哪些片段，从而为这些源代码片段构造检测表达式。由于这种方法也属于源代码分析方法，因此该方法无法分析可执行程序。

Hassen 开发了一个分析工具套件，该套件结合了多种静态分析方法和工具(在实施例中称为“方法3”)。该套件采用静态分析方法来分析软件的可执行程序或汇编指令。该套件采用的方法是生成抽象状态图，并将该状态图作为中间结构，以共享其输出并产生分析结果。虽然采用此方法可以降低误报率，但是该方法只能分析代码量较小的恶意软件，而无法分析规模较大的软件。

现有技术中，很少有能够对可执行程序或汇编指令进行有效分析的静态或动态分析方法。现有的汇编指令分析器需要对每一条汇编指令进行扫描并分析，这种方法导致了很高的系统开销和大量的误警警报。此外，由于很难从大量的不具有显著关联性的汇编指令中定位安全漏洞，因此现有方法能够从汇编指令中检测到的安全漏洞比例大约在50％左右，不能满足实际应用的需求。

本发明使用到一项重要的已有技术：隐马尔科夫模型。

隐马尔可夫模型是一种有效的描述存在于离散时间段上的具有关联关系的数据序列的统计学方法。

隐马尔科夫模型的理论基础是在1970年前后由Baum等人建立起来的，随后有CMU的Baker和IBM的Jelinek等人将其应用到语音识别之中，由于Bell实验室Rabiner等人在80年代中期对隐马尔科夫模型的深入浅出的介绍，才逐渐使隐马尔科夫模型为世界各国从事语音处理的研究员所了解和熟悉，进而成为公认的一个研究热点。