[发明专利]基于编程模式和模式匹配的漏洞聚类方法

说明书

技术领域

本发明属于计算机程序安全领域，提供一种基于编程模式和模式匹配的漏洞聚类方法。

背景技术

脆弱性(Vulnerability)是系统具体实现或安全策略上存在的缺陷和不足。软件脆弱性的存在给系统服务的可持续性和数据的安全性带来了巨大的危害，是威胁信息系统安全的主要因素。黑客、蠕虫病毒和木马等都利用安全脆弱性来实现对计算机系统的入侵或自身传播。

计算机系统在社会生活中的应用日益广泛，安全脆弱性的数目呈迅速递增之势，从发现到首次被利用的时间间隔越来越短，安全漏洞的风险等级节节升高。如何应对安全漏洞给信息系统带来的威胁，已成了计算机安全领域的重大问题之一。除了利用己知脆弱性，有的黑客善于挖掘并利用一些尚未公布的脆弱性以达到他们不可告人的目的，而相比于此，安全研究者们在脆弱性研究工作的影响方面显得被动和滞后。所以加大对脆弱性的研究力度是非常有必要的，以便对各类脆弱性采取更为主动合理的处理方式。如何来检测一个现有软件的安全性是解决安全问题的头等大事。从问题的源头就开始关注安全，越早发现软件存在的脆弱性问题，那么造成的损失就越小。因此，对计算机软件脆弱性分析方法的研究具有重要的理论和实用价值。

当前，根据分析对象不同可将脆弱性分析方法分为两类：源代码分析和二进制分析。源代码分析是对程序的源代码进行手动或自动的代码审计，根据审查人员的经验来审查代码中是否包含常见已知漏洞或者潜在安全缺陷；二进制分析是在不运行程序的情况下对软件汇编代码进行分析，以发现一些潜在的漏洞，它直接反映了机器执行程序的实际过程，比源代码分析更底层但更难以分析，需要通过特定的逆向平台对软件程序进行反汇编，得到相应的反汇编文本。

专利申请“一种基于属性提取的软件漏洞挖掘系统及方法”(申请号：CN201410577779)提供一种基于属性提取的软件漏洞挖掘系统及方法，包括以下步骤：提取待测软件关键代码的步骤；对待测软件在虚拟机环境中执行，并采用虚拟机故障注入引擎与关键代码进行测试交互，记录测试结果；将测试结果结合挖掘经验知识库进行推理。该发明的不足在于，漏洞发掘非常依赖于经验知识库的完备，若知识库不包含相关信息，则难以检测出新类型的漏洞。

专利申请“一种用于漏洞发掘的动态符号执行路径搜索方法”(申请号：CN201410230479)提供如下方法，在使用动态符号执行对被测程序的可能执行路径进行搜索的过程中，标记实际执行被测程序时触发漏洞的路径，对于路径探索过程中生成的每一个新的测试用例，计算该测试用例执行路径与上次触发漏洞路径的相关度r，并以此计算该测试用例对应执行路径的权重分数score，在下次执行测试时选择score值最大的测试用例执行。该发明的不足在于，漏洞发掘依赖于合适的测试用例的设计，难以设计出适用于不同程序类型的一组用例，故难以保证效率和准确性。

发明内容

本发明主要解决的技术问题在于，为了更有效率、更准确的比较程序漏洞代码的相似性，以更好的将代码进行聚类，并发现潜在的漏洞代码，提出了这样一种漏洞聚类方法。本发明主要研究源代码分析，属于静态分析方法。

本发明涉及的相关术语解释如下：

编程模式：在本发明中，编程模式是指，反应了一个函数的源代码中，函数名、变量名、保留字三者组合而成的向量，可以从一定程度上反应该函数的功能；

模式块向量：在本发明中，模式块向量是指，反应了一个函数对于指定多种编程模式的“倾向”程度的向量，这是根据数学方法得到的结果；

截断奇异值分解：奇异值分解是矩阵特征值分解在非方针情况下的推广，用来计算描述一般矩阵重要特征的分析方法；很多情况下，前面一小部分的奇异值之和占据了所有奇异值总和的绝大部分，故可以截断前一部分的奇异值来过滤“噪音”，得到矩阵重要的信息，这就是截断奇异值分解；

欧几里得距离：是一个通常采用的距离定义，指在m维空间中两个点之间的真实距离，或者向量的自然长度(即该点到原点的距离)；

模式匹配：在本发明中，模式匹配是指，通过计算若干函数的模式块与目标函数的模式块的欧几里得距离，找到与目标函数模式块最相近的函数。

本发明具体采用如下技术方案：

一种基于编程模式和模式匹配的漏洞聚类的方法，其流程图如图1所示，具体包括以下步骤：

步骤1.编程模式提取，其流程如图2所示；记已知存在漏洞的函数为函数F，对于一个包含(C_f-1)个函数的程序源代码，进行如下步骤的操作：