[发明专利]一种基于编程模式和模式匹配的漏洞聚类方法

权利要求书

1.一种基于编程模式和模式匹配的漏洞聚类方法，其特征在于能够将程序内所有函数进行统一分析，根据每个函数中出现的不同的关键词、API符号，将每个函数映射到向量空间，并利用矩阵分析方法提取出这些函数中占据主导地位的编程模式，以及每个函数最倾向的编程模式；通过计算欧几里得距离，将编程模式相近的函数发现并聚类为一类，并藉此发现潜在的、和已知漏洞相似的漏洞。

2.根据权利要求1所述的一种基于编程模式和模式匹配的漏洞聚类方法，其特征在于包括以下步骤：

步骤1.编程模式提取；对于一个包含了Cf个函数的程序源代码，进行如下步骤的操作：

步骤1-1：统计出现的关键词数量Cn，包括：保留字、函数名、变量名；

步骤1-2：为每个函数创建一个维度为Cn的列向量Mi(i＝1,2,…Cf)并一一赋值，然后将创建的Cf个列向量合并为一个Cn*Cf的矩阵M；其中，列向量Vi的每个分量对应于一个程序的关键词；对于一个函数，若它包含了某个关键词，则向量中对应该关键词的分量的值为1；若不包含该关键词，则该值为0；

步骤1-3：根据Cf和Cn，选取合适的数值D；D代表了之后步骤从源代码中提取出的模式种类的数量的最大值；

步骤1-4：对矩阵M进行截断奇异值分解，并取前D个特征，分解之后得到矩阵U,矩阵S,矩阵V；其中:矩阵U为Cn*D阶矩阵，矩阵S为D*D阶矩阵，矩阵V为Cf*D阶矩阵；矩阵U的每一列反映了D种主要的编程模式，显示出该模式里某个关键字的使用频率；矩阵S的对角线上的每个奇异值反映了矩阵U中每个编程模式的重要程度；矩阵V的每一行反映了函数对D种编程模式的“倾向”；

矩阵V的每一行即代表该函数的模式块；

步骤2.模式匹配聚类；对于步骤1中提取出的Cf个函数的模式块，和已知存在漏洞的函数F，进行如下步骤的操作：

步骤2-1：以步骤1中的模式块中选取F所对应的模式块为基准，计算其余函数模式块(Fi[a₁,a₂…a_D])与函数F模式块(F[b₁,b₂...b_D])的欧几里得距离；

步骤2-2：基于步骤2-1得到的结果，从海量函数中筛选出有可能与漏洞函数同类的函数，将具有较近距离即较高相似度的函数聚类为一类，并作为进一步审阅的参考。