[发明专利]基于多模式匹配的安全漏洞在线发现方法

权利要求书

1.一种基于多模式匹配的安全漏洞在线发现方法，其特征在于，包括以下步骤：

步骤1：判断待测软件目标是否已存在，是转步骤2，否转步骤3；

步骤2：一方面，检测待测软件目标的版本特征值，进行软件版本模式匹配，匹配漏洞库中的已知漏洞；另一方面，使用漏洞扫描插件匹配触发规则进行漏洞扫描检测，更新漏洞库；

步骤3：录入不存在的待测软件目标，分析待测软件目标的二进制文件，通过漏洞模式匹配规则定位漏洞，结合模糊测试技术构造针对型输入数据进行漏洞挖掘分析；

步骤1具体包括：

步骤1.1：查看待测软件目标的指纹信息，获取软件版本信息；

步骤1.2：查找软件库，分析待测软件目标是否已存在；

步骤2具体包括：

步骤2.1：通过待测软件目标的版本特征值查询对应的漏洞库，匹配该版本软件对应的已知漏洞进行在线发现；

步骤2.2：根据步骤1.1获取的指纹信息，进行扫描分析：根据待测软件目标的指纹信息加载漏洞扫描插件库，计算漏洞扫描插件库中漏洞扫描插件的数字签名，匹配证书列表，验证漏洞扫描插件是否合法，并执行合法的漏洞扫描插件，根据漏洞扫描插件执行的返回信息进行判断，当漏洞扫描插件命中漏洞的触发规则时输出漏洞信息，将扫描得到的漏洞信息与已有软件版本对应的漏洞库进行比对去重，将新增漏洞信息按照漏洞库记录内容字段提取之后保存到漏洞库；所述漏洞信息包括漏洞模式、漏洞位置信息和触发路径；

步骤2.1与步骤2.2可以同时执行，也可以顺序执行，顺序可以互换；

步骤2.3：如发现已有软件匹配的未知漏洞，则将漏洞信息与已有软件进行关联；

步骤3具体包括：

步骤3.1：对查询后不存在于软件库中的待测软件目标，将其信息录入软件库中，并与漏洞库中的漏洞信息进行对应，软件库中记录了软件名称、版本和厂家信息；

步骤3.2：分析漏洞模式库中的漏洞模式，根据漏洞模式匹配规则定位漏洞；

步骤3.3：在步骤3.2定位漏洞信息位置后，根据漏洞位置信息和漏洞类型，构造针对性的畸形用例并注入待测软件目标，以触发安全漏洞并验证漏洞，将触发成功并验证通过的安全漏洞按照所述漏洞库记录内容字段进行记录，存入漏洞库并与待测软件目标及其版本相对应。

2.如权利要求1所述的方法，其特征在于，步骤3.2具体包括：

3.2.1、扫描待测软件目标的二进制文件，寻找程序入口点；

3.2.2、对待测软件目标的函数体调用关系进行扫描分析，根据语句类型的不同进行针对性分析，即对函数的使用、跳转逻辑、分支语句、程序执行顺序进行分析；所述语句类型包括函数调用语句、分支语句、顺序执行语句；

3.2.3、按照程序执行顺序逐条与漏洞模式库中的漏洞模式进行匹配，并对匹配成功的程序部分进行约束检测，即检查确定触发漏洞的路径；

3.2.4、在模式匹配与模式约束都成功的前提下，输出漏洞信息。