[发明专利]一种基于组件特征权重的二进制软件分析方法

说明书

本发明公开了一种基于组件特征权重的二进制软件分析方法，通过引入多种特征对二进制软件组件进行描述，并对不同的特征根据其对组件的影响程度赋予不同的权重，解决了由于组件特征覆盖不全面而导致的二进制软件分析存在的漏报问题和误判问题，实现了可扩展、应用范围广、效率高的基于特征权重的组件指纹提取与判定方法。

技术领域

本发明属于软件静态检测技术领域，具体涉及一种基于组件特征权重的二进制软件分析方法。

背景技术

组件(Component)是软件系统中具有相对独立功能、接口由契约指定、和语境有明显依赖关系、可独立部署、可组装的软件实体，是对数据和方法的简单封装。对于已知可执行二进制代码，需要快速确定其使用的组件，以及组件关联的漏洞，从而明确二进制代码的安全风险。对于已知存在漏洞的组件，需要快速确定使用该组件的全部二进制代码，从而了解该组件的影响范围。对于已经知的漏洞，需要明确该漏洞所影响的组件和二进制代码，从而确认漏洞造成的风险程度。

现有技术中，Universal Extractor是一个可以从任何类型的存档文件中提取文件的程序，无论是简单的ZIP文件、安装程序(如Wise或NSIS)，还是Windows安装程序(.msi)包。Universal Extractor允许用户从几乎任何类型的存档中提取文件，而不必考虑其来源和压缩方法等。它可以提供一个简单方便的途径以从安装包(例如Inno Setup或WindowsInstaller包)中提取文件，而无需每次使用命令行。AppCheck是一个用于全面检查设备的软件构成和风险状况的分析平台，以帮助开发人员和设备用户提高技术的安全性。但是，上述方法都是根据常量字符串提取特征指纹，此类方法虽然效率高，但是存在漏报、误判、特征覆盖不全面的问题。

发明内容

有鉴于此，本发明提供了一种基于组件特征权重的二进制软件分析方法，通过为不同的特征赋予不同的权重，解决组件识别漏报、误判的问题，通过增加特征项，解决特征覆盖不全面的问题，从而实现了可扩展、应用范围广、效率高的基于特征权重的组件特征提取与判定方法。

本发明提供的一种基于组件特征权重的二进制软件分析方法，提取二进制组件的多个类型的特征，并根据每一特征对组件的影响程度赋予权重，构建组件特征库；

提取待分析的二进制软件中的所述多个类型的特征，将提取出的二进制软件的特征与所述组件特征库内各个组件的相同类型的特征分别进行匹配，如果匹配结果大于阈值，则确定该组件与所述二进制软件相匹配。

进一步地，所述二进制组件的多个类型的特征包括动态符号表、头信息和常量字符串。

进一步地，所述构建组件特征库的具体过程为：

步骤3.1、根据二进制组件i的文件类型通过相应的反汇编方法提取所述组件i的特征，该特征用特征值数组表示，所述组件i的各特征值数组中的特征值的数量为{n₁,n₂,n₃},其中，n₁为动态符号表特征所含元素的数量，n₂为头信息特征所含元素的数量，n₃为常量字符串特征所含元素的数量；

步骤3.2、针对组件i的每一特征值，遍历组件特征库中各组件所有特征的特征值数组，找到存在相同特征值的组件，形成临时匹配结果，再计算组件i的各个特征的特征值数组与临时匹配结果中各组件相应特征的特征值数组的交集，记录每类特征的所有交集中所含元素个数的最大值{m₁,m₂,m₃}，其中，m₁为动态符号表特征的交集所含元素个数的最大值，m₂为头信息特征的交集所含元素个数的最大值，m₃为常量字符串特征的交集所含元素个数的最大值；

步骤3.3、根据如下公式计算组件i的各特征的权重：