[发明专利]一种对计算机漏洞库进行改进的方法

说明书

本发明提供了一种对计算机漏洞库进行改进的方法，包括：(1)对样本漏洞程序使用GCC编译器的GCOV编译选项进行插桩并进行重现，获取程序的执行路径；(2)使用Cloc和Lizard工具获取漏洞程序的代码行数和圈复杂度；(3)通过以上获得的数据，对比计算机漏洞库LAVA‑M与样本漏洞程序的区别与联系；(4)从控制流和数据流两个方面对现有的计算机漏洞库(LAVA‑M)进行改进，使之更加趋近于样本；本发明对计算机漏洞库与样本的漏洞进行大规模对比研究，对现有计算机漏洞库的不足进行改进，使之作为基准测试程序可以更全面地评估漏洞检测工具的各项性能。

技术领域

本发明属于计算机技术领域，尤其涉及一种对计算机漏洞库进行改进的方法。

背景技术

为了有效地检测漏洞，近年来众多科研工作者们提出了不同漏洞检测技术，可以分为两类——动态分析技术和静态分析技术。由于静态分析不需要执行目标程序导致其结果经常为假阳性，动态分析由于真正执行目标程序所以其结果更加精确，在漏洞检测上具有更广泛的应用性。其中模糊测试技术(fuzz testing)，已被广泛研究并应用到工业界与学术界中。

作为一种软件测试技术，模糊测试可以分为黑盒，灰盒和白盒模糊测试。黑盒模糊测试对目标程序的内部机制一无所知，只是随机和盲目地生成新的测试输入，因此具有较低的有效性。白盒测试以牺牲可伸缩性为代价从而具有较高的有效性但无法处理大型程序。灰盒测试通过保持两个属性的平衡来兼顾有效性和可伸缩性，近年来受到越来越多的关注，目前应用最为广泛的灰盒模糊测试是American Fuzzy Lop(AFL)。

随着模糊测试工具的全方面发展，对于fuzzer功能的普遍性测试是：通过观察fuzzer在一组基准测试程序(benchmark)上表现出来的结果来评判其性能的优劣。很多研究人员在不同的工作上提出各种各样的基准程序，这些程序总体上可以分为两类：真实程序(漏洞)和人工程序(漏洞)。其中样本程序所包含的漏洞在衡量漏洞检测工具有效性上有许多不足：比如不可把控；随着漏洞检测工具性能的提高，单个基准测试程序的价值都会随着时间下降；真实程序包含的漏洞较为分散等。

因此，为了衡量漏洞检测工具的性能以及其局限性，研究人员一直致力于开发包含软件漏洞的人工基准程序(artificial benchmark，计算机漏洞库)。人们通过向现有程序中注入漏洞(LAVA-M,Rode0day)或精心设计人为的易受攻击程序(CGC)来实现此类计算机漏洞库。与真实漏洞程序相比，计算机漏洞库具有以下优点：可以提供大量已知的确定存在的漏洞(ground truth)；可以综合不同类型漏洞程序的多样性。

尽管计算机漏洞库具有上述优点，但是同时也面临着棘手的问题：这些基准测试程序，无论是计算机漏洞库还是样本的漏洞，都是为了衡量漏洞检测工具的有效性。某些漏洞检测工具在计算机漏洞库上表现良好，但它们在检测真实漏洞上性能可能不佳。例如，Wang发现对于LAVA-M(一种计算机漏洞库)，Angora(基于AFL改进的模糊测试工具)几乎可以检测到它的所有漏洞，AFL只能检测出来部分漏洞。但是对于同样的一些样本的漏洞，在总计8次每次24小时的实验中，AFL可以发现比Angora多62％的漏洞(例如CVE-2017-6966，CVE-2018-11416，CVE 2017-13741)。因此，研究人员对于是否能够采用计算机漏洞库来评价漏洞检测工具的有效性而犹豫不决。然而，现有的工作缺乏对计算机漏洞库能否充分代表真实漏洞的特征的对比和分析，如果不能充分了解计算机漏洞库和真实漏洞的区别和联系，盲目使用计算机漏洞库对漏洞检测工具进行评估是不可靠的，甚至会对结果的准确性产生误导。

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种对计算机漏洞库进行改进的方法，解决现有计算机漏洞库与样本的漏洞程序特征不相符，作为基准测试程序不能很好地衡量漏洞检测工具的各类性能的问题。本发明具体包括以下步骤：