[发明专利]基于可执行程序的二进制漏洞检测方法、系统及存储介质

说明书

本发明公开了一种基于可执行程序的二进制漏洞检测方法、系统及存储介质，该方法包括：采集具有已知漏洞的可执行程序，采用支持VEX中间语言的angr框架的将可执行程序执行流遍历并转译为VEX文本；将VEX文本切割成若干个文本片段，并提取文本片段的关键字，并将所有文本片段进行序列化；使用Word2Vec将序列化后的文本片段的关键字转化为具有上下文语义的文本向量；将文本向量转化为数字向量，并保存文件作为Bi‑LSTM网络模型的输入，分别设置训练数据集和验证数据集对Bi‑LSTM网络模型进行训练和验证，返回训练集与验证集上的误差率和相关记录字典；本发明在漏洞检测中引入中间语言VEX IR，一定程度上恢复了程序的执行流，有利于后续算法理解程序逻辑语义和上下文信息并建立相应的漏洞模型。

技术领域

本发明涉及漏洞检测领域，具体涉及一种基于可执行程序的二进制漏洞检测方法及系统。

背景技术

漏洞检测技术是提高软件质量安全性、减少软件安全漏洞的重要方法和基本手段，受到学术界和工业界的广泛关注和高度重视。为了实现漏洞发现的自动化，基于机器学习(MachineLearning，ML)的漏洞发现技术引起了广泛的关注。

针对利用漏洞挖掘方面的研究，按照针对漏洞挖掘层面的不同可以划分为源代码层面和二进制层面两类。

针对源代码层面的漏洞挖掘技术主要有控制流分析和符号执行等。

控制流分析技术不需要运行程序，通过直接从程序代码中收集程序的语义信息，并通过代数的相关算法确定变量的定义和使用，推测程序的可能执行路径，进而实现漏洞的发现,Khaled Yakdan等在NDSS Symposium 2015提出了一种独立于模式的独立控制流结构算法—DREAM，可以将非结构化控制流图转换为结构化图的语义保留转换。在此基础上，Zhao D提出了一种基于KNN-SVM的新方案，在现有基础上提高了精度，能够有效地搜索二进制代码中的类似函数并查找漏洞。

符号执行技术使用抽象符号代替程序变量，遍历代码执行空间，王铁磊等人在2011年设计的SymReplayer系统已经形成了不完全依靠源代码的符号执行技术。最近，北京大学孙基男等人进一步开发出了基于符号执行的注入类安全漏洞的分析技术，进一步发展了符号执行技术的应用。当然，由于程序的执行路径随程序规模指数型增长，对于较大型的程序而言，穷举所有运行路径终究是很难实现的。另外，还有Fabian Yamaguchi等提出的一种通过在代码中提取抽象语法树来协助安全分析人员发现漏洞的新方向。从总体趋势上说近些年的很多软件开发者不愿提供程序的源代码，针对源代码的漏洞挖掘可能渐渐落后于潮流。

针对二进制层面的漏洞挖掘技术主要有二进制比对，动态污点跟踪，fuzzing(模糊检测)等。

二进制比对技术主要依赖软件开发方发布的补丁信息进而定位和恢复被修补的漏洞信息，这种方法对于经过高级优化编译的程序而言缺乏准确度和效率。Debian Gao等人在2008年提出了较为完善的BinHunt二进制比对技术，但该技术依然不具备足够的分析性能，只在非常小的范围内得到应用。

相较于传统的漏洞挖掘方式，利用机器学习(ML)的新型漏洞挖掘技术不仅在效率、准确性、应用范围上都具有十分突出的优势，而且机器学习技术的使用能够节约大量的人工劳动力。目前机器学习的主要分支有：经验性归纳学习(empirical inductivelearning)、分析学习(analytic learning)、遗传学习(genetic learning)、联结学习(connected learning)、增强学习(reinforcement learning)。