[发明专利]一种基于函数差分的二进制程序漏洞检测方法

说明书

本发明公开了一种基于函数差分的二进制程序漏洞检测方法，针对已知漏洞函数提取补丁特征，并在嫌疑目标函数中进行特征匹配，识别其中是否打过相应补丁，判断是否包含已知漏洞。首先，确定漏洞相关函数，收集包含漏洞函数及修复后函数的二进制代码并进行反汇编处理；其次，利用差分分析技术确定同一函数两个版本间的变化并生成补丁特征；最后，在目标程序中筛选出嫌疑目标函数并定位和表征其中局部关键区域，再通过相似度计算进行特征匹配以检测目标函数是否包含漏洞，并依此完成对目标程序的漏洞检测。本方法的目标是在给定待搜索的已知漏洞后，快速准确地检测出目标程序中是否包含该漏洞，解决了现有基于函数匹配的漏洞检测方法误报率高的问题。

技术领域

本发明属于二进制程序分析及漏洞检测技术领域，特别涉及一种基于函数差分的二进制程序漏洞检测方法。

背景技术

已知漏洞是指那些已发布补丁的漏洞。随着组件化的开发形式日益成熟，各类第三方类库的完备和支持，极大提高了开发效率，然而这样会导致开发者可能无法详细的了解软件的所有组成部分，并且开发人员可能更加注重程序功能逻辑的实现，使用了旧版本的类库，或未能及时更新一些组件，如果这些类库或组件中存在已被发现过、报告过的漏洞，则这些漏洞会继续影响着所开发的程序，形成安全隐患。随着软件产业体系的壮大和完善，各类商业软件和程序得到大力发展，封闭源代码的闭源软件和程序越来越多，二进制代码成为软件的主要存在形式之一，并且使用和依赖这些程序的情况并不少见。因此，在对程序进行漏洞检测时，需要处理无法获得其源码及版本等信息的情况。

目前已有的二进制漏洞检测方法多是基于函数粒度的二进制程序相似性检测技术。以含有已知漏洞的函数作为搜索目标，在待检测文件中进行搜索相似函数，并将有包含相似函数的程序判定为含有漏洞。但此类方法存在明显缺陷，首先，当有漏洞函数与无漏洞函数本身就高度相似时，很容易造成误报，将无漏洞函数判定为有漏洞；其次，随着版本更迭，同一函数在不同版本中可能包含着多处改动(如函数功能更新)，在函数中形成与漏洞无关的改动(可视为噪音)，给函数整体相似性判断造成影响，从而干扰对漏洞的判断，导致错误的判断结果。

发明内容

为了解决上述现有方法误报率高的问题，本发明提供了一种基于函数差分的二进制程序漏洞检测方法，通过构建补丁特征以精确判断二进制程序中是否存在已知漏洞或是否已存在相应补丁。

为了实现上述目的，本发明采用的技术方案是：

一种基于函数差分的二进制程序漏洞检测方法，包括如下步骤：

S1：构建特征提取对象漏洞函数VF与修复后函数PF；

S2：利用二进制函数差分分析技术生成补丁特征，用于补丁识别；

S3：以漏洞函数作为对象，基于二进制函数相似性检测技术在目标程序中筛选出与漏洞函数相似的函数作为嫌疑目标函数TF；

S4：根据依靠目标函数TF生成的有效路径集合与补丁特征的相似性关系对目标函数TF进行补丁识别，若目标函数中能够识别到补丁，则认为该函数中不存在该漏洞，否则认为该函数中仍包含漏洞，包括利用二进制函数差分分析技术确定出目标函数TF中与漏洞相关的局部关键区域，有效路径生成与约减，以及在目标函数TF中进行补丁识别；

S5：判断是否还有尚未分析的漏洞相关函数，若一个漏洞仅影响一个函数，则方法向下继续进行，若一个漏洞影响多个函数，且仍有尚未分析的漏洞相关函数，则方法返回步骤S1继续迭代；

S6：根据对目标二进制程序中与待搜索漏洞相关的全部函数的实际判定情况，对目标二进制程序中是否包含此漏洞进行判定，若一个漏洞仅影响一个函数，对函数的判断结果与对漏洞的判断结果一致；若一个漏洞影响多个函数，则在这些函数中只要有多于一个被判断为含有漏洞的函数或被判断为含有漏洞的函数数量大于或等于被判断为已修复的函数数量时，认为此程序仍然包含此漏洞，否则认为此漏洞已经被修复。