[发明专利]一种基于神经网络的漏洞检测方法及装置

说明书

本发明提供一种基于神经网络的漏洞检测方法及装置，所述方法包括：利用已知漏洞的二进制文件作为训练样本，利用提取二进制文件的函数对应的特征向量方法，提取与二进制文件的函数对应的特征向量，训练神经网络模型；得到训练好的神经网络模型；向所述训练好的神经网络模型输入目标二进制文件的函数对应的特征向量，以及与该目标二进制文件同源的、并且已知漏洞的二进制文件的函数对应的特征向量；进行函数级别相似性比较，根据相似性比较结果，检测目标二进制文件的漏洞。根据本发明的方案，充分考虑了代码的语义信息，能够准确检测到跨体系的二进制文件的漏洞。

技术领域

本发明涉及计算机信息安全领域，尤其涉及一种基于神经网络的漏洞检测方法及装置。

背景技术

随着计算机信息技术的飞速发展，网络空间安全日益重要，因为软件漏洞导致的网络事件呈高发趋势，对网络空间安全造成了很大的威胁。漏洞分析技术成为网络安全领域的研究热点。

漏洞检测是漏洞分析技术的一个重要分支，多是从已有漏洞出发，查找与其存在同源关系的相似漏洞甚至根据漏洞代码特征发现未公开的漏洞。在源码级别进行漏洞检测的技术已经较为成熟，有许多专业工具可以使用自动化的漏洞检测方法，对程序源码进行检测并提供安全性建议。但这些工具不能检测源码未知的二进制文件。例如当前许多广泛使用的软件的源码是未知的，如商业软件MS Office和免费闭源软件Adobe Reader、Flash，并且由于在开发过程中存在代码重用，并使用第三方组件，因此，即使这些软件的源码是未知的，但第三方组件中的漏洞也会扩散到这些二进制应用软件中。二进制应用软件中的组件漏洞可以跨软件对不同类型的软件造成安全隐患。因此，迫切需要对二进制软件进行漏洞检测。

同时，越来越多的软件针对不同的CPU架构进行交叉编译，由于不同架构的二进制文件在指令集、函数偏移量和函数调用约定方面存在差异，会导致某个在特定体系结构（如intel x86）下受到广泛关注的漏洞得到了修复，但与其源码相同但应用于另一个体系结构（如ARM）的文件中的漏洞并未得到发现及关注，仍存在相当大的安全隐患。如果交叉编译的软件中包含了广泛使用的但是存在漏洞的第三方组件，会导致漏洞不仅在传统PC机上传播到可执行文件，还会传播于硬件攻击厂商使用该代码库在不同CPU架构上运行不同设备编译的固件，所述不同设备可以是家用路由器、摄像头、VoIP电话。在实际应用中，固件厂商经常在发布的固件中包含很多第三方组件，并且部分代码发布年代较为久远，且这些组件代码在出现漏洞后，固件厂商并不会及时更新其固件中的相应代码，例如，在OpenSSL中发现了HeartBleed漏洞之后，在各种体系结构，如x86、MIPS、ARM、PowerPC等体系结构上运行的受影响的闭源代码软件越来越多。

由源码编译为二进制文件过程中，编译器会对代码进行优化，出现函数内联、指令重排序、指令转换、冗余消除等，这样，即使使用相同的编译器编译源代码，也可能会生成改变的二进制文件。而同一源码可以针对不同CPU架构进行交叉编译，导致的指令、函数调用方面存在的差异导致跨架构的二进制文件漏洞检测更为困难。

现有的检测二进制文件漏洞的方法有，Pewny等人提出的使用漏洞签名来搜索二进制代码中不同体系结构的已知漏洞，该方案对于大型代码库效率较低，无法进行有效扩展。Eschweiler等人解决的是在不同编译器、不同编译选项、不同操作系统和不同CPU架构条件下的大规模二进制漏洞搜索问题。