[发明专利]一种基于深度学习的无符号二进制间接控制流识别方法

权利要求书

1.一种基于深度学习的无符号二进制间接控制流识别方法，其特征在于，包括以下步骤：

步骤1：引入原始二进制代码文件，原始二进制代码文件中多个字节构成多个指令代码块，多个指令代码块构成多个基本块代码块，多个基本块代码块构成多个函数代码块，根据基本块代码块和函数代码块构建间接调用分支和函数序列，并进一步构建间接跳转的三元组样本、间接调用的三元组样本，对间接跳转的三元组样本和间接调用的三元组样本分别进行标记，生成间接跳转训练集、间接调用训练集；

步骤2：构建神经网络间接跳转目标识别分类模型，将间接跳转训练集中每个间接跳转的三元组样本依次输入神经网络间接跳转目标识别分类模型，进一步分类得到对应的三元组样本预测结果，进一步结合间接跳转样本标签和分类模型的预测标签构建神经网络间接跳转目标识别分类损失函数模型，通过优化训练得到网络的寻优化参数集，根据网络寻优化参数集构建训练后神经网络间接跳转目标识别分类模型；构建神经网络间接调用目标识别分类模型，将间接调用训练集中每个间接调用的三元组样本依次输入神经网络间接调用目标识别分类模型，进一步分类得到对应的三元组样本预测结果，进一步结合间接调用样本标签和分类模型预测的标签建神经网络间接调用目标识别分类损失函数模型，通过优化训练得到网络的寻优化参数集，根据网络寻优化参数集构建训练后神经网络间接调用目标识别分类模型；

步骤3：将待检测的二进制文件通过步骤1提取待检测的二进制中指令代码块、待检测的二进制中基本块代码块、待检测的二进制中函数代码块，对于待检测的二进制中指令代码块，判别是否为间接跳转指令代码块或间接调用指令代码块。

2.根据权利要求1所述的基于深度学习的无符号二进制间接控制流识别方法，其特征在于，

步骤1所述原始二进制代码文件为：

text_i＝{c_i,1,c_i,2,...,c_i,L}

i∈[1,K]

其中，text_i表示第i个原始二进制代码文件，K表示原始二进制代码文件的数量，L表示第i个原始二进制代码文件中字节的数量，c_i,j表示第i个原始二进制代码文件中第j个字节，j∈[1,L]；

步骤1所述原始二进制代码文件中多个字节构成多个指令代码块具体表示为：

Ins_i,k＝{c_{i,sins_k},c_{i,sins_k+1},...,c_{i,sins_k+nins_k-1}}

k∈[1,N_ins]

其中，Ins_i,k表示第i个原始二进制代码文件中第k个指令代码块，N_ins表示第i个原始二进制代码文件中指令代码块的数量，sins_k为第k个指令代码块起始的字节的下标，nins_k表示第k个指令代码块中字节的数量，c_{i,sins_k+j}表示第i个原始二进制代码文件中第k个指令代码块中第sins_k+j+1个字节，j∈[0,nins_k-1]；

步骤1所述多个指令代码块构成多个基本块代码块具体表示为：

B_i,m＝{Ins_{i,sbb_m},Ins_{i,sbb_m+1},...,Ins_{i,sbb_m+nbb_m-1}}

m∈[1,N_bb]

其中，B_i,m表示第i个原始二进制代码文件中第m个基本块代码块，N_bb表示第i个原始二进制代码文件中基本块代码块的数量，sbb_m为第m个基本块代码块起始的指令代码块的下标，nbb_m表示第m个基本块代码块中指令代码块的数量，Ins_{i,sbb_m+j}表示第i个原始二进制代码文件中第m个基本块代码块中第sbb_m+j+1个指令代码块，j∈[0,nbb_m-1]；

步骤1所述多个基本块代码块构成多个函数代码块的具体表示为：

F_i,n＝{B_{i,sfunc_n},B_{i,sfunc_n+1},...,B_{i,sfunc_n+nfunc_n-1}}

n∈[1,N_func]

其中，F_i,n表示第i个原始二进制代码文件中第n个函数代码块，N_func表示第i个原始二进制代码文件中函数代码块的数量，sfunc_n为第n个函数代码块起始的基本块代码块的下标，nfunc_n表示第n个函数代码块中基本块代码块的数量，B_{i,sfunc_n+j}表示第i个原始二进制代码文件中第n个函数代码块中第sfunc_n+j+1个基本块代码块，j∈[0,nfunc_n-1]；

步骤1所述根据基本块代码块和函数代码块构建间接调用分支和函数序列为：

所述间接调用分支：

Br_i,m＝{B_{i,entry_m},e,B_{i,entry_m+1},...,e,B_{i,call_m}}

m∈[1,N_call]

其中，Br_i,m为第i个原始二进制代码文件中第m个间接调用指令代码块所在的间接调用分支序列，N_call表示第i个原始二进制代码文件中间接调用指令代码块的数量，entry_m为第m个间接调用分支序列的入口基本块的下标，entry_m+1为B_{i,entry_m}的后继基本块代码块的下标，call_m为第m个间接调用指令代码块所在基本块代码块的下标；

所述函数序列：

Fs_i,n＝{B_{i,sfunc_n},e,B_{i,sfunc_n+1},...,e,B_{i,sfunc_n+nfunc_n-1}}

n∈[1,N_func]

其中，Fs_i,n为函数F_i,n对应的函数序列，e为函数内部的控制流；

步骤1所述进一步构建间接跳转的三元组样本为：

Jdata_i,k＝(B_i,m,e,B_i,n)

k∈[1,N_{data_jmp}]

其中，Jdata_i,k表示第i个原始二进制代码文件生成的第k个间接跳转数据样本，即第i个原始二进制代码文件中第k个跳转表对应的样本，N_{data_jmp}表示第i个原始二进制代码文件中间接跳转样本的数量，e表示函数代码块内部的控制流，B_i,m为第k个跳转表中间接跳转指令代码块所在的基本块代码块，B_i,n为第k个跳转表所在函数代码块中除B_i,m的任一基本块代码块，即假设B_i,m∈F_i,l，则B_i,n∈F_i,l-{B_i,m}，m,n∈[1,N_bb]；

上述Jdata_i,k对应的第k个跳转表的构成为：

JTable_i,k＝{B_i,m:{B_{i,sjt_k},B_{i,sjt_k+1},...,B_{i,sjt_k+njt_k-1}}}

其中，sjt_k为第k个跳转表起始的基本块代码块的下标，njt_k表示第k个跳转表中跳转条目的数量，B_{i,sjt_k+j}表示第i个原始二进制代码文件中第k个跳转表中第sjt_k+j+1个跳转条目，j∈[0,njt_k-1]；

步骤1所述进一步构建间接调用的三元组样本为：

Cdata_i,k＝(Br_i,k,E,Fs_i,n)

k∈[1,N_{data_call}]

其中，Cdata_i,k表示第i个原始二进制代码文件生成的第k个间接调用数据样本，即第i个原始二进制代码文件中第k个间接调用指令代码块对应的样本，假设为Ins_i,l，N_{data_call}表示第i个原始二进制代码文件中间接调用样本的数量，E表示函数代码块之间的控制流，Br_i,k为第i个原始二进制代码文件中第k个间接调用指令代码块Ins_i,l所在的间接调用分支，基于宽度优先搜索算法构造Br_i,k；Fs_i,n为第i个原始二进制代码文件中的第n个函数F_i,n对应的函数序列，F_i,n为所在二进制代码内任意address-taken函数；

定义CTarget(Ins_i,l)为Ins_i,l实际调用的函数代码块列表，即：

CTarget(Ins_i,l)＝{F_i,ct1,F_i,ct2,...,F_i,ctn}

其中，F_i,ct1,F_i,ct2,...,F_i,ctn为Ins_i,l的实际目标函数；

步骤1所述对间接跳转的三元组样本和间接调用的三元组样本分别进行标记，生成间接跳转训练集、间接调用训练集为：

对于间接跳转的三元组样本即Jdata_i,k＝(B_i,m,e,B_i,n)：

若B_i,n∈JTable_i,k[B_i,m]，则Jdata_i,k的标签标记为Jlabel_{i_k,1}，反之为Jlabel_{i_k,0}；

对于间接调用的三元组样本即Cdata_i,k＝(Br_i,k,E,Fs_i,n)：

若F_i,n∈CTarget(Ins_i,l)，则该样本标记为Clabel_{i_k,1}，反之为Clabel_{i_k,0}；

步骤1所述生成间接跳转训练集，即：

JDATA＝{(Jdata_1,1,Jlabel_{1_1,k1}),(Jdata_1,2,Jlabel_{1_2,k2}),......,(Jdata_{K,Ndata_jmp_k},Jlabel_{K_Ndata_jmp_k,kNjmp})}

其中，JDATA为间接跳转训练集，(Jdata_1,1,Jlabel_{1_1,k1})为数据集中的第一个样本，如前所述，Jdata_1,1为第1个原始二进制代码文件中的第1个样本，Jlabel_{1_1,k1}为Jdata_1,1的标签，k1的取值为0或1；(Jdata_i,j,Jlabel_{i_j,km})为数据集中第m个样本，Jdata_i,j为第i个原始二进制代码文件中的第j个样本，Jlabel_{i_j,km}为其对应的标签，m为该样本在数据集中的下标，其中，i∈[1,K]，j∈[1,N_{data_jmp_i}]，K为原始二进制代码文件的数量，N_{data_jmp_i}表示第i个二进制的间接跳转样本总个数，N_jmp为间接跳转训练集中的样本总数；

步骤1所述生成间接调用训练集，即：

CDATA＝{(Cdata_1,1,Clabel_{1_1,k1}),(Cdata_1,2,Clabel_{1_2,k2}),......,(Cdata_{K,Ndata_call_k},Clabel_{K_Ndata_call_k,kNcall})}

其中，CDATA为间接调用训练集，(Cdata_1,1,Clabel_{1_1,k1})为数据集中的第一个样本，如前所述，Cdata_1,1为第1个原始二进制代码文件中的第1个样本，Clabel_{1_1,k1}为Cdata_1,1的标签，k1的取值为0或1；(Cdata_i,j,Clabel_{i_j,km})为数据集中第m个样本，Cdata_i,j为第i个原始二进制代码文件中的第j个样本，Clabel_{i_j,km}为其对应的标签，m为该样本在数据集中的下标，其中，i∈[1,K]，j∈[1,N_{data_call_i}]，K为原始二进制代码文件的数量，N_{data_call_i}表示第i个二进制的间接跳转样本总个数，Ncall为间接跳转训练集中的样本总数。