[发明专利]一种基于二进制函数相似性的漏洞检测方法与系统

说明书

本公开提出一种基于二进制函数相似性的漏洞检测方法与系统，涉及数据处理技术领域。本公开一方面针对指令语义进行提取，另一方面针对函数图结构进行向量嵌入，充分考虑指令间顺序出现的概率和指令出现频率，以及函数图结构中节点位置分布代表的高维特征信息，实现函数级别相似性检测准确率的提高。

技术领域

本发明属于漏洞检测技术领域，尤其涉及一种基于二进制函数相似性的漏洞检测方法与系统。

背景技术

软件开发中已经广泛应用到代码复用技术，以加速创新并减少开发的成本，然而这一技术也会带来诸如代码剽窃等版权问题，以及漏洞代码复用等的安全问题。

由于软件发布需要考虑安全性与代码版权问题，所以多是以二进制形式分发。源代码层面的相似性检测技术已经相对成熟，由于源代码中含有的信息十分丰富，有很多商业工具从不同角度进行分析并给出安全建议。不同于源代码级别的相似性检测，同一份源码在编译过程中，目标操作系统、使用的编译工具链、编译选项的不同等，稍有变化，在二进制层面程序便有可能变得截然不同。

为了解决这一场景下复用代码引起的问题，而又不消耗过多人力，研究人员提出二进制代码相似性检测技术。现阶段应用较广的是二进制函数级别的相似性检测技术，通过比较候选函数与目标函数，根据相似性计算得到的相似性分值，判断候选函数是否与目标函数相似，进一步推断候选函数是否具有漏洞或打过补丁。

现有技术中常用的方案为结合自然语言处理与图神经网络对二进制程序的指令和函数进行表征的相关方法。

例如使用图嵌入网络structure2vec对二进制函数的属性控制流图ACFG进行嵌入表征，根据得到的表征向量进行相似性检测，ACFG节点包含有基本块统计特征与结构特征。

又例如使用深度神经网络对结合控制流与数据流信息的语义流图LSFG进行表征，根据表征向量进行相似性检测，其中LSFG中节点仅由基本块统计特征表征。

再例如使用自然语言处理预训练模型Bert对x86下程序指令进行语义学习，学习得到的预训练模型可用于指令表征，能够代替函数图节点表示，实现更高准确率，其解决的是给定目标二进制，判断其是否与漏洞库中具有漏洞的函数具有相似性。

然而，上述方案一方面只针对x86架构下汇编语言进行向量嵌入，另一方面在制作样本时没有考虑指令间顺序出现概率与指令出现频率的特征，导致向量嵌入不准确。并且在进行二进制相似性比较的过程中，在基于函数特征生成嵌入向量时，使用节点嵌入而非全图嵌入表征的方法，无法充分表达图的整体结构。二进制程序因为基本块的不同分布，可以依据功能等划分为不同的分区，而现有方法没有考虑基本块位置分布这一特征，导致特征提取不全面。

发明内容

为了解决上述技术问题，本发明提出了一种基于二进制函数相似性的漏洞检测方案。

本发明第一方面公开了一种基于二进制函数相似性的漏洞检测方法。所述方法包括：步骤S1、获取待测业务文件和目标漏洞文件，利用反汇编工具分别对所述待测业务文件和所述目标漏洞文件进行反汇编处理，以获取所述待测业务文件的汇编指令和所述目标漏洞文件的汇编指令；步骤S2、基于预训练的汇编指令表征模型，将所述待测业务文件的汇编指令和所述目标漏洞文件的汇编指令分别转化为对应的指令级别的表征向量；步骤S3、将对应的指令级别的表征向量转化为对应的基本块级别的表征向量，以基于各个基本块之间的控制依赖关系和数据依赖关系将所述对应的基本块级别的表征向量转化为对应的函数级别的图结构表征，所述函数级别的图结构表征指增强属性控制流图ACFG+；步骤S4、将所述对应的函数级别的图结构表征根据图结构嵌入的方式转化为对应的函数级别的表征向量，并基于所述待测业务文件的函数级别的表征向量和所述目标漏洞文件的函数级别的表征向量之间的相似度来检测所述待测业务文件中的漏洞。