[发明专利]一种基于分组DFA的源代码漏洞检测方法

摘要

本发明提供一种基于分组DFA的源代码漏洞检测方法，所述方法包括：(1)根据常见源代码漏洞特征构造正则表达式；(2)利用分组DFA算法构造特征匹配DFA引擎；(3)根据所述特征匹配DFA引擎进行漏洞检测。本发明对表达式生成的DFA引擎进行优化，优化了正则表达式分组算法，使分组效果更加良好，内存消耗更加优良，减少了软件安全问题带来的巨大损失。

主权项

1.一种基于分组DFA的源代码漏洞检测方法，其特征在于，所述方法包括如下步骤：(1)根据常见源代码漏洞特征构造正则表达式；(2)利用分组DFA算法构造特征匹配DFA引擎；(3)根据所述特征匹配DFA引擎进行漏洞检测；所述步骤(2)中包括如下步骤：步骤2‑1、计算正则表达式生成的DFA节点状态数，确定漏洞特征构建的各个正则表达式之间的两两相互作用情况；步骤2‑2、基于对比正则表达式两两相互作用的结果，对正则表达式进行分组；步骤2‑3、检查是否存在还未分组的漏洞特征正则表达式，若存在，则转到步骤2‑2，否则转到步骤2‑4；步骤2‑4、将各个漏洞特征正则表达式的分组输出，构成源代码漏洞检测的特征匹配DFA引擎；所述步骤2‑1中，包括如下步骤：步骤2‑1‑1、随机选取两个正则表达式编译成DFA；步骤2‑1‑2、若所述两个正则表达式一起编译出的复合DFA包含的状态数，大于两个正则表达式独立的DFA的状态数之和，则这两个正则表达式是相互作用的；所述步骤2‑2中包括如下步骤：步骤2‑2‑1、通过对比正则表达式两两相互作用的结果，找出与其他未分组的正则表达式相互作用最少的正则表达式加入一个新的分组；步骤2‑2‑2、找出所有未分组的正则表达式中与当前所有已分组中的正则表达式之间没有相互作用的正则表达式集合RegEx_Set；步骤2‑2‑3、分别计算集合RegEx_Set中的每个元素与每个已存在分组内部的正则表达式之间的相似度，并计算每个分组的所有相似度的平均值；步骤2‑2‑4、选取所有计算出的相似度平均值最高值，假设此值由正则表达式R1和分组Gn计算得出，则将R1加入分组Gn，将R1标记为已分组；步骤2‑2‑5、检查集合RegEx_Set中是否存在未分组的元素，若存在，则转到步骤2‑2‑4，否则转到步骤2‑2‑6；步骤2‑2‑6、整理各个分组内的正则表达式，并标记各自的分组情况；所述步骤(3)中包括如下步骤：步骤3‑1、构建待测源代码的漏洞正则表达式；步骤3‑2、加载入分组的特征匹配DFA引擎中进行检测；步骤3‑3、待检测源代码的漏洞正则表达式与所述特征匹配DFA引擎中的漏洞正则表达式匹配结果一致，则判定存在漏洞；所述步骤2‑2‑3中，所述正则表达式之间的相似度的计算公式为：式中为DFA₁和DFA₂的相似度，范围为0～1，#(DFA₁)为DFA₁的状态节点数，#(DFA₂)为DFA₂的状态节点数，#(DFA_合并)为DFA₁和DFA₂合并后的状态节点数。