[发明专利]基于路径驱动的可执行程序安全性检测方法及系统

权利要求书

1.一种基于路径驱动的可执行程序安全性检测方法，其特征是：首先根据系统的正常功能定义目标待分析程序的正常行为约束，然后采用静态程序分析和动态程序执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径，最后，对冗余路径上的程序行为进行语义解释，根据系统正常行为约束判断冗余路径中是否存在针对该系统的恶意攻击行为。

2.根据权利要求1所述的基于路径驱动的可执行程序安全性检测方法，其特征是：所述根据系统的正常功能定义目标待分析程序的正常行为约束的过程如下：

第一、 根据产品功能说明书和操作行为规范说明书列举系统的正常功能；

第二、 根据产品功能说明书和操作行为规范说明书列举系统在特殊情况下的表现；

第三、将系统的正常功能和特殊情况下的表现用形式化的语言描述，形成系统正常行为约束集。

3.根据权利要求2所述的基于路径驱动的可执行程序安全性检测方法，其特征是：所述形式化的语言为LTL线性时态逻辑语言，或为CTL计算树逻辑语言。

4.根据权利要求1所述的基于路径驱动的可执行程序安全性检测方法，其特征是：所述采用静态程序分析和动态执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径的过程如下：

步骤一、利用程序静态分析技术获得目标待分析程序的关键信息，这些关键信息含有目标待分析程序的基本操作单元划分、基本操作单元之间的逻辑跳转关系、路径分支点和路径条件；

步骤二、执行目标待分析程序，根据路径条件对“污点”变量赋值；

步骤三、在路径分支点中的第一个分支节点处中断执行，判断该分支节点处的分支是否涉及“污点”变量；如果该分支节点处的分支涉及“污点”变量，则在分支处对系统做“快照”处理；如果该分支节点处的分支不涉及“污点”变量，则继续执行目标待分析程序，并进入相应的路径分支，如果相应的路径分支涉及“污点”变量，则在相应的路径分支处对系统做“快照”处理，直到该条路径探测完毕；

步骤四、一条路径探测完毕，对该路径上的语义进行解释，判断该路径上主要做了什么操作，并对操作做记录；

步骤五、按照深度优先原则向上回溯至前一分支节点，加载该分支节点处的系统“快照”，在保证系统运行内存一致性的前提下修改该分支节点上的“污点”变量，将程序驱动至其他路径分支，挖掘该路径分支上的行为；

步骤六、判断该路径分支上的行为是否覆盖了系统的正常行为？如不是，重新回到步骤二；如是，则找到了该目标待分析程序的最大工作闭环，未执行到的路径分支为冗余路径。

5.一种基于路径驱动的可执行程序安全性检测系统，其特征是：该恶意行为分析系统的具体工作过程如下：

步骤a、首先利用产品功能说明书和操作行为规范说明书获得所检系统的正

常功能，并将该正常功能用形式化的语言表示出来，作为所检系统正常行为约束输入到恶意行为分析系统中；

步骤b、提取核心控制芯片内部的目标控制程序，将其反汇编成可调试的源

码，作为恶意行为分析系统的原始输入数据；

步骤c、恶意行为分析系统对源码进行分析预处理，并将不同结构的源码用

统一的中间语言表示，以便于分析，同时提取目标控制程序的控制流图；提取出来的控制流图包含了目标控制程序所有的可执行路径和每条路径上的操作节点；每个操作节点代表目标控制程序中的一个操作基本单元，操作基本单元是按照跳转语句来划分的；

步骤d、对目标控制程序进行静态分析；

步骤e、动态地执行目标控制程序，形成所检系统正常工作情况下的最大工

作状态闭环和越界行为集；针对越界行为集中的操作路径做深度行为特征挖掘，根据所检系统正常行为约束，综合推理判断越界行为集中是否包含有对所检系统状态进行修改或者破坏的行为，进而判断目标控制程序是否含有可疑攻击行为。