[发明专利]一种软件更新的补丁安全性检测方法及系统

说明书

本发明公开了一种软件更新的补丁安全性检测方法及系统，所述方法包括：通过对补丁预处理，进而进行中间代码分析以获得受补丁影响的基本块，通过这些受补丁影响的基本块得到内存敏感型函数及其变量，从其出发构造主要执行路径；在对路径的进行符号执行的过程中，确定具体的路径条件，到达具体的内存敏感型函数时，结合此时的路径条件和相应的安全检测器来判断是否存在软件更新安全问题。本发明着重于检测软件更新后，新版本相对旧版本不同部分的安全性检测，解决了现有补丁安全性检测方案中存在的误报率、漏报率高，重复性检测导致效率低下以及过度依赖测试集有效性的问题，显著提高了检测效率，进一步提升了补丁安全性检测的准确性。

技术领域

本发明属于软件可靠性研究中的安全领域，具体涉及一种软件更新的补丁安全性检测方法及系统。

背景技术

软件更新迭代是软件生命周期中重要的组成部分，软件补丁用于增加、删除软件功能，或者修复已知的BUG。然而补丁并不都是安全的，一些补丁没有修复现有BUG或者引入了新的安全问题，导致软件崩溃甚至影响到整个计算机系统。如何快速、准确的检测定位补丁可能存在的安全问题对于软件的安全性以及整个系统平台的稳定性都有重要的意义。

传统的软件安全性检测方案将整个软件当作一个整体来对待，主要的分析技术包括静态分析、动态分析和符号执行。静态分析在不执行代码的情况下对程序进行分析，能够分析源代码和二进制代码。静态分析的优势在于代码的覆盖面积大，能够访问内部结构体，根据不同的策略，能够验证代码是否满足规范性、安全性、可靠性、可维护性等指标。然而静态分析忽略了程序的输入以及程序运行时一些上下文的条件，导致误报率较高。动态分析技术通过构造程序输入的同时监控程序的行为来检测到可能出现的安全问题，动态分析考虑了程序执行时期的一些动态信息，因此在一定程度上减少了误报率。但是动态分析的有效性依赖于构建能够触发具体安全问题的输入，同时在可以接受的运行时间和内存空间内不可能覆盖到所有的程序代码，这在一定程度上增加了漏报率。符号执行技术克服了静态测试和动态分析的缺点，符号执行技术在不执行实际程序的前提下，把源程序翻译成一种中间语言，用符号值来取代程序变量的具体值，然后基于中间语言模拟程序执行来进行相关分析，在实际软件的分析过程中有着诸多的优势。但是符号执行技术在分析实际大型程序时存在路径爆炸的问题，同时对程序当中使用的复杂数据结构和复杂操作语句进行建模也相对困难。

传统软件安全性检测方案对于新版本程序中那些已经被检测过的部分仍然需要重新检测，从而造成整体效率的下降。近年来的相关工作主要集中在如何高效、准确的测试新版本相对于上一个旧版本不同的部分，即应用补丁之后所带来的改变部分。但还是需要依赖于现有的一些测试集以及在此基础之上构造快速到达改变部分的测试集，然而生成有效的测试集往往是费时和困难的。

综上所述，现有的软件安全性检测方案存在如下不足：(1)静态分析技术忽略了程序的具体输入和程序执行时上下文条件，存在较高的误报率；(2)动态分析技术在有限的时间空间内没有足够的代码覆盖率，存在较高的漏报率；(3)符号执行技术在分析现实程序过程中存在路径爆炸的问题，有可能导致分析工具的崩溃；(4)现有针对补丁安全性检测的方法依赖于测试集的有效性，且对于复杂的数据结构和语意存在较高的误报率。

发明内容

针对现有技术的缺陷或改进需求，本发明提供了一种软件更新的安全性检测方法及系统，其目的在于，解决了现有针对软件更新的安全性检测方案中存在的误报率、漏报率高，重复性检测导致效率低下以及过度依赖测试集有效性的问题，提供一种针对补丁的高效、准确的安全性检测方法。

为实现上述目的，按照本发明的一个方面，提出了一种软件更新的安全性检测方法，所述方法包括：

(1)对补丁进行预处理，将预处理后的补丁提交到代码仓库，并记录补丁相关信息；

(2)通过所述预处理后的补丁更新对应的旧版本程序文件，生成新版本程序文件；