[发明专利]一种基于张量运算的二进制文件代码搜索检测方法及系统

说明书

本发明公开了一种基于张量运算的二进制文件代码搜索检测方法及系统，属于网络空间安全领域。包括：提取各二进制文件的图空间特征；基于图嵌入算法，将各图空间特征编码为对应函数特征矩阵；基于张量奇异值分解算法，分解样本库所有二进制文件的函数特征矩阵构成的张量模型，根据该张量模型的压缩单位矩阵，得到压缩后的各二进制文件的函数特征矩阵；将待检二进制文件的压缩后的特征矩阵和样本库进行比对，得到代码搜索克隆检测结果。将包含所有特征空间嵌入到更小的空间，用更精简的特征表示二进制函数特征，同时处理所有的特征数据，提取相似函数的相关信息以及更精简的函数特征，大大提高了二进制函数检测的效率。

技术领域

本发明属于网络空间安全领域，更具体地，涉及一种基于张量运算的二进制文件代码搜索检测方法及系统。

背景技术

为了更高效地准确地进行二进制函数的克隆检测和恶意检测，需要对非结构化并且跨平台，不同优化编译等级的二进制代码进行数据精细度特征提取和高维大量数据处理。如今神经网络深度学习运用tensor运算进行大量的高维的数据的处理。基于tensor运算的SVD压缩分解算法能够高效地处理高维数据的降维，并且当前二进制文件的特征提取方案研究也非常热门，例如：基于二进制语义分析的二进制函数恶意分析，基于字符串统计的二进制函数克隆分析，以及基于token、hash等静态的二进制函数克隆分析的特征方法。

然而，现有二进制克隆检测方案存在四个问题：第一，对二进制函数多样性编译环境缺乏有效的感知机制，二进制函数克隆函数存在编译条件多样化的问题，同一源码可能因为编译条件等级或者编译平台不同等导致二进制函数不同，需要能够对二进制函数的编译条件具有感知能力；第二，对大规模二进制函数的有效特征提炼缺乏高效方法，当前二进制函数程序已经达到百万级别，一个二进制程序又包含几百到上千个汇编函数，同时二进制程序每天都在不停产生，从数量上讲已经非常庞大；第三，对二进制函数克隆检测精细度特征数据库的更新方法缺乏高效快速的方法，当前的二进制函数克隆检测特征数据库的更新方法过于冗杂，需要对原始的数据重新进行学习训练来更新二进制函数特征数据，重读计算浪费了大量的时间和精力，已经无法适应于大量快速增长的二进制函数。

发明内容

针对现有技术的缺陷和改进需求，本发明的目的在于提供一种基于张量运算的二进制文件代码搜索检测方法及系统，旨在解决现有技术中存在的缺陷，并使得检测者能够根据准确的二进制函数精细度特征快速检测出跨平台和在不同编译结构下相似的二进制函数，从而找出恶意剽窃或者非法抄袭的恶意二进制函数，同时在时间复杂度和空间复杂度上也优于现有技术。

为实现上述目的，按照本发明的一个方面，提供了一种基于张量运算的二进制文件代码搜索检测方法，该方法包括以下步骤：

S1.提取待检二进制文件和样本库中每个二进制文件汇编函数控制流图的代码块属性特征、控制流图的邻接矩阵，构成各二进制文件的图空间特征；

S2.基于图嵌入算法，将各二进制文件汇编函数的图空间特征编码为对应函数特征矩阵；

S3.基于张量奇异值分解算法，分解样本库所有二进制文件的函数特征矩阵构成的张量模型，得到该张量模型的压缩单位矩阵，根据该张量模型的压缩单位矩阵，得到压缩后的各二进制文件的函数特征矩阵；

S4.将待检二进制文件的压缩后的特征矩阵和样本库进行比对，得到代码搜索克隆检测结果。

具体地，步骤S1包括以下子步骤：

S11.提取二进制文件中函数汇编代码的函数控制流图；

S12.提取函数控制流图的每个代码块的特征属性值,同时提取控制流图的邻接矩阵，提取到的控制流图的邻接矩阵和代码块属性特征共同构成图空间特征。

具体地，代码块属性特征包括：6个统计特征和60个操作码特征；