[发明专利]基于二进制映射和深度学习的漏洞检测方法

说明书

本发明公开了一种基于二进制映射和深度学习的漏洞检测方法，主要采用“画像”原理，将包含漏洞的二进制文件映射为灰度图像，然后，利用卷积神经网络在图像分类等领域的优势，提取灰度图像纹理特征，并对其进行迭代训练，最终构建一个面向程序二进制文件的、多平台的漏洞检测模型。本发明的方法可以提高检测效率和准确率。

技术领域

本发明涉及软件安全检测领域，特别是一种基于二进制映射和深度学习的漏洞检测方法。

背景技术

二十一世纪以来，随着信息化、智能化技术的飞速发展，计算机软件的种类和数量呈现爆发式增长，各类软件正参与我们生活的方方面面，与此同时，大众对于应用软件的依赖程度也越来越高。对于软件提供商，如果他们不能完全保证用户隐私安全、信息安全、支付安全等问题，将会对社会造成巨大的负面影响。目前，虽然各大科技公司对网络安全的关注程度越来越高，但类似的事件仍然时有发生，软件安全漏洞问题不容忽视。

传统的漏洞挖掘技术的发展已经趋向成熟，其主要分为静态漏洞挖掘和动态漏洞挖掘。静态漏洞挖掘是指在不运行目标文件的前提下对其进行漏洞分析，主要分析的内容包括语法语义、数据流、控制流等，再结合专家规则，推导程序中可能存在的漏洞。例如GUEB和BitBlaze中的静态分析组件Vine。动态漏洞挖掘是在程序运行过程中，动态对其产生的数据流和控制流进行分析，查找潜在的命令执行、内存误用等安全隐患，例如OllyDbg、DTA等。

近几年，随着人工智能技术的迅速发展，安全专家已经开始使用机器学习的技术来缓解漏洞挖掘领域的一些瓶颈问题。许多大规模的漏洞检测工具相继出现，如VDiscover、VCCFinder、GyoiThon等，这也证明了机器学习在漏洞挖掘领域的可行性。普遍来看，机器学习在漏洞挖掘领域的应用还面临着以下挑战：(1)样本数据难以收集。(2)漏洞挖掘未完全实现自动化。(3)漏洞检测效率和准确率还需要提升。

除了从代码的角度进行漏洞挖掘，在实际应用中，还存在样本数据难以收集的问题，因为很多软件公司并不会把源代码公布出来，从另一个角度考虑，直接在公共网络获取软件厂商编译后的二进制文件作为样本数据则比直接获取源代码会容易很多。除此之外，基于专家规则的漏洞分析方法在检测已经存在的漏洞方面能表现出不错的效果，但是，无法很好的检测出0day漏洞，使用机器学习的方法，从传统漏洞中提取特征，并应用到潜在漏洞检测，是一种可行的办法，并在很多安全专家的实验中得到验证。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种基于二进制映射和深度学习的漏洞检测方法，提高漏洞检测的效率和准确率。

为解决上述技术问题，本发明所采用的技术方案是：一种基于二进制映射和深度学习的漏洞检测方法，包括以下步骤：

1)将包含漏洞的二进制样本文件转化为灰度图像；

1)按自然数序列对样本包含的漏洞类型进行编号，并根据每个灰度图像对应源文件包含的漏洞，以(key，value)的形式生成灰度图像对应的编号，再结合步骤1)生成的灰度图像文件，构建hdf5文件；

2)将hdf5数据文件作为训练数据，对卷积神经网络进行迭代训练；

3)调节训练参数，进行多次训练，直至达到预设训练效果，得到训练好的模型；

4)将待检测二进制文件转化为灰度图像，使用训练好的模型对其进行漏洞检测。

步骤1)的实现过程包括：

1)将一个包含漏洞的二进制文件按位读取为一维数组，读取过程中，取该二进制文件的每8位数据作为该数组一个元素的值，该元素的取值范围为0-255；

2)新建一个二维数组，并使该二维数组每行的宽度固定为256，使用所述一维数组中的数值依次填充该二维数组，从而将一维数组转化成一个具有固定宽度的二维数组；