[发明专利]基于神经网络的跨架构二进制函数相似性检测方法及系统

权利要求书

1.一种基于神经网络的跨架构二进制函数相似性检测方法，其特征在于，包含如下内容：针对不同类型的二进制文件，遍历二进制文件函数列表，构建并优化函数控制流图；

针对优化后的函数控制流图，翻译程序基本块字节码，获取中间表示VEX-IR，并生成基本块代码的语义嵌入向量，即利用翻译工具对基本块字节码执行中间表达式翻译，获取中间表示VEX-IR；对中间表示VEX-IR应用自定义抽象规则，并将抽象后的基本块中间表示代码同对应的基本块关联存储；利用PV-DM模型为基本块中间表示代码生成语义嵌入向量，并将该语义嵌入向量同对应的基本块关联存储；

利用广度优先图遍历算法提取优化后的函数控制流图节点，依据节点的语义嵌入向量和控制流信息获取函数嵌入向量，即利用改进的Structure2vec模型学习函数控制流图的函数嵌入向量，其控制流图节点为基本块语义嵌入向量，其中，改进的Structure2vec模型中，利用门控循环单元网络并结合Structure2vec模型构建孪生结构的图嵌入模型，利用GRU网络替换Structure2vec模型中的RNN网络；随机选择训练样本中由同一源码翻译而来的不同二进制函数，构建相似函数对，以及由不同标准库函数二进制代码构建相异函数对，采用有监督训练方法对图嵌入模型进行训练学习，以获取函数嵌入向量；

计算函数嵌入向量之间的余弦距离，利用该余弦距离来度量函数相似度；

针对二进制文件函数列表中每个函数的控制流图，分别执行基本块合并和选择性内联操作来优化函数控制流图；对基本块中未识别的子函数采用选择性内联操作，以恢复基本块内部的空间连续性，该选择性内联操作包含如下内容：针对函数的子函数，当子函数满足设定条件时，对子函数进行内联扩展操作，其中，设定条件为：无已识别的全局函数名，在函数嵌入库中无嵌入向量；且，该子函数只有一个基本块构成，其长度与父函数长度的比值小于设定阈值。

2.根据权利要求1所述的基于神经网络的跨架构二进制函数相似性检测方法，其特征在于，基本块合并中，针对内存中非线性分布但顺序执行的连续基本块，依据基本块的出口和入口情形，在遍历函数的基本块过程中，将只有一个出口的基本块和该基本块后续中只有一个入口的基本块进行合并，若该基本块结尾是无条件跳转指令，则删除该跳转指令。

3.根据权利要求1所述的基于神经网络的跨架构二进制函数相似性检测方法，其特征在于，针对PV-DM模型解决中心词预测的多分类问题，实现基本块语义嵌入。

4.根据权利要求1所述的基于神经网络的跨架构二进制函数相似性检测方法，其特征在于，用训练集中的样本对，并通过反向传播和随机梯度下降方法来更新图神经网络的参数，函数相似度定义为使目标函数值最小化，其中，表示函数嵌入向量，f_n、f_m表示不同二进制函数，K表示样本对个数，Sim()表示函数间相似度；π()表示函数间相似性，该相似性取自为1代表相似、-1代表相异的判别式。

5.一种基于神经网络的跨架构二进制函数相似性检测系统，其特征在于，基于权利要求1所述的方法实现，包含：代码处理模块、向量生成模块和相似度量模块，其中，

代码处理模块，用于针对不同类型的二进制文件，遍历二进制文件函数列表，构建并优化函数控制流图；

向量生成模块，用于针对优化后的函数控制流图，翻译程序基本块字节码获取中间表示，并生成基本块代码的语义嵌入向量；利用广度优先图遍历算法提取优化后的函数控制流图节点，依据节点的语义嵌入向量和控制流信息获取函数嵌入向量；

相似度量模块，用于计算函数嵌入向量之间的余弦距离，利用该余弦距离来度量函数相似度。