[发明专利]一种基于二进制程序的漏洞检测方法及相关设备

说明书

本发明提供一种基于二进制程序的漏洞检测方法及相关设备，属于计算机信息安全技术领域，所述方法包括：基于预先给出的已知漏洞的二进制函数集合，计算所述已知漏洞的二进制函数集合的每个已知漏洞函数与目标二进制程序中所有函数的相似度；当第一已知漏洞函数与所述目标二进制中的第二函数的相似度大于阈值时，则确定所述第二函数与所述第一已知漏洞函数是同源函数，所述第二函数具有与所述第一已知漏洞函数相似的漏洞。本发明基于已知一个漏洞函数的情况下，通过找到目标二进制程序中与已知漏洞函数的同源函数，实现了对目标二进制程序的漏洞检测。

技术领域

本发明涉及计算机信息安全技术领域，尤其涉及一种基于二进制程序的漏洞检测方法及相关设备。

背景技术

漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞是信息系统及网络空间安全的重要影响因素。

漏洞检测是漏洞分析技术的一个重要分支，一般是从已有漏洞出发，查找与其存在同源关系的相似漏洞甚至根据漏洞代码特征发现未公开的漏洞。在源码级别进行漏洞检测的技术已经较为成熟，有许多专业工具可以使用自动化的漏洞检测方法，对程序源码进行检测并提供安全性建议。

但这些专业工具不能检测源码未知的二进制程序。例如当前许多广泛使用的软件的源码是未知的，如商业软件MS Office和免费闭源软件Adobe Reader、Flash，并且由于在开发过程中存在代码重用，当一个第三方代码库中被发现可利用漏洞函数时，重用该代码库中代码的厂商产品中也可能包含相同的漏洞函数，而这些产品可能不公开源代码，只提供二进制程序。因此，二进制程序中的漏洞可以跨软件对不同类型的软件造成安全隐患。因此，迫切需要对二进制程序进行漏洞检测以发现二进制程序中漏洞函数。

发明内容

本发明提供一种基于二进制程序的漏洞检测方法及相关设备，用以解决现有技术中不能准确检测到二进制程序的漏洞函数的问题，实现对二进制程序中的同源漏洞函数的精确检测。

本发明提供一种基于二进制程序的漏洞检测方法，包括：

基于预先给出的已知漏洞的二进制函数集合，计算所述已知漏洞的二进制函数集合的每个已知漏洞函数与目标二进制程序中所有函数的相似度；

当第一已知漏洞函数与所述目标二进制中的第二函数的相似度大于阈值时，则确定所述第二函数与所述第一已知漏洞函数是同源函数，所述第二函数具有与所述第一已知漏洞函数相似的漏洞。

根据本发明提供的一种基于二进制程序的漏洞检测方法，所述计算所述已知漏洞的二进制函数集合的每个已知漏洞函数与目标二进制程序中所有函数的相似度，包括：

将第一已知漏洞函数和第二函数依次进行反汇编和反编译后，提取所述第一已知漏洞函数的AST₁和所述第二函数的AST₂；

对所述第一已知漏洞函数的AST₁和所述第二函数的AST₂，分别进行预处理后输入至孪生神经网络对应的第一Tree-LSTM网络和第二Tree-LSTM网络；

通过所述第一Tree-LSTM网络对所述第一已知漏洞函数的AST₁进行向量编码得到所述第一已知漏洞函数的特征向量，以及通过所述第二Tree-LSTM网络对所述第二函数的AST₂进行向量编码得到所述第二函数的特征向量；

通过孪生神经网络对所述第一已知漏洞函数的特征向量和所述第二函数的特征向量进行相似性计算，得到AST相似度；

对所述AST相似度进行校准，得到所述第一已知漏洞函数和所述第二函数的相似度。