[发明专利]一种跨语言的未知可执行程序二进制漏洞分析方法

权利要求书

1.一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：提取漏洞静态代码特征，进而采用特征匹配的方法对漏洞进行定位。对含有特定漏洞的二进制程序进行反汇编，将其汇编代码转换为中间表示(Intermediate Representations,IR)。在对大量漏洞样本分析及漏洞触发机理刻画的基础上，据此进一步分析出其相关属性信息描述。提取程序反汇编代码中的不安全函数调用，构建静态特征模型。

2.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：根据模型，进行特征检测。首先建立不安全函数特征库，用作后续匹配识别。其次遍历函数调用图，获取所有函数的调用点起始地址以及其他信息，并与已建立的不安全函数库进行匹配。若匹配成功则该函数可能会引发缓冲区漏洞。

3.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：收集匹配成功的调用信息，使用机器学习学习其语义特征，建立静态漏洞分类模型。

4.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：对于上述样本，利用模糊测试动态分析，提取特征样本，使用神经网络学习其语义特征，建立基于程序运行后Crash log或引发程序中断、崩溃的异常输入的动态漏洞分类模型。

5.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：整理样本，基于不同代码语言对样本程序的漏洞特征进行分类，将程序的语言特征与漏洞特征关联，建立基于语言特征的漏洞特征库。

6.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：确定需要检测的目标未知二进制可执行程序，将程序分类为远程未知二进制可执行程序和本地未知二进制可执行程序。

7.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：对于远程未知二进制可执行程序，通过模糊测试、符号执行、Fuzzing等得到目标程序的Crash log或引发程序中断、崩溃的异常输入。

8.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：通过机器学习算法推测目标程序使用的源语言类型，或者普适性聚类算法(K-Means、DBSCAN、Agglomerative等)将具有相同语言类型的Crash log引发程序中断、崩溃的异常输入聚类，并与漏洞特征库对比以确定漏洞类型。

9.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：记录Crash log或引发程序中断、崩溃的异常输入后，通过符号执行，动态计算程序运行时路径的约束表达式，求解新的路径条件获得新分支，这些新的分支极有可能未被模糊测试探索到，因此加入到模糊测试的队列中，在之后通过Fuzzing对新路径生成有针对性样本后进行测试。

10.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：收集的Crash log或引发程序中断、崩溃的异常输入通常是一些字符的集合，因此使用离散化编码方式对某些特征进行One-Hot、Label Encoding编码提取特征向量；通过机器学习或深度学习等方法推测漏洞的具体类型，如栈溢出漏洞(Stack-Overflow)、堆溢出漏洞(Heap-Overflow)、释放后重引用漏洞(Use-after-Free)、双重释放漏洞(Double-Free)、越界访问漏洞(Out-of-Bounds)等。

11.根据权利要求1所述的一种跨语言的未知可执行程序二进制漏洞分析方法,其特征在于：对于本地二进制可执行程序，利用静态分析的方式，提取其代码以及语言特征，将其以不同语言分类后，对其进行危险代码特征的分析，并与建立的不同语言静态漏洞特征库进行对比，确定可执行程序漏洞类型。