[发明专利]基于符号执行生成数据流图的加密算法识别装置及方法

说明书

一种基于符号执行生成数据流图的加密算法识别装置及方法，二进制抽象模块利用反汇编工具和处理器模型将指令集体系架构下的二进制指令转化为数据流图结点；签名构造模块利用签名语言规范和签名语言转换方式，将加密算法对应的签名语言转换为相应的数据流图；符号执行模块利用符号执行构造二进制数据流图；加密算法识别模块通过乌尔曼子图同构在二进制中识别加密算法并输出二进制数据流图。本发明解决了现有技术不具有编译器和源代码无关性、一对多识别结果的问题，在提升识别加密算法精准度的同时，能够在没有源代码的前提下对含有加密算法的可执行文件或程序函数库进行加密算法识别分析。

技术领域

本发明属于物理技术领域，更进一步涉及数据处理技术领域中的一种基于符号执行生成数据流图的加密算法识别装置及方法。本发明可用在安全分析、软件逆向工程等技术领域中，根据对二进制文件反汇编形式进行符号执行从而生成对应的数据流图来对含有加密算法的可执行文件或程序函数库进行加密算法识别分析，其分析结果可用于对软件的安全性进行评估，既可指导软件使用方对带有漏洞的加密原语采取针对性的防御措施，也可指导软件提供方对带有漏洞的加密原语采取针对性修复。

背景技术

加密算法识别涉及密码学使用的二进制文件进行加密原语使用正确与否的分析，从而达到评估二进制文件安全性的目的。为了评估涉及密码学的二进制文件的安全性，首先需要精确地识别和定位二进制文件中的加密原语。然而，随着商用化软件的普及，导致评估方无法获取源码，故传统的以数据常量作为基础的加密识别方法，无法在只有静态二进制文件分析技术手段的前提下，满足精准识别和定位二进制程序加密原语的要求，而以深度学习为基础的加密识别方法依旧需要加密算法实际实现的源码，导致其在实际应用时并不容易实现。

苏州浪潮智能科技有限公司在其申请的专利文献“一种实际攻击场景下加密算法识别方法及装置”(专利申请号CN201911049540.8，申请公布号CN111309987A)中公开了一种基于识别密文长度的加密算法识别方法和装置。该专利申请公开的方法在实际攻击或渗透场景下通过识别密文特殊字符，对密文进行有限次数的编码算法识别，之后再将得到的编码算法对密文字符进行解码，识别解码后字符串长度，最后整理密文长度规则表，将密文字符串长度匹配密文长度规则表，选择匹配的算法输出到结果文件，其结果文件会存在一对一的匹配结果，也会存在一对多的匹配结果。该方法存在的不足之处是，仅将密文长度作为识别加密算法的识别，在加密算法识别过程中未考虑其他识别依据，导致该方法的识别结果中会存在一个算法的多个识别结果，无法精准识别出加密算法的具体类型，只能给出算法对应的多个可能结果。该方法需要对密文进行编码和解码，对不具有相关知识的使用者难度较大。该专利公开的装置是由密文编码识别模块、密文长度识别模块以及加密算法识别模块构成，分别对应该方法的实现过程所描述的功能。其中，密文编码识别模块负责识别密文特殊字符，对密文进行有限次数的编码算法识别，密文长度识别模块负责将得到的编码算法对密文字符进行解码，识别解码后字符串长度，加密算法识别模块负责整理密文长度规则表，将密文字符串长度匹配密文长度规则表，选择匹配的算法输出到结果文件，结果文件会存在一对一的匹配结果，也会存在一对多的匹配结果。该装置存在的不足之处是，密文编码识别模块与密文长度识别模块的实现需要编码和解码的专业知识，实现相对较难；而加密算法识别模块的结果中会存在一对多的匹配结果，无法精准识别出加密算法的具体类型，只能给出算法对应的多个可能结果。