技術領域

本發明涉及一種匯編指令級的漏洞檢測方法，特別涉及一種基于隱馬爾可夫模型的匯編指令級漏洞檢測方法，屬于信息安全技術領域。

背景技術

隨著計算機技術的迅速發展，人類社會的信息化程度越來越高，整個社會的政治、經濟、軍事、文化以及其他領域對計算機信息系統的依賴程度也越來越高。在這種情況下，計算機系統的安全性得到了人們越來越多的關注。然而，大型軟件、系統的編寫需要許許多多程序員共同完成，他們將一個軟件或系統分成若干板塊，分工編寫，然后再匯總，測試；最后再修補、發布，因此在軟件中存在安全漏洞幾乎是不可避免的。軟件漏洞是指軟件設計實現過程中被引入的、在數據訪問或行為邏輯等方面的缺陷。這些漏洞常常被攻擊者利用，從而使程序行為違背一定的安全策略。在大多數情況下，軟件系統的源代碼不可得，因此必須對軟件的可執行程序進行分析，這種針對可執行程序的分析非常困難，因為從中很難發現典型的上下文相關性。基于上述原因，目前對匯編指令級漏洞檢測技術的研究越來越受到重視。

為了檢測到漏洞，相應的分析方法需要具有高覆蓋率和低誤報率/漏報率。自動化的動態檢測方法通常會在可控環境中(通常位于虛擬機中)執行程序，同時監視匯編指令的執行以分析可執行程序的行為特征。然而，動態分析的問題在于其必須運行可執行程序，并且必須執行盡可能多的匯編指令，這會產生大量的系統開銷。特別是當軟件系統進入休眠狀態時，動態檢測方法必須等待軟件的下一次執行，而這意味著更長的分析時間和更多的系統開銷。由于受限于執行遍歷策略，動態分析方法目前只對分析惡意軟件效果較好，因為惡意軟件體積較小。當分析包含海量匯編指令的軟件時，有限的匯編指令執行策略無法對軟件系統的行為特征進行有效分析，也無法對潛在的安全漏洞進行定位。

靜態檢測方法可執行程序的源代碼或匯編指令進行分析，且可以在提高分析覆蓋率的同時減少系統開銷。此類分析方法可以比動態分析方法發現更多的安全漏洞。此外，靜態分析方法可以覆蓋所有可能的匯編指令。

Csaba?Nagy等人提出了一種靜態分析方法(在實施例中稱為“方法1”)，該方法通過識別并跟蹤軟件中與用戶輸入相關的源代碼實現對漏洞的定位。該方法通過掃描源代碼實現分析過程，而不需要運行可執行程序或執行匯編指令。在對源代碼的掃描過程中，該方法采用污點標記技術對安全漏洞進行定位。因此，當無法獲得源代碼時，該方法就無法跟蹤軟件的數據流，也就是說，該方法的分析對象受限于開源軟件系統。

Pattabiraman等人開發了一套安全漏洞檢測系統(在實施例中稱為“方法2”)。該系統分析與關鍵變量相關的源代碼片段。該方法通過控制流分析法判斷需要分析哪些片段，從而為這些源代碼片段構造檢測表達式。由于這種方法也屬于源代碼分析方法，因此該方法無法分析可執行程序。

Hassen?開發了一個分析工具套件，該套件結合了多種靜態分析方法和工具(在實施例中稱為“方法3”)。該套件采用靜態分析方法來分析軟件的可執行程序或匯編指令。該套件采用的方法是生成抽象狀態圖，并將該狀態圖作為中間結構，以共享其輸出并產生分析結果。雖然采用此方法可以降低誤報率，但是該方法只能分析代碼量較小的惡意軟件，而無法分析規模較大的軟件。

現有技術中，很少有能夠對可執行程序或匯編指令進行有效分析的靜態或動態分析方法。現有的匯編指令分析器需要對每一條匯編指令進行掃描并分析，這種方法導致了很高的系統開銷和大量的誤警警報。此外，由于很難從大量的不具有顯著關聯性的匯編指令中定位安全漏洞，因此現有方法能夠從匯編指令中檢測到的安全漏洞比例大約在50％左右，不能滿足實際應用的需求。

本發明使用到一項重要的已有技術：隱馬爾科夫模型。

隱馬爾可夫模型是一種有效的描述存在于離散時間段上的具有關聯關系的數據序列的統計學方法。

隱馬爾科夫模型的理論基礎是在1970年前后由Baum等人建立起來的，隨后有CMU的Baker和IBM的Jelinek等人將其應用到語音識別之中，由于Bell實驗室Rabiner等人在80年代中期對隱馬爾科夫模型的深入淺出的介紹，才逐漸使隱馬爾科夫模型為世界各國從事語音處理的研究員所了解和熟悉，進而成為公認的一個研究熱點。