?

（一）、技術(shù)領(lǐng)域：本發(fā)明涉及一種可執(zhí)行程序的安全性檢測方法及系統(tǒng)，特別是涉及一種基于路徑驅(qū)動的可執(zhí)行程序安全性檢測方法及系統(tǒng)。

（二）、背景技術(shù):?惡意代碼已經(jīng)成為對互聯(lián)計算機系統(tǒng)的一種嚴重威脅，每年都會造成巨大的經(jīng)濟損失，更為嚴重的是惡意代碼撰寫已經(jīng)形成了一種特有的經(jīng)濟利益鏈。安全分析人員每天都會發(fā)現(xiàn)大量的惡意代碼，以及變異進化后的惡意代碼，使得更加難以被檢測或者是逃避分析。目前常用的檢測機制仍然是基于特征匹配的傳統(tǒng)檢測手段，這種方法的致命弱點是檢測效果的滯后性和單一性。一種新型的病毒出現(xiàn)以后，只有在其發(fā)作一段時間后才能提取特征，實施檢測防控。另外，一個過時的惡意代碼進行深度變異后也很難被有效地檢測出來。采用基于行為的惡意代碼分析檢測技術(shù)目前還不是很成熟，程序的某個操作行為究竟是否帶有惡意很難判斷，大多數(shù)情況下某個操作是否允許都是交給用戶自行判斷處理，容易造成較多的漏判和誤判。因此，就很有必要探尋更加實用有效的惡意代碼行為分析檢測技術(shù)，輔助研究分析人員有效進行惡意代碼的檢測。

（三）、發(fā)明內(nèi)容：

本發(fā)明要解決的技術(shù)問題是：克服現(xiàn)有技術(shù)的缺陷，提供一種基于路徑驅(qū)動的可執(zhí)行程序安全性檢測方法及系統(tǒng)，本發(fā)明可以大大減小安全分析人員的代碼分析工作量。

本發(fā)明的技術(shù)方案：

一種基于路徑驅(qū)動的可執(zhí)行程序安全性檢測方法，首先根據(jù)系統(tǒng)的正常功能定義目標待分析程序的正常行為約束，而非直接定義針對該系統(tǒng)的惡意行為，然后采用靜態(tài)程序分析和動態(tài)程序執(zhí)行相結(jié)合的方法獲得目標待分析程序完成系統(tǒng)正常功能所需要的最大工作閉環(huán)和冗余路徑，最后，對冗余路徑上的程序行為進行語義解釋，根據(jù)系統(tǒng)正常行為約束判斷冗余路徑中是否存在針對該系統(tǒng)的惡意攻擊行為。

根據(jù)系統(tǒng)的正常功能定義目標待分析程序的正常行為約束的過程如下：

第一、?根據(jù)產(chǎn)品功能說明書和操作行為規(guī)范說明書列舉系統(tǒng)的正常功能；

第二、?根據(jù)產(chǎn)品功能說明書和操作行為規(guī)范說明書列舉系統(tǒng)在特殊情況下的表現(xiàn)；

第三、將系統(tǒng)的正常功能和特殊情況下的表現(xiàn)用形式化的語言描述，形成系統(tǒng)正常行為約束集。

形式化的語言為LTL線性時態(tài)邏輯語言，或為CTL計算樹邏輯語言。

采用靜態(tài)程序分析和動態(tài)執(zhí)行相結(jié)合的方法獲得目標待分析程序完成系統(tǒng)正常功能所需要的最大工作閉環(huán)和冗余路徑的過程如下：

步驟一、利用程序靜態(tài)分析技術(shù)獲得目標待分析程序的關(guān)鍵信息，這些關(guān)鍵信息含有目標待分析程序的基本操作單元劃分、基本操作單元之間的邏輯跳轉(zhuǎn)關(guān)系、路徑分支點和路徑條件；

步驟二、執(zhí)行目標待分析程序，根據(jù)路徑條件對“污點”變量賦值；

步驟三、在路徑分支點中的第一個分支節(jié)點處中斷執(zhí)行，判斷該分支節(jié)點處的分支是否涉及“污點”變量；如果該分支節(jié)點處的分支涉及“污點”變量，則在分支處對系統(tǒng)做“快照”處理；如果該分支節(jié)點處的分支不涉及“污點”變量，則繼續(xù)執(zhí)行目標待分析程序，并進入相應(yīng)的路徑分支，如果相應(yīng)的路徑分支涉及“污點”變量，則在相應(yīng)的路徑分支處對系統(tǒng)做“快照”處理，直到該條路徑探測完畢；

步驟四、一條路徑探測完畢，對該路徑上的語義進行解釋，判斷該路徑上主要做了什么操作，并對操作做記錄；

步驟五、按照深度優(yōu)先原則向上回溯至前一分支節(jié)點，加載該分支節(jié)點處的系統(tǒng)“快照”，在保證系統(tǒng)運行內(nèi)存一致性的前提下修改該分支節(jié)點上的“污點”變量，將程序驅(qū)動至其他路徑分支，挖掘該路徑分支上的行為；

步驟六、判斷該路徑分支上的行為是否覆蓋了系統(tǒng)的正常行為？如不是，重新回到步驟二；如是，則找到了該目標待分析程序的最大工作閉環(huán)，未執(zhí)行到的路徑分支為冗余路徑。

如今各行各業(yè)的各種電子設(shè)備幾乎都要用到控制程序，而各個程序運行的環(huán)境、處理器平臺又各不相同。因此針對功能、品種、設(shè)計方法互不相同的電子設(shè)備，惡意行為可以視為一個無限膨脹的集合，很難給出準確的定義，或者界定其范圍。然而，系統(tǒng)的正常功能范圍是可以認知的，正常功能多是一些基本操作行為的重新組合，這些基本操作行為需要按照某種規(guī)范進行，所以系統(tǒng)的正常行為在某種條件下是可以被充分認識的有限集合。

本發(fā)明通過在線提取和系統(tǒng)初步分析的方法，確定系統(tǒng)正常運行時表現(xiàn)出來的行為特征，以此為基礎(chǔ)形成對系統(tǒng)正常功能的約束集，然后遍歷目標程序的可執(zhí)行路徑。在遍歷執(zhí)行的過程中監(jiān)測程序是否有違反系統(tǒng)正常功能約束集的行為，定義該種行為為越界行為，并在程序控制流圖上對越界行為進行著色標記。最后再通過識別行為特征、邏輯推理的方法進一步地確定可疑攻擊路徑。????