技術領域

本發明涉及一種計算機軟件漏洞的檢測方法，尤其是涉及一種基于行為特征自動機模型的軟件漏洞檢測方法。

背景技術

軟件漏洞是程序中存在的安全隱患，若被計算機病毒利用，將會對系統造成嚴重危害。雖然已經發現了諸多漏洞，并且建立了漏洞庫，但是已知漏洞行為描述還不完善。在依據這些描述發現未知漏洞過程中，還需要輔助大量人工判斷，自動化推理程度低。

主要問題(1)漏洞庫中的行為特征描述語義太模糊，無法利用現有的特征描述去判斷軟件中存在未知漏洞。

當前漏洞庫對漏洞行為描述主要是語義層的，Google?Chrome任意代碼執行漏洞，他們的漏洞語義描述是“Google?Chrome?17.0.963.46之前版本存在競爭條件錯誤，允許遠程攻擊者通過會觸發效用進程崩潰的向量來執行任意代碼”。這樣的語義描述太不清晰，這種描述只是說明了特定軟件，特定版本號內存在的某種類型漏洞，無法依據這些描述去推理判斷其他類型軟件中是否存在未知漏洞。

主要問題(2)漏洞行為特征的分類和量化太簡單，無法用于未知漏洞檢測。

在Google?Chrome任意代碼執行漏洞進行分類的時候，常見漏洞披露列表CVE采用漏洞庫名字+發現年份+編號的形式，如CVE-2011-3961，這樣的分類信息還不夠。我國國家計算機網絡入侵防范中心對該漏洞采用了自己的編號NIPC-2012-0428，對漏洞類型為競爭性條件錯誤的分類。該分類方法同樣應用在中國國家信息安全漏洞庫漏洞CNNVD-201202-170中。按照漏洞特征屬性方法比時間分類方法已經有了改進。“通用漏洞評分系統”CVSS?V2給出該漏洞的風險等級為：9.3，但是這樣的量化只是說明漏洞具有很高風險等級，量化等級值對于推理判斷并沒有作用。

主要問題(3)在漏洞檢測過程中，采用詞法分析無法檢測出行為漏洞，約束分析方法在追蹤行為控制流中會產生大量噪音，無法清晰表達行為語義。在檢測中還需要輔助大量人工判斷，自動化推理程度比較低。

綜上所述，在追蹤國內外研究現狀的基礎上，發現存在的瓶頸問題：已知漏洞的行為特征描述太模糊，特征的分類和量化結果太簡單，行為特征表現與漏洞的本質聯系不明確，因此無法依據這些特征推理檢測未知漏洞。

發明內容

本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種可根據已知行為特征準確判斷是否存在軟件漏洞的基于行為特征自動機模型的軟件漏洞檢測方法。

本發明的目的可以通過以下技術方案來實現：

一種基于行為特征自動機模型的軟件漏洞檢測方法，該方法包括以下步驟：

1)將具有數據約束的自動機模型從漏洞行為特征庫中載入流程，建立具有數據約束的自動機模型；

2)通過自動機模型將漏洞行為特征庫中的行為特征序列轉換成行為特征語言；

3)通過自動機模型循環判斷行為特征是否具有唯一性或度量行為特征個體間的相似性，若行為特征具有唯一性，則執行步驟4)，若行為特征具有相似性，則執行步驟5)；

4)根據行為特征的語義，自動機模型基于數理邏輯檢測軟件狀態，并報告軟件漏洞的存在性；

5)根據行為特征的語義，自動機模型基于貝葉斯邏輯檢測軟件狀態，并報告軟件漏洞的存在性。

所述的自動機包括有限狀態自動機和行為特征自動機，所述的有限狀態自動機判斷行為特征是否具有唯一性，所述的行為特征自動機度量行為特征個體間的相似性。

所述的基于數理邏輯檢測軟件狀態具體為：

采用命題邏輯或謂詞邏輯表達行為特征語義，自動機模型根據已知行為特征，判斷是否存在軟件漏洞。

所述的基于貝葉斯邏輯檢測軟件狀態具體為：

在行為特征語義的基礎上，利用貝葉斯公式，構建概率邏輯，通過自動機模型判斷是否存在軟件漏洞。

與現有技術相比，本發明可準確根據已知行為特征，檢測軟件漏洞的存在性，從而提高計算機軟件的可靠性和安全性。

附圖說明

圖1為本發明檢測方法的流程示意圖。

具體實施方式

下面結合附圖和具體實施例對本發明進行詳細說明。

實施例

如圖1所示，一種基于行為特征自動機模型的軟件漏洞檢測方法，該方法包括以下步驟：

1)漏洞行為特征庫中已知漏洞行為特征的表示；

11)建立具有數據約束的自動機模型BAR：

BAR＝function(Behavior()，Automaton()，reasoning())