本發明公開了一種基于可執行程序的二進制漏洞檢測方法、系統及存儲介質，該方法包括：采集具有已知漏洞的可執行程序，采用支持VEX中間語言的angr框架的將可執行程序執行流遍歷并轉譯為VEX文本；將VEX文本切割成若干個文本片段，并提取文本片段的關鍵字，并將所有文本片段進行序列化；使用Word2Vec將序列化后的文本片段的關鍵字轉化為具有上下文語義的文本向量；將文本向量轉化為數字向量，并保存文件作為Bi?LSTM網絡模型的輸入，分別設置訓練數據集和驗證數據集對Bi?LSTM網絡模型進行訓練和驗證，返回訓練集與驗證集上的誤差率和相關記錄字典；本發明在漏洞檢測中引入中間語言VEX?IR，一定程度上恢復了程序的執行流，有利于后續算法理解程序邏輯語義和上下文信息并建立相應的漏洞模型。

技術領域

本發明涉及漏洞檢測領域，具體涉及一種基于可執行程序的二進制漏洞檢測方法及系統。

背景技術

漏洞檢測技術是提高軟件質量安全性、減少軟件安全漏洞的重要方法和基本手段，受到學術界和工業界的廣泛關注和高度重視。為了實現漏洞發現的自動化，基于機器學習(MachineLearning，ML)的漏洞發現技術引起了廣泛的關注。

針對利用漏洞挖掘方面的研究，按照針對漏洞挖掘層面的不同可以劃分為源代碼層面和二進制層面兩類。

針對源代碼層面的漏洞挖掘技術主要有控制流分析和符號執行等。

控制流分析技術不需要運行程序，通過直接從程序代碼中收集程序的語義信息，并通過代數的相關算法確定變量的定義和使用，推測程序的可能執行路徑，進而實現漏洞的發現,Khaled?Yakdan等在NDSS?Symposium?2015提出了一種獨立于模式的獨立控制流結構算法—DREAM，可以將非結構化控制流圖轉換為結構化圖的語義保留轉換。在此基礎上，Zhao?D提出了一種基于KNN-SVM的新方案，在現有基礎上提高了精度，能夠有效地搜索二進制代碼中的類似函數并查找漏洞。

符號執行技術使用抽象符號代替程序變量，遍歷代碼執行空間，王鐵磊等人在2011年設計的SymReplayer系統已經形成了不完全依靠源代碼的符號執行技術。最近，北京大學孫基男等人進一步開發出了基于符號執行的注入類安全漏洞的分析技術，進一步發展了符號執行技術的應用。當然，由于程序的執行路徑隨程序規模指數型增長，對于較大型的程序而言，窮舉所有運行路徑終究是很難實現的。另外，還有Fabian?Yamaguchi等提出的一種通過在代碼中提取抽象語法樹來協助安全分析人員發現漏洞的新方向。從總體趨勢上說近些年的很多軟件開發者不愿提供程序的源代碼，針對源代碼的漏洞挖掘可能漸漸落后于潮流。

針對二進制層面的漏洞挖掘技術主要有二進制比對，動態污點跟蹤，fuzzing(模糊檢測)等。

二進制比對技術主要依賴軟件開發方發布的補丁信息進而定位和恢復被修補的漏洞信息，這種方法對于經過高級優化編譯的程序而言缺乏準確度和效率。Debian?Gao等人在2008年提出了較為完善的BinHunt二進制比對技術，但該技術依然不具備足夠的分析性能，只在非常小的范圍內得到應用。

相較于傳統的漏洞挖掘方式，利用機器學習(ML)的新型漏洞挖掘技術不僅在效率、準確性、應用范圍上都具有十分突出的優勢，而且機器學習技術的使用能夠節約大量的人工勞動力。目前機器學習的主要分支有：經驗性歸納學習(empirical?inductivelearning)、分析學習(analytic?learning)、遺傳學習(genetic?learning)、聯結學習(connected?learning)、增強學習(reinforcement?learning)。