本發(fā)明涉及二進制代碼相似性檢測技術領域和圖卷積神經網絡領域，旨在提供一種抗編譯差異的二進制代碼相似性比較技術。該技術的核心是將二進制函數轉換為圖網絡，利用圖嵌入網絡學習函數的語義、語法和結構信息以生成函數的圖嵌入向量表示。該技術的工作流程為將二進制函數轉換為屬性控制流圖，接著提取每個節(jié)點的語法和語義特征。利用圖嵌入網絡分別訓練函數的語法屬性控制流圖和語義屬性控制流圖，最后生成函數的圖嵌入表示。其中在指令級、基本塊級和函數級的嵌入向量聚合時分別采用注意力機制。最后利用生成的嵌入向量進行跨編譯器、跨優(yōu)化級別、跨程序版本和混淆代碼的相似性比較。本技術為二進代碼的相似性檢測提供了一種新的解決方案。

技術領域

本發(fā)明涉及二進制代碼的相似性檢測技術領域和圖卷積神經網絡技術領域。主要核心是結合函數的語法、語義和結構三方面的特征，利用基于注意力機制的圖卷積神經網絡得到函數的語法圖嵌入向量和語義圖嵌入向量，并利用多層注意力機制聚合得到最終函數圖嵌入向量，基于該向量進行最終的跨編譯器、跨優(yōu)化級別、跨程序版本以及混淆代碼中的相似性檢測。

背景技術

代碼相似性檢測是指比較兩個或更多的代碼片段，來判斷它們之間是否存在相似的代碼，其中又可分為源代碼相似性檢測和二進制代碼相似性檢測。二進制代碼相比源代碼缺少了更多的符號信息，而且由于采用不同編譯器、不同優(yōu)化級別、不同程序版本、以及利用混淆技術等原因，導致二進制代碼相似性檢測的難度更大。二進制代碼相似性檢測可以應用到很多領域，如代碼克隆檢測、加密函數識別、惡意代碼檢測、惡意代碼家族分類、漏洞搜索、安全補丁分析等領域。傳統(tǒng)的方法大多基于Hash模糊匹配，最小子圖匹配或者利用符號執(zhí)行、污點分析等技術進行檢測。最近幾年開始出現(xiàn)利用基于機器學習的方法來用于相似性檢測，主要學習函數的語法信息、語義信息和結構信息來構建一個高維的向量表示。但是已有的這些檢測技術仍然存在以下的這些問題。

一、提取的二進制函數的信息不夠全面，如只利用函數的語法信息、或語義信息進行檢測，導致檢測精度較低。

二、已有匯編指令歸一化方法存在嚴重的Out-Of-Vocabulary問題。

三、低魯棒性，不能有效的抵抗跨版本、跨編譯器、跨優(yōu)化級別、跨程序以及混淆技術的干擾。

目前，原有的針對同編譯器版本、同優(yōu)化級別、同程序版本、非混淆的二進制代碼檢查已經完全不能滿足當前的相似性檢測需求，特別是在代碼利用了混淆技術進行保護的情況下，原有技術的檢測精度更低。這迫切需要一種新的方法能夠在當前眾多影響因素的情況下克服這些差異性，以有效提高對二進制代碼進行相似性檢測的準確性。

發(fā)明內容

“一種抗編譯差異的二進制代碼相似性比較技術”是在二進制代碼相似性檢測過程中針對現(xiàn)有技術存在的問題所提出來的發(fā)明。本發(fā)明的一個目標是改善現(xiàn)在檢測方法在面對不同編譯器、不同優(yōu)化級別、不同版本以及混淆技術所帶來的高差異性情況下低檢測精度的問題，提供一種基于分層注意力圖神經網絡的二進制函數嵌入生成技術，以有效的抵抗各種差異性因素的影響，提高檢測精度。本發(fā)明中的檢測方法提供了一種新的檢測思路，通過結合二進制函數的多維度的特征，構建一種新的詞向量生成模型，利用圖卷積神經網絡技術保留函數更多的隱藏信息，從而有效抵抗各種編譯因素的差異性對檢測的準確性造成的影響。該方法可以廣泛的用于各種二進制代碼相似性檢測場景，相比傳統(tǒng)方法，在高差異性條件下的檢測精度有了明顯提升。