本發(fā)明公開了一種基于圖匹配網(wǎng)絡(luò)的二進制代碼相似性檢測方法及系統(tǒng)，本發(fā)明方法包括獲取待測程序?qū)Γ瑢ζ渲械拇郎y程序反匯編獲取過程間控制流圖ICFG及其指令；分別針對待測程序的過程間控制流圖ICFG獲取其中基本塊的初始特征嵌入；通過圖匹配神經(jīng)網(wǎng)絡(luò)得到待測程序?qū)Φ倪^程間控制流圖ICFG的最終嵌入h_G1和h_G2；在向量空間中計算待測程序?qū)Φ倪^程間控制流圖ICFG的最終嵌入h_G1和h_G2之間相似性作為待測程序?qū)Φ南嗨菩詸z測結(jié)果。本發(fā)明通過圖匹配神經(jīng)網(wǎng)絡(luò)得到待測程序?qū)Φ倪^程間控制流圖ICFG的最終嵌入能夠獲取豐富的語義表征，從而能夠有效地提高檢測精確率，對于基于二進制的代碼安全分析有重要的基礎(chǔ)性作用。

技術(shù)領(lǐng)域

本發(fā)明屬于物聯(lián)網(wǎng)安全領(lǐng)域，具體涉及一種基于圖匹配網(wǎng)絡(luò)的二進制代碼相似性檢測方法及系統(tǒng)。

背景技術(shù)

二進制代碼的相似性檢測在關(guān)系國計民生的諸多計算機系統(tǒng)安全方面有著重要的應(yīng)用如：漏洞檢測、軟件剽竊檢測、惡意軟件檢測、代碼重構(gòu)等。隨著物聯(lián)網(wǎng)在智能制造領(lǐng)域的快速應(yīng)用，現(xiàn)代的軍用裝置設(shè)備、大型科研裝置、民用電力、交通、石油化工、制造等行業(yè)的穩(wěn)定運行越來越依賴于信息化的控制系統(tǒng)，其面臨的惡意代碼與漏洞等問題已經(jīng)成為信息系統(tǒng)安全的重要挑戰(zhàn)。特別是源代碼級別的單個錯誤可能會散布在數(shù)百個或更多不同硬件體系結(jié)構(gòu)和軟件平臺的設(shè)備上。近年來的研究結(jié)果表明，市場上80.4％發(fā)行的固件具有多個已知漏洞，這些漏洞已經(jīng)存在了八年之久。在物聯(lián)網(wǎng)等大多數(shù)應(yīng)用場景中，程序的源代碼一般難以獲得。因此，程序二進制代碼相似性分析對于解決計算機系統(tǒng)安全面臨的諸多挑戰(zhàn)有著極為重要的基礎(chǔ)性作用，是提升國家信息安全的迫切需求。

由于現(xiàn)有軟件體系的復(fù)雜性，目前針對二進制代碼的相似性檢測研究尚處于起步階段，且大多基于靜態(tài)分析方法開展研究，靜態(tài)分析方法存在覆蓋率低、難以發(fā)現(xiàn)執(zhí)行過程錯誤、運行安全結(jié)果無法預(yù)測等問題。動態(tài)分析方法無上述問題，具有能夠發(fā)現(xiàn)程序執(zhí)行過程中的安全隱患、容易辨析隱患觸發(fā)條件等優(yōu)點，但動態(tài)分析方法存在代碼結(jié)構(gòu)難以獲知、程序難以被動態(tài)跟蹤等問題。利用圖表示學(xué)習(xí)技術(shù)，將代碼語義與結(jié)構(gòu)等信息嵌入向量進行相似性檢測，可以較好解決傳統(tǒng)二進制代碼分析方法面臨的準確性差、代碼覆蓋范圍不完整以及時間效率低（避免了高耗時的圖匹配算法或動態(tài)執(zhí)行）等問題。

盡管基于圖表示學(xué)習(xí)的二進制代碼相似性檢測具有諸多優(yōu)點，但是還存在三個主要局限性：1）詞匯表征問題。現(xiàn)有的指令級嵌入，無論采用人工特征提取還是基于自然語言處理的預(yù)訓(xùn)練方式，通常將整個指令或指令的部分（操作碼、操作數(shù)）視為一個單詞進行處理，忽略了詞匯不足（OOV）的問題，導(dǎo)致指令級別的數(shù)據(jù)嵌入非常接近原點并缺乏數(shù)據(jù)流混淆魯棒性；2）伸縮性問題；3）現(xiàn)有的方法不能滿足大粒度程序級別的比較需求。因此，如何有效解決二進制代碼相似性檢測的上述問題，已經(jīng)成為一項亟待解決的關(guān)鍵技術(shù)問題，且對于基于二進制的代碼安全分析有重要的基礎(chǔ)性的作用。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題：針對現(xiàn)有技術(shù)的上述問題，提供一種基于圖匹配網(wǎng)絡(luò)的二進制代碼相似性檢測方法及系統(tǒng)，本發(fā)明通過圖匹配神經(jīng)網(wǎng)絡(luò)得到待測程序?qū)Φ倪^程間控制流圖ICFG的最終嵌入能夠獲取豐富的語義表征，從而能夠有效地提高檢測精確率，對于基于二進制的代碼安全分析有重要的基礎(chǔ)性作用。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

一種基于圖匹配網(wǎng)絡(luò)的二進制代碼相似性檢測方法，包括：

1）獲取待測程序?qū)Γ?/p>

2）針對待測程序?qū)χ械拇郎y程序進行反匯編，并獲取過程間控制流圖ICFG及其指令；