二进制代码相似度分析及在嵌入式设备固件漏洞搜索中的应用 被引量：9

1

作者 于颖超 甘水滔 +2 位作者 邱俊洋 秦晓军 陈左宁 《软件学报》 EI CSCD 北大核心 2022年第11期4137-4172,共36页

在当今“万物互联”的时代,嵌入式系统逐渐成为接入云端的重要组件,常用于安全和隐私敏感的应用或设备中.然而,其底层软件(即固件)也在频繁遭受着安全漏洞的影响.由于嵌入式设备底层硬件平台的复杂异构,软硬件实现差异较大,且其专用性... 在当今“万物互联”的时代,嵌入式系统逐渐成为接入云端的重要组件,常用于安全和隐私敏感的应用或设备中.然而,其底层软件(即固件)也在频繁遭受着安全漏洞的影响.由于嵌入式设备底层硬件平台的复杂异构,软硬件实现差异较大,且其专用性强、源码/文档等往往不会公开,加之其运行环境受限等原因,使得一些在桌面系统上运行良好的动态测试工具很难(或根本不可能)直接适配到嵌入式设备/固件环境中.近年来,研究人员逐渐开始探索基于二进制相似度分析技术来检测嵌入式设备固件中存在的已知漏洞,并且取得了较大的进展.围绕二进制代码相似度分析面临的关键技术挑战,系统研究了现有的二进制代码相似度分析技术,对其通用流程、技术特征、评估标准进行了综合分析和比较;然后分析并总结了现有二进制代码相似度分析技术在嵌入式设备固件漏洞搜索领域的应用;最后,提出了该领域应用仍然存在的一些技术挑战及未来的一些开放性的研究方向. 展开更多

关键词 二进制代码相似度分析 嵌入式固件 漏洞搜索 深度学习

在线阅读 下载PDF 职称材料

基于用户系统调用序列的二进制代码识别

2

作者 黄海翔 彭双和 钟子煜 《计算机应用》 CSCD 北大核心 2024年第7期2160-2167,共8页

针对编译优化、跨编译器、混淆等带来的二进制代码相似性识别准确率低的问题,提出并实现了一种基于用户系统调用序列的识别方案UstraceDiff。首先,基于Intel Pin框架设计了一个动态分析插桩工具,动态提取二进制代码的用户系统调用序列... 针对编译优化、跨编译器、混淆等带来的二进制代码相似性识别准确率低的问题,提出并实现了一种基于用户系统调用序列的识别方案UstraceDiff。首先,基于Intel Pin框架设计了一个动态分析插桩工具,动态提取二进制代码的用户系统调用序列及参数;其次,通过序列对齐获得被分析的2个二进制代码的系统调用序列的公有序列,并设计了一个有效参数表用于筛选出有效系统调用参数;最后,为评估二进制代码的相似性,提出一种算法利用公有序列及有效参数,计算它们的同源度。使用Coreutils数据集在4种不同的编译条件下对UstraceDiff进行了评估。实验结果表明,相较于Bindiff和DeepBinDiff,UstraceDiff对于同源程序识别的平均准确率分别提高了35.1个百分点和55.4个百分点,对于非同源程序的区分效果也更好。 展开更多

关键词 代码识别 动态分析 系统调用 程序溯源 二进制相似性分析

在线阅读 下载PDF 职称材料

基于LCS和GST算法的代码相似度分析 被引量：1

3

作者 金恩海 殷立曜 王阳睿 《电子技术与软件工程》 2016年第3期180-180,共1页

从上世纪70年代开始,就有大批的学者进行了代码相似度的研究。通过研究前任的方法,我们提出了通过最长公共子序列和贪婪串匹配的方法进行计算预处理之后的代码的相似度,预处理剔除了注释和预编译指令,并把代码转换为单词串,从而保留了... 从上世纪70年代开始,就有大批的学者进行了代码相似度的研究。通过研究前任的方法,我们提出了通过最长公共子序列和贪婪串匹配的方法进行计算预处理之后的代码的相似度,预处理剔除了注释和预编译指令,并把代码转换为单词串,从而保留了程序的结构这一重要属性,使得大大提升了结果的准确性,使得结果更具有参考意义。 展开更多

关键词 代码相似度分析 最长公共子序列 贪婪字符串匹配

在线阅读 下载PDF 职称材料

基于API依赖关系的代码相似度分析 被引量：2

4

作者 姚新磊 庞建民 +1 位作者 岳峰 余勇 《计算机工程》 CAS CSCD 2013年第1期80-84,共5页

针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题,提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式,通过数据依赖关系分析和控... 针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题,提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式,通过数据依赖关系分析和控制依赖关系归一化,消除SCDG中的API噪声和API重排。实验结果表明,与API序列相似度分析方式相比,该方法能提高恶意代码相似度分析的准确性。 展开更多

关键词 恶意代码 相似度分析 数据依赖 控制依赖 系统调用依赖图 Jaccard系数

在线阅读 下载PDF 职称材料

基于代码上下文相似度分析的代码问题修复推荐方法

5

作者 刘霜 吴毅坚 +1 位作者 沈立炜 赵文耘 《计算机应用与软件》 北大核心 2022年第6期21-28,102,共9页

代码静态扫描是用于检测代码异味、潜在缺陷等代码问题(Issue)的重要手段,但开发人员仅根据所给出的问题类型和位置,往往难以快速理解并给出修复问题的方案。提出一种基于代码上下文相似度分析的代码问题修复推荐方法。该方法收集历史... 代码静态扫描是用于检测代码异味、潜在缺陷等代码问题(Issue)的重要手段,但开发人员仅根据所给出的问题类型和位置,往往难以快速理解并给出修复问题的方案。提出一种基于代码上下文相似度分析的代码问题修复推荐方法。该方法收集历史版本中代码问题的修复案例,建立问题修复资源库,根据问题类型、问题代码及上下文、修复代码及上下文对修复案例进行聚类,对每种不同类型的问题建立修复模板,通过对有同类问题的目标代码及其上下文进行相似性分析,从而推荐具体的修复方式。实验结果表明,该方法所采用的问题聚类技术能有效提高对目标问题推荐修复方式的效果。 展开更多

关键词 代码上下文 相似度分析 代码问题修复推荐

在线阅读 下载PDF 职称材料

基于属性相似度的恶意代码检测方法 被引量：4

6

作者 张福勇 秦勇 《沈阳工业大学学报》 EI CAS 北大核心 2017年第6期659-663,共5页

针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-... 针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-gram作为特征属性,分别计算恶意代码和正常文件每一维属性的平均值,通过比较待测样本属性与恶意代码和正常文件两类别属性均值的相似度来判断待测样本类别.结果表明,该方法对未知恶意代码的检测性能优于基于n-gram的恶意代码检测方法. 展开更多

关键词 恶意代码检测 属性相似度 网络与信息安全 入侵检测 数据挖掘 机器学习 未知恶意代码 静态分析

在线阅读 下载PDF 职称材料

基于二进制相似性分析的重现型漏洞检测方法综述

7

作者 王泰彦 李彦霖 +1 位作者 于璐 潘祖烈 《信息对抗技术》 2025年第2期18-43,共26页

在软件研发中,复用开源组件与代码模板已经成为主流,这大大降低了开发成本,但若对含有漏洞的代码进行复用,则会导致软件系统中出现重现型漏洞。随着代码复用愈发广泛,其带来的安全问题受到更多的关注,而现有商业软件如IoT固件程序等大... 在软件研发中,复用开源组件与代码模板已经成为主流,这大大降低了开发成本,但若对含有漏洞的代码进行复用,则会导致软件系统中出现重现型漏洞。随着代码复用愈发广泛,其带来的安全问题受到更多的关注,而现有商业软件如IoT固件程序等大多不公开源码与文档,因此需要在二进制层面进行安全研究与检测。近年来,研究人员将二进制相似性分析技术应用至漏洞检测领域,通过识别软件系统中是否存在已知漏洞的二进制代码,实现了对重现型漏洞的高效检测。为此,围绕重现型漏洞检测技术,首先梳理了现有基于二进制相似性分析的方法,并对相关技术进行系统分类与介绍,主要包括基于二进制本身信息进行分析的研究,以及结合相关源码/补丁辅助分析的研究;其次,对现有研究的实验评估数据集、可用工具与基线方法等进行分析总结;最后,在已有研究的基础上,对现存关键技术问题与未来研究方向进行总结与展望。 展开更多

关键词 代码复用 二进制相似性分析 重现型漏洞 漏洞检测

在线阅读 下载PDF 职称材料

基于约束推导式的增强型二进制漏洞挖掘 被引量：4

8

作者 郑建云 庞建民 +1 位作者 周鑫 王军 《计算机科学》 CSCD 北大核心 2021年第3期320-326,共7页

近年来,使用软件相似性方法挖掘软件中的同源漏洞已经被证明确实有效,但现有的方法在准确率方面还存在一定不足。在原有的软件相似性方法的基础上,文中提出了一种基于约束推导式的增强型相似性方法。该方法引入代码规范化和标准化处理... 近年来,使用软件相似性方法挖掘软件中的同源漏洞已经被证明确实有效,但现有的方法在准确率方面还存在一定不足。在原有的软件相似性方法的基础上,文中提出了一种基于约束推导式的增强型相似性方法。该方法引入代码规范化和标准化处理技术以减少编译环境引起的噪声,使得同源程序在不同编译条件下的反编译代码表示尽量趋于相同;使用程序后向切片技术提取漏洞函数和漏洞补丁函数的约束推导式,通过两者约束推导式的相似性比较,过滤掉易被误判为漏洞函数的补丁函数,以减少漏洞挖掘结果中的误报。基于所提方法,实现了新的漏洞挖掘系统VulFind。实验结果表明,该系统可以提升软件相似性分析的准确率,使得漏洞挖掘结果的准确率得到有效提升。 展开更多

关键词 二进制代码分析 漏洞挖掘 软件相似性 代码规范化 约束推导式

在线阅读 下载PDF 职称材料

基于相似特征的软件安全性缺陷检测算法

9

作者 安喜锋 《西北工业大学学报》 EI CAS CSCD 北大核心 2009年第6期890-895,共6页

文章在全面分析软件系统安全性缺陷的基础上,提出一种基于相似特征的软件安全性缺陷检测算法。针对C语言源代码,应用实例推理CBR的技术原理,通过检测算法将源代码的安全特征与已知安全性缺陷的实例特征进行相似匹配,通过相似度计算来判... 文章在全面分析软件系统安全性缺陷的基础上,提出一种基于相似特征的软件安全性缺陷检测算法。针对C语言源代码,应用实例推理CBR的技术原理,通过检测算法将源代码的安全特征与已知安全性缺陷的实例特征进行相似匹配,通过相似度计算来判定软件代码是否存在安全性缺陷。实验表明该算法有效地提高了缺陷检测的准确性和效率,解决了现有基于规则匹配的检测方法不能快速而准确地处理大型遗产软件和结构较为复杂的软件的问题。同时阈值的定义和选择也提高了检测算法的适应性和灵活性。 展开更多

关键词 相似特征 安全性缺陷 实例推理 相似度 源代码分析

在线阅读 下载PDF 职称材料

程序代码集到特征矩阵文本特征提取算法的研究

10

作者 孙令成 肖铁军 《计算机与数字工程》 2023年第10期2363-2368,2378,共7页

论文基于Verilog语言,从词法分析识别单词开始,结合TF-IDF算法获取代码的文本特征值,其次通过语法分析,使用语法树节点的哈弗曼值作为代码的结构特征值,联合使用文本特征值和结构特征值构成代码向量,然后再对代码向量使用奇异值分解获... 论文基于Verilog语言,从词法分析识别单词开始,结合TF-IDF算法获取代码的文本特征值,其次通过语法分析,使用语法树节点的哈弗曼值作为代码的结构特征值,联合使用文本特征值和结构特征值构成代码向量,然后再对代码向量使用奇异值分解获取其潜在语义空间,最后通过潜在语义空间上余弦相似度获取学生代码之间的相似度值。实现了一种高效的程序代码集到特征矩阵文本特征提取算法,为线上教学教育体系提供了更好的教学质量保障,在经过7种课程实验文件的测试后,最终选取相似度前20%作为阈值,其抄袭检测正确率高达96.7%,表明该算法从编译层的角度实现了抄袭检测,效率较高,且对于学生代码作业的抄袭检测率效果较好,可以帮助教师更好地完成教学工作。 展开更多

关键词 代码抄袭 代码分析 TF-IDF 奇异值分解 余弦相似度

在线阅读 下载PDF 职称材料

一种基于余弦算法的手机病毒检测方法

11

作者 苏晖 王怡然 《网络安全技术与应用》 2020年第4期48-51,共4页

为应对恶意程序给移动互联网安全带来的严峻挑战,本文提出了一种基于余弦算法的手机病毒检测方法。为了解决在病毒多态和变形技术处理后,病毒难于进行有效检测的问题,该方法对二进制程序行为进行跟踪,监视手机内存和寄存器的变化,在中... 为应对恶意程序给移动互联网安全带来的严峻挑战,本文提出了一种基于余弦算法的手机病毒检测方法。为了解决在病毒多态和变形技术处理后,病毒难于进行有效检测的问题,该方法对二进制程序行为进行跟踪,监视手机内存和寄存器的变化,在中间语言层对程序行为进行形式化分析,通过余弦相似度比较达到对手机病毒检测的目的。使用该方法对10种远程控制手机病毒和13种本地文件手机病毒进行了两组分析实验,评估该方法的检测性能。实验结果表明基于余弦相似度算法的手机病毒检测算法可以有效地对手机病毒进行分析和检测,并且具有较小的时间复杂度和空间复杂度。 展开更多

关键词 手机病毒 移动互联网 二进制程序行为 余弦相似度 形式化分析

原文传递