[发明专利]基于路径驱动的可执行程序安全性检测方法及系统

说明书

 

（一）、技术领域：本发明涉及一种可执行程序的安全性检测方法及系统，特别是涉及一种基于路径驱动的可执行程序安全性检测方法及系统。

（二）、背景技术: 恶意代码已经成为对互联计算机系统的一种严重威胁，每年都会造成巨大的经济损失，更为严重的是恶意代码撰写已经形成了一种特有的经济利益链。安全分析人员每天都会发现大量的恶意代码，以及变异进化后的恶意代码，使得更加难以被检测或者是逃避分析。目前常用的检测机制仍然是基于特征匹配的传统检测手段，这种方法的致命弱点是检测效果的滞后性和单一性。一种新型的病毒出现以后，只有在其发作一段时间后才能提取特征，实施检测防控。另外，一个过时的恶意代码进行深度变异后也很难被有效地检测出来。采用基于行为的恶意代码分析检测技术目前还不是很成熟，程序的某个操作行为究竟是否带有恶意很难判断，大多数情况下某个操作是否允许都是交给用户自行判断处理，容易造成较多的漏判和误判。因此，就很有必要探寻更加实用有效的恶意代码行为分析检测技术，辅助研究分析人员有效进行恶意代码的检测。

（三）、发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种基于路径驱动的可执行程序安全性检测方法及系统，本发明可以大大减小安全分析人员的代码分析工作量。

本发明的技术方案：

一种基于路径驱动的可执行程序安全性检测方法，首先根据系统的正常功能定义目标待分析程序的正常行为约束，而非直接定义针对该系统的恶意行为，然后采用静态程序分析和动态程序执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径，最后，对冗余路径上的程序行为进行语义解释，根据系统正常行为约束判断冗余路径中是否存在针对该系统的恶意攻击行为。

根据系统的正常功能定义目标待分析程序的正常行为约束的过程如下：

第一、 根据产品功能说明书和操作行为规范说明书列举系统的正常功能；

第二、 根据产品功能说明书和操作行为规范说明书列举系统在特殊情况下的表现；

第三、将系统的正常功能和特殊情况下的表现用形式化的语言描述，形成系统正常行为约束集。

形式化的语言为LTL线性时态逻辑语言，或为CTL计算树逻辑语言。

采用静态程序分析和动态执行相结合的方法获得目标待分析程序完成系统正常功能所需要的最大工作闭环和冗余路径的过程如下：

步骤一、利用程序静态分析技术获得目标待分析程序的关键信息，这些关键信息含有目标待分析程序的基本操作单元划分、基本操作单元之间的逻辑跳转关系、路径分支点和路径条件；

步骤二、执行目标待分析程序，根据路径条件对“污点”变量赋值；

步骤三、在路径分支点中的第一个分支节点处中断执行，判断该分支节点处的分支是否涉及“污点”变量；如果该分支节点处的分支涉及“污点”变量，则在分支处对系统做“快照”处理；如果该分支节点处的分支不涉及“污点”变量，则继续执行目标待分析程序，并进入相应的路径分支，如果相应的路径分支涉及“污点”变量，则在相应的路径分支处对系统做“快照”处理，直到该条路径探测完毕；

步骤四、一条路径探测完毕，对该路径上的语义进行解释，判断该路径上主要做了什么操作，并对操作做记录；

步骤五、按照深度优先原则向上回溯至前一分支节点，加载该分支节点处的系统“快照”，在保证系统运行内存一致性的前提下修改该分支节点上的“污点”变量，将程序驱动至其他路径分支，挖掘该路径分支上的行为；

步骤六、判断该路径分支上的行为是否覆盖了系统的正常行为？如不是，重新回到步骤二；如是，则找到了该目标待分析程序的最大工作闭环，未执行到的路径分支为冗余路径。

如今各行各业的各种电子设备几乎都要用到控制程序，而各个程序运行的环境、处理器平台又各不相同。因此针对功能、品种、设计方法互不相同的电子设备，恶意行为可以视为一个无限膨胀的集合，很难给出准确的定义，或者界定其范围。然而，系统的正常功能范围是可以认知的，正常功能多是一些基本操作行为的重新组合，这些基本操作行为需要按照某种规范进行，所以系统的正常行为在某种条件下是可以被充分认识的有限集合。

本发明通过在线提取和系统初步分析的方法，确定系统正常运行时表现出来的行为特征，以此为基础形成对系统正常功能的约束集，然后遍历目标程序的可执行路径。在遍历执行的过程中监测程序是否有违反系统正常功能约束集的行为，定义该种行为为越界行为，并在程序控制流图上对越界行为进行着色标记。最后再通过识别行为特征、逻辑推理的方法进一步地确定可疑攻击路径。