[发明专利]程序漏洞的检测系统和方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种程序漏洞的检测系统和方法。

背景技术

一般地，漏洞检测主要可以分为动态检测和静态检测两大类。

其中，动态检测是指通过对程序的运行环境（如环境变量，内存，堆和栈等）进行分析，检测运行程序之后得到的结果与预期结果之间的差异。动态检测一般用于黑盒测试，其优点是不需要修改程序源码或其二进制代码，其缺点在于对漏洞的检测不够完善。比如DEP这种动态检测就仅能检测程序中可能存在的可能导致计算机软件系统遭受栈攻击的漏洞，而并不能检测到程序中存在的可能导致计算机软件系统遭受堆攻击的漏洞。

静态检测则是指不运行程序本身，而是通过分析或检查程序的语法、结构、过程和接口等来检查程序的正确性。静态检测的本质是建立程序的一个状态模型，然后分析程序如何在该状态模型所包含的不同状态之间转换。现有的静态检测已被证实存在缺陷：对程序漏洞的检测不够完善，同时对未知漏洞不能有效的挖掘，缺乏自适应学习的能力。比如，词法分析这一种静态检测是通过提取程序关键语法，并解释其语义，来检测程序是否存在漏洞的。但词法分析仅仅是进行语法上的检测，具体来说是把程序划分成一个个片段，将每个片段与一个以设定好的“词法数据库”进行比较，从而判断程序是否漏洞。该检测方式可以检测到的漏洞非常少，且检测到的往往是一些已知的固定漏洞，误报率相当高。又比如，规则检测这一种静态检测是检测已知漏洞的一种代码扫描技术，对于已知类型漏洞，该技术具有高效且准确率高的特点，但是也不能检测未知类型的漏洞。

发明内容

本发明实施例提供一种程序漏洞的检测系统和方法，用以解决采用现有技术提供的程序漏洞检测方式对程序漏洞的检测不够完善，存在误报率比较高的问题。

本发明实施例采用以下技术方案：

一种程序漏洞的检测系统，包括执行路径模拟生成器、漏洞属性关联生成器和模糊状态自动机检测器，其中：

所述执行路径模拟生成器，用于确定待检测的程序源代码的执行路径信息；并将确定的执行路径信息发送给所述模糊状态自动机检测器；

所述漏洞属性关联生成器，用于根据设置的漏洞库中存储的漏洞信息，生成由多个漏洞关联信息构成的漏洞关联信息集合，其中，每个漏洞关联信息分别由具备逻辑关联的多个漏洞信息构成；并分别确定漏洞关联信息集合中包含的各条漏洞关联信息对于各模糊模式的支持度；其中，各模糊模式分别对应于指定的不同漏洞攻击方式；根据确定的支持度，从所述对应于指定的各漏洞攻击方式的模糊模式中选取模糊模式构成频繁模糊模式集合；以及将频繁模糊模式集合发送给所述模糊状态自动机检测器；

所述模糊状态自动机检测器，用于接收所述执行路径模拟生成器发送的执行路径信息和所述漏洞属性关联生成器发送的频繁模糊模式集合；并根据接收的所述执行路径信息，确定所述程序源代码的执行流程；确定该执行流程与频繁模糊模式集合中包含的模糊模式的匹配度；以及根据所述匹配度，确定所述程序源代码的安全度。

一种检测程序漏洞的方法，包括：

执行路径模拟生成器确定待检测的程序源代码的执行路径信息，并将确定的执行路径信息发送给模糊状态自动机检测器；

漏洞属性关联生成器根据设置的漏洞库中存储的漏洞信息，生成由多个漏洞关联信息构成的漏洞关联信息集合，其中，每个漏洞关联信息分别由具备逻辑关联的多个漏洞信息构成；

漏洞属性关联生成器分别确定漏洞关联信息集合中包含的各条漏洞关联信息对于各模糊模式的支持度，其中，各模糊模式分别对应于指定的不同漏洞攻击方式；

漏洞属性关联生成器根据确定的支持度，从所述对应于指定的各漏洞攻击方式的模糊模式中选取模糊模式构成频繁模糊模式集合，并将频繁模糊模式集合发送给模糊状态自动机检测器；

模糊状态自动机检测器接收执行路径模拟生成器发送的执行路径信息和漏洞属性关联生成器发送的频繁模糊模式集合；

模糊状态自动机检测器根据接收的所述执行路径信息，确定所述程序源代码的执行流程；

模糊状态自动机检测器确定所述执行流程与频繁模糊模式集合中包含的模糊模式的匹配度，并根据所述匹配度，确定所述程序源代码的安全度。

本发明实施例的有益效果如下：