[发明专利]用于分析二进制文件的基于生物序列的方案

说明书

在动态计算环境中，验证在环境中运行的代码是一项不平凡的任务，因为用于软件相似性的大多数方法需要二进制文件的大量且耗时的分析，或者这些方案无法识别相似但非完全相同的可执行文件。用于量化可执行二进制文件的相似性的基于生物序列的方法被用于标识在真实世界的多用户环境中允许的代码。

相关申请的交叉引用

本申请根据35U.S.C.§119(e)要求于2015年4月17日提交的标题为“What'sReally Running on Your Cluster：A Biosequence-Based Approach to WhitelistingHPC Applications in a Development Environment”的美国临时专利申请系列No.62/149,126的优先权，其全部内容为了所有目的通过引用方式并入本文。

美国政府机构和政府合同

本发明部分地由美国政府机构资助或与美国政府机构签订合同。美国政府机构的名称和政府合同编号为：经由数据密集计算倡议(DICI)、信息和基础设施完整性倡议(14)、和签名发现倡议(SDI)在太平洋西北国家实验室(PNNL)处的实验室指导研究与开发(LDRD)。西北太平洋国家实验室PNNL由Battelle根据合同DE-ACO6-76RL0-1 830为DOE运行。

技术领域

本发明涉及计算机分析领域。更具体地，本发明涉及软件身份验证。

背景技术

对于诸如高性能计算(HPC)中心和云平台的许多多用户环境，存在日益增加的安全相关的需求以了解这些资源如何被使用。从防止检测不需要或非法代码的能力的低效使用方面，存在系统维护人员应当认识到的一连串期望和不期望的代码。可靠地开发和标识各种网络数据集合(诸如可执行软件语料库(corpus))的签名的科学越来越受到可用软件的速率、数量和复杂性的挑战。随着计算能力、网络带宽和计算周期根据摩尔定律继续增加，新的应用程序将以不断增加的速度上线。特别的，因为应用程序的数量和复杂性的增加以及任何给定应用程序的变体的数量，软件身份验证或标识在给定时间在系统上执行什么二进制文件的挑战越来越困难。二进制文件是文件或代码。一些二进制文件在没有安装程序的情况下起作用。

克隆检测是一种现有的软件分析方案，其可能被用于标识二进制文件家族的高度相似的变体。克隆检测的应用程序通常针对以下目的被应用于大规模的代码库软件：1)在大型软件项目中发现和消除剪切和粘贴分段，因为它们特别容易引入复杂性和错误，2)标识软件抄袭的实例，或3)确保许可代码不含开源代码片段或会危害商业许可的其他软件。

克隆检测通常通过分析源代码或者通过在反汇编的二进制文件(例如汇编指令)上操作来完成。

直接检测相似的二进制文件是许多商业产品和研究项目的目标，其中大部分是基于代码签名的。通常，这些签名是根据二进制文件序列的校验和或向数字表示的其他变换而被构建的，其中查找匹配等同于发现相等的校验和。存在针对这个主题的许多变化，包括针对每个二进制文件计算单个校验和的简单方法。这种精确匹配方法不适合在开发环境中识别二进制文件，因为二进制文件不应当是精确匹配的。同样在云环境中，可能存在很多(几乎完全相同的)变体，事先详尽地特征化它们是不实际的。基于精确匹配的方法失败了，因为通过添加单个无意义指令或改变单个数据字段(诸如内部作者名称或时间戳)导致完全不相关的校验和值。这是因为一般来说，校验和不能保留相似性。