[发明专利]一种软件漏洞检测方法、分级响应方法及软件漏洞检测系统

说明书

本发明公开了一种软件漏洞检测方法、分级响应方法及软件漏洞检测系统，该软件漏洞检测方法通过静态分析技术构建软件控制流行为集合，在软件执行过程中通过将每个判断块的特征值和计算验证值的校验代码插入到判断块对应软件代码中，获得每个判断块的实时验证值，并与软件控制流行为特征集合进行实时对比验证，输出软件漏洞检测结果。能够在低性能损耗的情况下进行软件行为的实时监控，准确和高效的检测到程序因受攻击而产生的异常控制流，并且能够定位异常发生位置。该分级响应方法通过在软件出现异常控制流后根据软件行为采取分级的应急响应方案，增强软件和服务的安全性，适合部署于实际生产环境。

技术领域

本发明属于软件漏洞检测技术领域，更具体地，涉及一种软件漏洞检测方法、分级响应方法及软件漏洞检测系统。

背景技术

软件漏洞是信息安全风险的主要根源之一，是网络攻防对抗中的重要目标。无论从国家层面的网络安全战略，还是社会层面的信息安全防护，安全漏洞已经成为信息对抗双方博弈的核心问题之一。

软件漏洞检测和挖掘一直以来都是学术界和工业界的研究热点。主要的研究方案分为两种：基于软件源代码的漏洞静态检测与挖掘和基于二进制程序的漏洞动态检测和分析方案。基于软件源代码的漏洞静态检测方案对源代码进行语法、语意分析，构造程序特征结构，如：控制流程图CFG、数据依赖图DDG等。从危险函数调用、漏洞特征、相似漏洞检测等方面来进行静态分析，然而基于源代码的漏洞检测方案由于缺乏实际执行的程序信息，往往存在极大的误报率，而且对漏洞原理复杂的情况检测效果也不甚理想；基于二进制程序的漏洞检测方案由于缺少函数、变量、变量类型等语义信息，导致在对二进制程序进行漏洞挖掘时，基于源码的漏洞检测技术将不能直接使用。二进制程序漏洞检测方案一般采用监控和代码插桩的方式来获取程序运行时信息，从而进行程序的控制流分析、数据流分析、程序状态不变量分析等技术方案。

综上所述，现有的软件漏洞检测系统有两个不足点。一方面，基于静态分析的漏洞检测方案往往需要软件源代码才能展开有效的分析，这在目前的商业模式下是很难实现的，源码往往仅限企业内部人员做渗透测试使用，外部人员难以接触。此外，由于静态分析方法缺乏程序执行时的信息往往存在较高的误报率。另一方面，基于二进制程序的漏洞检测系统往往需要对程序进行大量的监控和分析，会造成程序运行时的性能损耗。越多的监控损耗往往能带来更高的检测准确率和更高的安全性，但是在实际生产过程中这往往会使程序的可用性下降。因此一种低误报率、高检出率且性能损耗较低的检测方案才是解决软件漏洞检测的有效方案。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种软件漏洞检测方法及软件漏洞检测系统，其目的在于解决现有漏洞检测方法由于对大量的程序进行监控造成性能损耗高的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种软件漏洞检测方法，包括如下步骤：

根据过程间函数调用关系和过程内基本块跳转关系从控制流程图中提取基本块作为判断块，形成判断块控制流；

随机对各个判断块进行赋值获得各个判断块的特征值，根据判断块控制流中判断块是否在循环内确定计算判断块验证值的方式获得判断块计算验证值，根据判断块计算验证值获得软件控制流行为特征集合；

在软件执行过程中通过将每个判断块的特征值和计算验证值的校验代码插入到判断块对应对软件代码中，获得每个判断块的实时验证值，并与软件控制流行为特征集合进行实时对比验证，检测软件行为是否发生异常。

优选地，判断块控制流包括如下步骤：

将软件的控制流程图根据过程间函数调用关系和过程内基本块跳转关系分解为过程间调用控制流程图和过程内调用控制流程图；