[发明专利]一种基于深度神经网络的二进制程序模糊测试方法及系统

说明书

本发明公开了一种基于深度神经网络的二进制程序模糊测试方法及系统，属于漏洞挖掘领域，解决现有的CGF模糊测试器浪费了大量时间来测试不易存在漏洞的路径，从而降低了模糊测试的效率。本发明利用带Attention层的Bi‑LSTM深度神经网络从大量脆弱的和安全的执行路径中学习隐藏的脆弱性模式，训练一个预测模型来预测目标程序中的执行路径是脆弱的还是安全的。然后，模糊器对能够覆盖位图，且可能是脆弱的执行路径的测试用例进行优先排序，并为这些测试用例分配更多的变异方法产生更多的变异输入。本发明用于二进制程序模糊测试。

技术领域

一种基于深度神经网络的二进制程序模糊测试方法及系统，用于二进制程序模糊测试，属于漏洞挖掘技术领域。

背景技术

近年来，网络安全事故频发，造成重大经济损失。出现网络安全事故的关键因素是程序中存在漏洞，程序中隐藏的安全漏洞可能导致系统受损，信息泄漏或服务被拒绝。因此漏洞检测技术不管在学术界还是在工业界都是一项研究热点。在网络安全领域，漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。自1990年代初引入以来，模糊测试已成为发现商业软件中的漏洞、错误或崩溃的最有效、可扩展的测试技术之一。它也已被主流软件公司广泛使用，以确保其软件产品的质量。

模糊测试的关键思想是为被测程序(PUT)提供大量精心设计的输入，以触发意外的程序行为，例如崩溃或挂起。基于对PUT内部结构知识的了解，模糊器可以分为白盒，、黑盒和灰盒。白盒模糊测试通常可以访问PUT的源代码或中间表示。他们通常使用繁重的程序分析方法(例如符号执行和路径遍历)来指导模糊测试，因此存在可伸缩性问题。黑盒模糊器完全不了解程序的内部结构，通常会盲目执行随机测试，因此效率极低。灰盒模糊器旨在做出妥协，采用轻量级程序分析方法从程序中获取反馈以指导模糊测试，这通常比黑盒模糊器更有效，比白盒模糊器更具可扩展性。

近年来，使用代码覆盖率作为指导来进行模糊测试的覆盖率指导的灰盒模糊测试(CGF)已成为最成功的漏洞发现解决方案之一。尽管在漏洞发现方面取得了相当大的成功，但CGF模糊测试(例如AFL)具有一个关键限制。当前的模糊测试旨在覆盖尽可能多的路径，而不是探索更容易存在漏洞的路径。他们按照添加顺序从测试用例集中选择测试用例，并且测试能量平均分配给所有程序路径。但是，不同的路径存在漏洞的概率不同。《Thedistribution of faults in a large industrial software system》一文指出，程序中的漏洞分布通常是不平衡的，即大约80％的错误位于大约20％的程序代码中。结果，现有的CGF模糊测试器浪费了大量时间来测试不易存在漏洞的路径，从而降低了模糊测试的效率。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于深度神经网络的二进制程序模糊测试方法及系统，解决现有的CGF模糊测试器浪费了大量时间来测试不易存在漏洞的路径，从而降低了模糊测试的效率。

为了达到上述目的，本发明采用如下技术方案：

一种基于深度神经网络的二进制程序模糊测试方法，包括离线模型训练和在线指导模糊测试；

离线模型训练：

S1、源代码抓取

抓取二进制程序数据集和相应的测试用例，其中，二进制程序数据集包括脆弱程序和安全程序，脆弱程序即指打补丁前的版本，安全程序即指打补丁后的版本；

S2、路径提取与标记

将测试用例作为输入执行相应的二进制程序，并提取执行路径，并对获得的执行路径进行标记，其中，执行路径的每条指令均以字节码形式记录；

S3、路径矢量化

执行词嵌入，即将包含指令字节码的、标记后的执行路径转换为矢量表示，转换后得到的路径向量会保留尽可能多的执行路径原始语义信息；