[发明专利]一种漏洞定位分析系统

说明书

本发明公开了一种漏洞定位分析系统，相较于现有技术的处理方式，该系统不依赖任何源代码信息，只需要收集原始程序二进制文件，和与之对应的升级过后的二进制文件，就可以自动分析两个文件的差别并确认这些差别中哪些是漏洞补丁，因此，该专利极大的减少了数据收集上的困难程度，对于软件市场绝大多数程序来讲，二进制文件更容易获取，特别是对于闭源商业程序，其源代码是不能从外界获取的，因此，该专利相较于现有技术，可以从更多更广的程序中收集漏洞信息。

技术领域

本发明涉及信息收集处理相关技术领域，具体是一种漏洞定位分析系统。

背景技术

程序漏洞是软件安全的主要威胁之一，但在程序开发中，漏洞的存在是几乎无法避免的，且这些漏洞往往在诱发运行错误之前，很难被程序员所察觉，现有技术中，为了尽可能的查找解决这些漏洞，通常利用动态模糊测试，符号执行，或静态代码审计的方法来执行，然而，这些技术都不能提供完整的解决方案来精确的寻找漏洞；动态模糊测试存在代码覆盖问题和初始种子选择上的问题；符号执行由于路径爆炸和约束解决问题，不能很好地扩展到现实生活中的程序；静态代码审计通常需要人类的专业知识，并且在程序复杂性增加时无法很好地进行扩展。

现有技术中在二进制级别的漏洞补丁分析技术具有代表性的有BinDiff，该方案会对比两个相同二进制函数的不同版本，自动提取其中有差异的基本块并标注报告给用户，在一定程度上实现对二进制补丁检测的辅助工作，方便工作人员对这些差异函数的人工确认，BinDiff提供了对函数之间基本块差异的定位工作，但是他不是一个完整的补丁搜索方案，并不能对差异的点进行下一步分析。

因此，现有技术的存在的缺点主要可以概括为两点，分别是：大多数现有的漏洞补丁分析方法都只适用于源代码级别，即封装代码级别，而对于二进制级别的补丁分析，由于只能对没有符号的闭源程序的机器指令进行理解，由于这种复杂性，这通常严重依赖于很多安全专家人工的努力和专业知识或繁重的程序分析技术，对于现实世界的程序来说是不可行的；现有的漏洞补丁分析工具会依赖与漏洞在网络上公布的补丁信息识别漏洞，然而，大部分软件生产厂家可以在不应用CVE编号(一种国际公认的漏洞编号方式)的情况下对漏洞进行秘密修补，这些漏洞补丁信息是未公开发布的，这样，对与现有工具产生很大的阻碍。

发明内容

本发明的目的在于提供一种漏洞定位分析系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种漏洞定位分析系统，包括：

定位修补模块，用于获取原始函数以及修补程序，通过预设的反汇编工具以及二进制比较工具BinDiff获取并比对所述原始函数以及所述修补程序中的匹配函数对，并对所述匹配函数对进行分析，生成候选对；

识别修补模块，用于通过预设的成对基本块对所述候选对中的修补函数进行匹配识别，获取所述修补函数中的修补基本块，通过所述修补基本块构建程序执行路径并获取补丁对应所述原始函数中的原始位置；

补丁识别模块，用于根据程序执行路径以及原始函数执行路径对候选对进行变化判定，生成变化判定结果，所述变化判定用于判断造成所述候选对变化的所述补丁的类型，所述变化判定结果的类型包括安全补丁引起以及非安全补丁引起；

分析总结模块，用于响应所述变化判定结果，若所述变化判定结果类型为安全补丁，则对所述补丁进行污点分析以生成相对应的补丁模式以及漏洞模式，所述漏洞模式用于搜索二进制程序中的同类型补丁或漏洞。

作为本发明的进一步方案：所述函数对F＝{fp,fo|f是二进制程序中的函数}，其中fo 为所述原始函数，fp为修补后的函数，所述fo在修补过程中更改为fp，所述F为一组候选对，所述定位修补模块包括：