[发明专利]基于神经网络和专家规则结合的漏洞检测方法及系统

说明书

本发明涉及一种基于神经网络和专家规则结合的漏洞检测方法，包括：步骤1，使用专家规则和代码执行树将源代码转换为代码片段进而利用BiLSTM提取执行逻辑特征；步骤2，利用从步骤1中的代码片段中提取控制操作和数据操作语义，利用1D‑CNN构建操作图特征；步骤3，结合步骤1与步骤2的两种特征进行组合检测。对应该方法，本发明还给出了一种基于神经网络和专家规则结合的漏洞检测系统，包括基于专家规则和BiLSTM模型的特征提取检测模块，基于代码操作语义和CNN模型的漏洞特征提取检测模块，基于双维度特征融合的漏洞检测模块。本发明在智能合约和软件安全的两种场景中，检测的效果和场景适应鲁棒性有了很大的提升。

技术领域

本发明属于网络信息安全技术领域，涉及静态代码漏洞库构建和深度学习特征工程及漏洞检测技术，特别涉及基于代码执行逻辑和专家规则的个性化漏洞模式特征提取及结合专家规则和统计性规则的检测系统。

背景技术

在互联网发展的过程中，每年都会有大量的软件被生产，随之带来的则是大量安全漏洞的出现。漏洞通常是被开发人员忽略，以隐蔽的方式出现，如：0day漏洞、缓冲区溢出漏洞、栈溢出漏洞等。软件漏洞对社会稳定、经济以及公民的个人利益造成严重的危害和难以估量的损失。

随着网络攻击的手段越来越丰富，很多攻击并不单一利用单个漏洞进行攻击，而是利用多个漏洞。但是漏洞的产生是无法预知的，所以漏洞检测是一个值得研究的领域。

最初较为流行的方法是基于手动定义的模式来检测漏洞，但还是存在很多的局限性。比如基础符号执行的漏洞检测具有成本高，无法应用于大型程序的局限性；基于规则的漏洞检测更多依赖于专家带有主观性定义的漏洞规则，且由于专家人工定义，会导致误报率相对较高。基于手动定义模式检测技术的出现，推动了漏洞检测领域的发展，但同时也带来了相对繁琐的工作。所以如何更便捷，更准确的进行检测成了下一步的目标。

因此，就有人提出了利用机器学习，机器学习是构建工具和模型以识别常见软件漏洞的可行方法。它的工作原理是首先从训练样本中，学习显示脆弱程序的潜在模式。然后，机器学习模型可以应用到新的软件项目中，以识别潜在的易受攻击的代码，这些代码与训练数据中那些易受攻击的样本的模式相似。现在有足够的证据表明，机器学习技术可以超过专业规则检测常见代码漏洞或bug。该解决方案减少了专家的工作量，因为他们只需要大致定义学习基于机器学习的模型的特性，而不是手动定义漏洞模式。

但是与传统的机器学习技术相比，研究人员已经开始使用深度学习来检测漏洞，传统的机器学习技术应用于漏洞检测仍然需要专家来定义特征，这在很大程度上依赖于专家的经验、专业水平和领域知识深度。有了深度学习，代码片段可以直接用于学习，而不需要手动提取特征，从而将专家从耗时且可能容易出错的特征工程任务中解脱出来。

尽管深度学习能够减少专家干预，解放部分人工成本，能够更大可能检测出潜在的漏洞，但依然存在未解决的弱点。一是由于基于专家规则的漏洞检测模式漏报多，但对于漏洞的筛选较为直接且判断准确。已知漏洞和经典漏洞可能未能有基于专家规则的检测准确。二是单一的深度学习漏洞检测模式为数据驱动的方法，检测的结果极大的受到训练数据的影响，导致缺少样本或者对于特征不明显的已知漏洞效果不佳。因此，在推进漏洞发现和高效率漏洞检测的进程中，如何使得从现有数据集中自动化补充构建专家规则，同时结合专家规则直接准确和深度学习自动化和发现潜在规律的优点，在少量的训练轮数中获得快速的模型收敛和更好的检测效果，是一个值得研究的问题。

发明内容

本发明所要解决的技术问题是提供基于神经网络和专家规则结合的漏洞检测方法及系统，用于解决现有的基于专家规则进行的漏洞检测，因人为提取特征不能利用程序结构语义，所导致的信息损失与检测精度低和扩展性较差的问题，以及现有的基于深度学习模型的漏洞检测技术，因构建特征取决于训练数据和黑盒特性，识别能力单一和难以被网络管理者信任和理解的问题。

本发明解决上述技术问题的技术方案如下：用于漏洞检测的神经网络和专家规则结合的方法，包括：