[发明专利]针对二进制可执行文件的模糊测试与符号执行相结合的漏洞检测系统

摘要

针对二进制可执行文件的模糊测试与符号执行相结合的漏洞检测系统，属于计算机漏洞检测软件开发技术。为了在二进制文件漏洞检测场景中加强检测的深度、提高检测效率。包括经优化设计的模糊器模块、经优化设计的符号执行模块和模糊器跳转符号调度执行模块，引用入缓存探索器和任务协作模块。本发明将模糊测试与符号执行的优势结合在一起进行二进制执行文件漏洞的检测。本发明系统进行了评估实验，采用DARPA网络大挑战的资格赛提供的应用程序作为数据集，设置了对单独模糊测试、单独符号执行、以及本发明实现的漏洞挖掘系统三个对象的对比实验，本发明效果显著，加速了二进制程序隔间的探索，大大加速了漏洞挖掘系统的运行速度。

主权项

1.一种针对二进制可执行文件的模糊测试与符号执行相结合的漏洞检测系统，其特征在于：所述漏洞检测系统包括：一、经优化设计的模糊器模块，包括：数据生成模块：功能为产生随机输入数据，以便用于探索程序执行路径，可根据配置的协议格式生产指定格式的数据；数据输入执行模块：读取测试数据构造模块生成的数据，输入到目标二进制程序中，使用不同输入不断重复执行二进制程序；漏洞产生监控模块：监控二进制程序执行不同输入数据后，是否发现指定的signal产生异常情况；误报自动分析模块：定位漏洞产生监控模块发现的漏洞，并对发现的缺陷进行分析是否为可利用的有价值的缺陷；挖掘结果记录模块：将程序中可能存在软件漏洞的执行序列记录生成日志文件并输出，自动去除重复的记录；二、经优化设计的符号执行模块，包括符号执行的条件约束模块，符号执行的条件约束模块用于确保经优化设计的符号执行模块的输出结果与经优化设计的模糊器模块的输出结果一致，同时保持发现新的状态转换的能力；符号执行路径查找模块，用于增加符号执行引擎的可伸缩性；三、模糊器跳转符号调度执行模块，包括模糊器与符号执行的跳转模块，用于弥补模糊测试的根本弱点，通过符号执行的力量来确定通过复杂检查所需的特定输入；当经优化设计的模糊器模块的参数达到预定值而没有识别新的状态转换时，检查在当前分区中认为“感兴趣”的输入后调用符号执行引擎；缓存探索器，用于减少昂贵的符号引擎调用的次数以发现更多的状态转换，直接位于新发现的状态转换之后；所述缓存探索器探索状态转换的周围区域，直到探索器遍历配置数量的基本块；探索达到了预定数量后，符号执行就会为探索器发现的所有路径确定输入；任务协作模块，用于数据流转移；符号执行若找到新的可驱动程序继续执行的输入，会将输入publish到监听进程监听的redis管道中；监听到新的输入数据时，监听进程将会把输入数据写入到输入队列目录的新建文件中；之后，模糊器读取到新建的输入文件后，继续执行模糊测试，直到再次卡住。