一种基于图特征双向融合嵌入的固件漏洞相似性检测方法技术

本发明专利技术涉及一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，具体包括：提取固件函数控制流图：利用相关工具即IDA Pro对固件函数进行反汇编提取控制流图并对各条语句进行指令特征转化，指令语句特征向量转化：通过注意力机制对指令语句向量进行上下文影响提取和混合LSTM进行基本块各条特征融合，图嵌入特征向量提取：利用图嵌入网络对固件函数特征进行向量融合；通过暹罗网络进行相似性检测进行判断是否存在已知漏洞。本发明专利技术可以提升漏洞相似性检测精度。

【技术实现步骤摘要】

本专利技术涉及固件漏洞相似性检测领域，尤其涉及图嵌入特征向量提取，具体是一种基于图特征双向融合嵌入的固件漏洞相似性检测方法。

技术介绍

1、为更精确地检测跨平台固件函数与已知漏洞函数是否相似，进而确定对应的固件漏洞，提高固件漏洞函数代码的检测精度，从而加强工控系统的安全性具有重要意义。随着物联网、人工智能等技术在工控系统中投入使用，工控系统的市场占比和使用率不断攀升，工控系统领域也开始受人关注。在该背景下，多家企业看准其未来发展前景，纷纷投入资金用于建设以工业控制系统为核心的工业基础设施。同时，国际科研人员都在大力开发工业系统并投入使用。与此同时，固件作为工控系统plc的核心程序，关系到整个工控系统的安全，甚至是关乎国家工业安全的重要方面，且绝大多数漏洞发生在固件函数中。因此对固件函数与漏洞函数之间的特征进行相似性检测，进而确定是否存在已知漏洞变得十分火热。

2、虽然近年来针对漏洞相似性检测领域有了很大的研究进展，但是却存在检测精度不高的问题。总的来说，分为以下原因：(1)用于提取二进制代码作为特征提取的关键数据，并通过基于语义转化的方法对基本本文档来自技高网...

【技术保护点】

1.一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤1中利用IDA pro进行固件函数反汇编操作，即需要提取固件函数控制流图的基本块组成部分，得到固件函数的各个基本块。

3.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤2中在i2vec模型中使用的无监督特征转换方法是基于word2vec算法，该算法模型可以根据给定的指令语义库，然后利用优化训练模型有效地将一个指令转化成向量。<...

【技术特征摘要】

1.一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤1中利用ida pro进行固件函数反汇编操作，即需要提取固件函数控制流图的基本块组成部分，得到固件函数的各个基本块。

3.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤2中在i2vec模型中使用的无监督特征转换方法是基于word2vec算法，该算法模型可以根据给定的指令语义库，然后利用优化训练模型有效地将一个指令转化成向量。

4.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤2中在skip-gram算法模型中通过基于训练指令词为其生成特征向量并创建一个神经网络预测模型，对中心词进行概率预测，当预测模型训练完成后，对训练数据更新模型参数，得到网络隐藏层的权重矩阵，最终的输出向量为基于中心词学习预测概率周围词信息的特征向量，设给定固件函数的汇编代码指令词序列为w＝[w1,w2,w3,…,wt],w(n)为模型的输入，输出为周边的指令词的概率向量，在skip-gram模型中，指令词被转化为d维向量形式，然后通过对应的向量计算可能的条件概率，此外，转化目标为使预测当前指令操作的概率最大，且目标函数为

5.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤2中在skip-gram模型中，神经网络的输出前向层使用softmax层作为对输出向量概率的计算，其函数定义为fp＝ρ(wo|wi)，且

6.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤3中为实现对基本块的各条指令特征进行融合以及对基本块中指令之间的相互影响程度进行关注，增强固件函数中基本块各条指令的特征信息融合，生成最终固件函数的属性控制流图，并将该属性控制流图作为图嵌入网络的输入，通过引入注意力机制来重点关注基本块中各条指令的邻居指令对该当前指令的重要信息等方面，强化各邻居指令对当前指令的影响，并与自身特征进行融合，从而提取基本块指令的信息特征向量，得到每个基本块指令语句的重点特征向量

7.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤3中对于j，k节点来说，它们是所有关于j节点的邻居节点在集合nj中的注意力计算，根据公式，为了简化其计算，利用在注意力层中的softmax层对节点j的所有邻居节点k的权重系数进行归一化计算在基本块指令的注意力训练模型中，本文所设计的相关权重系数训练层是单层的前馈网络结构，经过权重系数的归一化后，本注意力网络的激励函数采用elu非线性激活函数，该激活函数使其结果具有更好的收敛性，最终的权重系数

8.根据权利要求书1中所述的一种基于图特征双向融合嵌入的固件漏洞相似性检测方法，其特征在于：所述步骤3在计算到指令的特征相关权重系数α后，通过相关权重系数得到当前指令语句的注意力特征向量值为

<...

【专利技术属性】
技术研发人员：陈良银，黄飞炀，牛毅，张媛媛，冯康慧，林承毅，林昕，刘俊才，任毅，王盛圩，
申请(专利权)人：四川大学，
类型：发明
国别省市：