一种面向堆内存资源耗尽的软件漏洞挖掘方法

技术领域

本发明属于网络空间安全技术领域，尤其涉及一种面向堆内存资源耗尽的软件漏洞挖掘方法。

背景技术

随着网络技术的高速发展与数字化时代进程的推进，网络攻击也变得越来越普遍，新的攻击机理、新的攻击技术使得网络空间的安全威胁态势进一步趋向严峻。随着攻击技术与防御手段的纠缠迭代演进，攻击者越发依赖目标系统漏洞的获取，特别是加大投入对未知漏洞的挖掘，更加追求0day漏洞的发现与利用，因此有价值的未知漏洞亦然成为攻防双方占有优势地位的重要保障因素。从防御者视角看，作为软件的研发方，尽早发现漏洞，则可以针对性的开发安全补丁并下发软件的使用方，捍卫研发方的安全可用性；作为软件的部署使用角色，尽早发现漏洞，则可以及时建立应对处置策略，降低潜在的经济损失和确保企业数字资产的安全性。从以上攻防两个维度，都充分说明了研究软件漏洞挖掘方法的现实重要意义、必要性、紧迫性。

软件漏洞挖掘是通过研究测试样本的种子生成策略和畸变策略，连续形成大量畸形测试样本作为目标软件的输入，捕获目标软件的异常为最终目的，由此发现目标软件的潜在未知漏洞。近年来，研究人员对软件的漏洞挖掘技术进行了大量研究，并提出实现软件漏洞挖掘的方法，又可分为协议漏洞挖掘和软件漏洞挖掘两大类。

其中，已有的专注于软件漏洞挖掘方法，例如：专利申请名称为“一种基于强化学习的漏洞挖掘技术”，专利申请号为CN202011507774.5，申请公布号为CN114647566A，该申请运用强化学习的方法来优化变异的策略，以多摇臂赌博机问题为模型，记录不同变异方式产生的输入在目标程序中的执行效果，利用探索-利用算法自适应地学习变异操作结果的概率分布情况，智能地进行变异操作策略调整。

再如：专利申请名称为“一种漏洞挖掘方法及系统”，专利申请号为2017112132838，申请公布号为CN107835189A，该申请通过事先采集工业控制系统中特定对象的图像，以图像对比为核心。在向被测系统发送测试用例后，采集监控对象的状态图像，与预存的正常状态下的对象图像进行比对，判断出工业控制系统是否存在异常状态以及异常原因。

再如：专利名称为“基于大数据漏洞挖掘的对象输出方法及大数据挖掘系统”，专利号为2021110141044，授权公告号为CN113688400B，该发明通过获取第一大数据漏洞挖掘网络挖掘的漏洞挖掘分布，在第二大数据漏洞挖掘网络时，将漏洞挖掘分布添加到临时漏洞分布输出队列，并基于临时漏洞分布输出队列中添加的漏洞挖掘分布，与用于存储漏洞挖掘分布对应的中转输出存储区中存储的漏洞挖掘分布，确定指定挖掘路径对应的目标输出漏洞挖掘分布。

再如：专利名称为“基于错误场景生成的物联网固件漏洞挖掘方法及系统”，专利号为2021100592146，授权公告号为CN112380542B，该发明采用二进制固件安全薄弱点定位方法识别出待测固件的程序中与偶发异常事件相关的函数，定位待测固件中的待测试点，动态地生成测试样例，以期触发安全薄弱点代码的执行。

再如：专利申请名称为“一种跨平台固件二进制代码漏洞挖掘的方法”，专利申请号为2021116239690，申请公布号为CN114329487A，该申请对固件二进制代码反汇编后，提取汇编代码的特征描述；将所述特征描述作为聚类算法的输入，判断所述特征描述是否属于任一已知簇；若是，则更新所有已知簇的聚类中心点；若否，则形成新的簇以及新的簇对应的聚类中心点；根据所有簇的聚类中心点间的距离变化，确定所述固件的漏洞类型。

再如：专利申请名称为“一种基于强化学习的SCADA软件漏洞挖掘方法”，专利申请号为CN202211332080.1，申请公布号为CN115687114A，该申请基于强化学习的测试用例生成、算法多参数可调的SCADA软件的漏洞挖掘方法。

再如：专利申请名称为“一种漏洞挖掘方法,装置及电子设备”，专利申请号为CN202111280197.5，申请公布号为CN114117442A，该申请获取应用程序中的多个数据处理模块，根据数据处理模块确定数据传输链路对数据传输链路中的数据处理模块进行模块漏洞检测，得到模块漏洞检测结果，根据模块漏洞检测结果确定针对数据传输链路的链路漏洞检测结果。

然而，软件的漏洞挖掘方法是一种持续不断演进的技术，攻防两方的研究人员仍需不断追求更高效的挖掘策略和专注具体技术细节的优化。

经上述分析发现，现有的软件漏洞挖掘方法存在以下几方面的技术缺点：

(1)上述现有方法都是全类型漏洞的挖掘方法，并非是针对某一具体类型的漏洞。

(2)针对特定类型的漏洞需求，未考虑优先性，因此现有漏洞挖掘方法对特定所需漏洞的挖掘效率相对较低。

(3)堆内存资源消耗型漏洞的触发及其困难，因为非大量堆内存泄漏则无法触发，即轻量级的堆资源分配无法触发，所以现有漏洞挖掘方法对该类型漏洞的挖掘效率极低。

发明内容

针对上述现有技术中存在的不足之处，本发明提供了一种面向堆内存资源耗尽的软件漏洞挖掘方法。其目的是为了实现优先定位挖掘软件中堆分配操作热点代码区块的内存耗尽型漏洞，补足当前漏洞挖掘方法在此点的触发短板，在该型漏洞挖掘过程中，纳入考虑其他类型漏洞的挖掘需求，形成漏洞的优先序，兼顾所需与通用型漏洞的挖掘的发明目的。

本发明为实现上述目的所采用的技术方案如下：

一种面向堆内存资源耗尽的软件漏洞挖掘方法，包括以下步骤：

步骤1.对目标程序进行静态分析，基于CPG图中的数据依赖标定疑似堆内存消耗型代码区块的位置；

步骤2.对疑似堆内存消耗型代码区块的热点函数位置进行插桩，以便运行时输出状态信息；

步骤3.初始测试样本集，抽取输入样本作为样本种子；

步骤4.利用样本种子的随机畸变生成测试样本集；

步骤5.利用目标程序处理输入样本；

步骤6.目标程序依次处理输入样本，监视目标程序在处理中是否产生崩溃；

步骤7：检测本轮测试样本集是否还有待测试样本；

步骤8，检测如下条件是否满足任何一个：疑似代码区未测完、发现新路径、预置时间未到；如果是，则转步骤4；如果否，则输出Lib库。

更进一步的，所述目标程序依次处理输入样本，监视目标程序在处理中是否产生崩溃；

如果是，则该输入样本入库Lib，转步骤5继续测试剩余的输入样本；如果否，根据第5步骤记录的执行信息，对当前输入样本以堆操作为优先考虑因素进行评价测算，并以评价值在本轮已测试样本中进行排序，构成有序的测试样本集；

所述检测本轮测试样本集是否还有待测试样本；如果是，转步骤5；如果否，将步骤6排序好的测试样本集合的前N个测试样本抽取，作为新的样本种子，转步骤8。

一种面向堆内存资源耗尽的软件漏洞挖掘装置，包括：

代码静态分析模块，用于对目标程序进行静态分析，基于CPG图中的数据依赖标定疑似堆内存消耗型代码区块的位置；

疑似热点代码插桩模块，用于对疑似堆内存消耗型代码区块的热点函数位置进行插桩，以便运行时输出状态信息；

输入样本执行状态分析模块，用于初始测试样本集抽取输入样本作为样本种子；用于利用样本种子的随机畸变生成测试样本集；利用目标程序处理输入样本；

样本种子优化筛选模块，用于对目标程序依次处理输入样本，监视目标程序在处理中是否产生崩溃；

样本种子随机畸变模块，用于检测本轮测试样本集是否还有待测试样本；检测如下条件是否满足任何一个：疑似代码区未测完、发现新路径、预置时间未到；如果是，则转步骤4；如果否，则输出Lib库。

更进一步的，所述代码静态分析模块，基于分析工具输出代码属性图CPG，内涵调用图CG、流控图CFG和数据依赖图DDG，通过污点分析技术建立参数、堆操作函数参数之间的数据依赖和控制依赖，根据如上显示或隐式依赖，构建堆指针和堆指针之间的赋值等价关系，由此基于操作的数据语义解析，标定目标程序中疑似堆内存消耗型代码区块的位置。

更进一步的，所述疑似热点代码插桩模块，在静态分析阶段，使用LLVM在疑似堆内存消耗型代码块内的函数，包括malloc堆内存分配函数、calloc堆内存分配函数、realloc堆内存分配函数、free堆内存释放函数、new堆内存分配函数、delete堆内存释放函数及其变体函数的调用点进行插桩，为后续在根据输入样本的执行态综合评测进行优秀样本终止的筛选。

更进一步的，所述输入样本执行状态分析模块，根据插桩点注入的记录信息代码，包括：

对堆函数操作参数定量记录堆操作分配和释放的内存块大小；

记录目标程序在处理输入样本的执行过程中触发的数据依赖的函数的数量；

记录输入样本的执行路径覆盖率。

更进一步的，所述样本种子优化筛选模块，从当前一轮的测试样本中选择下一轮的测试种子，进行考量一是对消耗型堆操作的测试样本优先级提升，优先使之作为样本种子；二是保留其他类型的优秀种子，以保持对其他非堆内存消耗型种子筛选的兼顾性；包括：用于在状态分析模块得到的堆分配定量记录，分配的堆内存越大，该输入样本的优先级越高；

用于在状态分析模块得到的触发的数据依赖的函数的数量，被触发的相关函数越多，该输入样本优先级越高；

用于在当输入样本不触发任何数据依赖函数且未达到新的最大内存分配时，保留AFL基于路径覆盖的种子优先级策略，以覆盖尽可能多的程序分支；前两种评价因素将帮助漏洞挖掘系统触发更多潜在的堆内存消耗型漏洞，后一种评价因素是兼顾其他非堆内存消耗型漏洞的样本种子优化筛选；

其中：Priorityscore(seed

基于以上样本种子筛选策略，对测试样本集的每个测试输入样本的状态评估测算后，进行排序，前面的N个输入样本作为样本种子，所述N是大于0的自然数。

更进一步的，所述样本种子随机畸变模块，利用样本种子的随机畸变生成测试样本集；由样本种子进行畸变生成大量的用于漏洞测试的输入样本，畸变策略包含bitflip位翻转、arithmetic简单算术、interest边界值、dictionary用特殊内容替换、havoc随机畸变和splice拼接，采用随机算法调用如上方法对样本种子进行畸变处理。

一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现任一所述的一种面向堆内存资源耗尽的软件漏洞挖掘方法的步骤。

一种计算机存储介质，所述计算机存储介质上存有计算机程序，所述计算机程序被处理器执行时实现任一所述的一种面向堆内存资源耗尽的软件漏洞挖掘方法的步骤。

本发明具有以下有益效果及优点：

本发明一种面向堆内存资源耗尽的软件漏洞挖掘方法解决了堆指针之间显式和隐式语义关系的提取问题：基于数据流依赖的堆指针的语义关系传导，快速标定疑似堆消耗的堆操作代码区域；本发明还解决了堆内存资源耗型样本种子的筛选问题：实现细粒度的种子优先级筛选，用于优先发现堆内存消耗漏洞；本发明还解决了其他类型漏洞的兼顾均衡问题：既优先考虑内存消耗型漏洞的挖掘，使之处于一定的优先级，同时考虑其他优秀的样本种子，用于非堆内存资源消耗型的漏洞挖掘。

本发明提出面向堆内存消耗型漏洞挖掘方法，通过对目标程序的静态语义解析，基于数据流语义依赖实现高效标定堆内存消耗的代码区的位置并以集合的方式进行记录，将该代码体集合作为优先导向进行漏洞挖掘，优先挖掘内存消耗型漏洞，可有效解决堆内存消耗型漏洞难以触发的难题。

本发明所提软件漏洞挖掘方法不仅优先堆内存消耗型漏洞挖掘也兼顾通用型漏洞挖掘。本发明优先挖掘软件的堆内存消耗型漏洞，在样本种子的优化筛选中同时也考虑了其他类型漏洞的价值，通过偏离参数a对其他非堆内存消耗型的样本种子也赋予高分，使得在堆内存消耗型漏洞样本种子排序相对优先的前提下，尽可能将其他类型的优秀样本种子也纳入前面的排序中，实现了兼顾其他已有技术的挖掘效能，在不降低通用型漏洞的挖掘效能的前提下，增强了面向堆内存消耗型漏洞的挖掘能力。

本发明提出面向堆内存消耗型漏洞挖掘的目标程序插桩方法。通过污点传播方式追溯CPG中的数据依赖关系，分析目标函数中堆操作函数代码块。在基于函数参数的语义解析和依赖关系的传递，从中提炼疑似堆内存消耗型漏洞的热点代码区块。基于标定位置实现了线索信息代码的静态插桩。

本发明将在软件漏洞挖掘方向的最新成果研究提炼转化为新技术，不仅弥补已有技术成果的在堆消耗型漏洞适用性短板，而且专注当前围绕堆漏洞的攻防激烈博弈的热点需求，对数字主权空间的软件安全稳定运行方面具有重大意义。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明的总体架构图；

图2是本发明的运行示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面将结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

下面参照图1和图2描述本发明一些实施例的技术方案。

实施例1

本发明提供了一个实施例，是一种面向堆内存资源耗尽的软件漏洞挖掘方法。如图1所示，图1是本发明的总体架构图。

(1)面向堆内存消耗型漏洞挖掘的目标程序插桩方法。通过参数的数据依赖关系和指针的赋值传递，加强了堆内存操作代码的有效识别能力。基于参数语义实现了疑似堆内存消耗型代码的定性化专有识别标定，并实现了线索代码的高效静态插桩。

(2)面向堆内存消耗型漏洞样本种子的筛选算法，包含优选公式及参数的语义说明。该筛选算法不仅优先选中堆内存消耗型漏洞样本种子，同时也兼顾其他类型的优秀样本种子，样本种子筛选算法做到了专用与通用的合理均衡。

(3)面向堆内存消耗型漏洞挖掘方法。实现了堆内存消耗型漏洞的专有挖掘，并兼顾其他漏洞的挖掘，做到优先漏洞与兼顾通用漏洞的全部高效挖掘。在确保其他漏洞挖掘效能的前提下，相比其他方法，我司所提方法能够尽早输出潜在的堆内存消耗型漏洞。

本发明同现有技术的不同之处，包括：

(1)不同于已有方法的代码分析，本发明所提方法针对堆内存消耗型漏洞代码特征进行分析，不仅关注堆操作代码识别，也关注参数的语义解析。因此，本发明分析方法对疑似热点代码的识别更加精准。

(2)已有方法并未面向堆内存消耗型样本种子优先筛选。即在筛选策略中，并未将对该类隐藏的样本种子优先赋能，导致可能因优先级低排除在样本种子集合之外。

(3)已有方法没有一种针对面向堆内存消耗型漏洞的专有挖掘方法，并未更多关注堆内存消耗型的样本种子，导致没有赋予更多的能量，造成挖掘该类型漏洞效能不高。

参照图1，本发明方法的架构包含目标程序代码的静态分析方法、堆资源消耗漏洞的动态模式测试方法两大块。具体包括：

第一部分：目标程序代码的静态分析方法。

其由代码的CG图和CFG图生成、污点位置识别(即为疑似堆内存消耗型代码区块的热点函数位置)、基于数据依赖从CG和CFG获取变量到热点函数参量的传递关系，由此定位热点函数的参数受制于哪些变量。

通过静态分析，在相应变量和热点函数位置处以插桩方式构建监测信息的输出源，为下一部分的动态执行优选样本种子提供测评依据；

第二部分：堆资源消耗漏洞的动态模式测试方法。

其由样本种子畸变方法、样本执行信息监测提和样本种子筛选方法、崩溃状态的监测构成。

如上两大部分的关系为：

通过第一部分的静态分析，在相应变量和热点函数位置处以插桩方式构建监测信息的输出源，为第二部分的动态执行优选样本种子提供测评依据；

第二部分是对测试样本进行处理，如果发生崩溃，该测试样本即为所需目标，其可触发目标程序漏洞，将放入Lib库中。如果没有发生崩溃，则通过第一部分插桩代码输出信息，通过该信息对当前测试样本的价值进行测评，决定是否作为下一轮的有价值样本种子。测评依据以堆资源消耗漏洞关联的测试样本优先，同时兼顾其他优秀测试样本。

实施例2

本发明又提供了一个实施例，是一种面向堆内存资源耗尽的软件漏洞挖掘方法，如图2所示，图2是本发明方法的运行示意图。该方法包括以下具体操作步骤：

步骤1.对目标程序进行静态分析，基于CPG图中的数据依赖标定疑似堆内存消耗型代码区块的位置；

步骤2.对疑似堆内存消耗型代码区块的热点函数位置进行插桩，以便运行时输出状态信息；

步骤3.初始测试样本集抽取输入样本作为样本种子；

步骤4.利用样本种子的随机畸变生成测试样本集；

步骤5.利用目标程序处理输入样本；

在目标程序处理输入样本过程中，记录堆分配操作执行数量、触发的热点堆操作执行数量和代码分支路径执行覆盖情况等信息，用于第6步骤的样本种子筛选提供依据；

步骤6.当目标程序依次处理输入的测试样本，监视目标程序在处理中是否产生崩溃；

如果是，则该输入样本入库Lib，转步骤5继续测试剩余的输入样本；

如果否，则根据第5步骤记录的执行信息，对当前输入样本以堆操作为优先考虑因素进行评价测算，并以评价值在本轮已测试样本中进行排序，构成有序的测试样本集；

步骤7.检测本轮测试样本集是否还有待测试样本；

如果是，转步骤5；

如果否，将步骤6排序好的测试样本集合的前N个测试样本抽取，作为新的样本种子，转步骤8；

步骤8，检测如下两个条件是否满足任何一个：

1)疑似代码区未测完；

2)发现新路径；

3)预置时间未到

如果是，转步骤4；

如果否，则输出Lib库。

实施例3

本发明又提供了一个实施例，是一种面向堆内存资源耗尽的软件漏洞挖掘装置，其重点模块包括：代码静态分析模块、疑似热点代码插桩模块、输入样本执行状态分析模块、样本种子优化筛选模块、样本种子随机畸变模块，等等。

其中，所述代码静态分析模块：基于分析工具输出代码属性图CPG，内涵调用图CG、流控图CFG和数据依赖图DDG。用于通过污点分析技术建立参数、堆操作函数参数之间的数据依赖和控制依赖，并根据如上显示或隐式依赖，构建堆指针和堆指针之间的赋值等价关系。由此基于操作的数据语义解析，标定目标程序中疑似堆内存消耗型代码区块的位置。

所述疑似热点代码插桩模块：用于在静态分析阶段，使用LLVM在疑似堆内存消耗型代码块内的函数，包括malloc堆内存分配函数、calloc堆内存分配函数、realloc堆内存分配函数、free堆内存释放函数、new堆内存分配函数、delete堆内存释放函数及其变体函数的调用点进行插桩，为后续在根据输入样本的执行态综合评测进行优秀样本终止的筛选。

所述输入样本执行状态分析模块：用于根据插桩点注入的记录信息代码，一是对堆函数操作参数定量记录堆操作分配和释放的内存块大小；二是记录目标程序在处理输入样本的执行过程中触发的数据依赖的函数的数量；三是记录输入样本的执行路径覆盖率。

所述样本种子优化筛选模块：用于对目标程序依次处理输入样本，监视目标程序在处理中是否产生崩溃。从当前一轮的测试样本中选择下一轮的测试种子，有两个考量：一是对消耗型堆操作的测试样本优先级提升，优先使之作为样本种子；二是保留其他类型的优秀种子，以保持对其他非堆内存消耗型种子筛选的兼顾性。

分成3个关键评价点。一是用于在状态分析模块得到的堆分配定量记录，分配的堆内存越大，该输入样本的优先级越高；二是用于在状态分析模块得到的触发的数据依赖的函数的数量，被触发的相关函数越多，该输入样本优先级越高；三是用于在当输入样本不触发任何数据依赖函数且未达到新的最大内存分配时，保留AFL基于路径覆盖的种子优先级策略，以覆盖尽可能多的程序分支。需要特别说明的是：前两种评价因素将帮助漏洞挖掘系统触发更多潜在的堆内存消耗型漏洞，后一种评价因素是兼顾其他非堆内存消耗型漏洞的样本种子优化筛选。

其中：Priorityscore(seed

在具体实施时，优先选值为：a取值1.2，b取值1，c取值5，但也可按照用户的经验进行调整。

基于以上样本种子筛选策略，对测试样本集的每个测试输入样本的状态评估测算后，进行排序，前面的N个输入样本作为样本种子，所述N是大于0的自然数，具体值由用户设定，表明保留多少个样本种子，建议不少于10个，用于后续进行畸变。

所述样本种子随机畸变模块：用于由样本种子进行畸变生成大量的用于漏洞测试的输入样本。畸变策略包含bitflip位翻转、arithmetic简单算术、interest边界值、dictionary用特殊内容替换、havoc随机畸变和splice拼接。采用随机算法调用如上6种方法对样本种子进行畸变处理。

实施例4

基于同一发明构思，本发明实施例还提供了一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序。所述处理器执行所述计算机程序时实现实施例1或2或3所述的任意一种面向堆内存资源耗尽的软件漏洞挖掘方法或利用装置实施的步骤。

实施例5

基于同一发明构思，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质上存有计算机程序，所述计算机程序被处理器执行时实现实施例1或2或3所述的任意一种面向堆内存资源耗尽的软件漏洞挖掘方法或利用装置实施的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。