买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国人民解放军国防科技大学

摘要：本发明公开了一种采用脆弱性切片的大规模软件漏洞检测方法及系统，包括对被检测软件提取包含函数特征的函数代码块；对脆弱性代码库使用程序切片方法提取包含脆弱性特征和补丁特征的脆弱性代码块；使用脆弱性代码块建立索引，使用函数代码块查询索引，得出候选集；针对被检测软件中的每一个函数代码块，计算候选集内的代码块的函数特征与函数代码块的脆弱性特征及补丁特征之间的相似度，根据相似度得到该函数代码块的漏洞检测结果。本发明兼顾了检测的效果和适用规模，能够适用于大规模软件漏洞检测场景，能够充分提取出脆弱性代码中的脆弱性信息，可有效提高漏洞检测的精确率和召回率，可防止将补丁代码误判为脆弱性代码。

主权项：1.一种采用脆弱性切片的大规模软件漏洞检测方法，其特征在于，包括：1）对被检测软件提取包含函数特征的函数代码块；对脆弱性代码库使用程序切片方法提取包含脆弱性特征和补丁特征的脆弱性代码块；2）使用脆弱性代码块建立索引，使用函数代码块查询索引，得出候选集；3）针对被检测软件中的每一个函数代码块，计算候选集内的代码块的函数特征与函数代码块的脆弱性特征及补丁特征之间的相似度，根据相似度得到该函数代码块的漏洞检测结果；步骤1）中对脆弱性代码库使用程序切片方法提取包含脆弱性特征和补丁的脆弱性代码块包括：1.1B）扫描脆弱性代码库，提取出其中的脆弱性函数和补丁函数；1.2B）针对每个脆弱性函数，先使用工具得到函数的程序依赖图，再以差异对比脆弱性文件修复前后的删除行作为切片准则，在程序依赖图中向前和向后进行切片，切片得出的语句即为提取出的脆弱性信息；针对每个脆弱性函数，先使用工具得到函数的程序依赖图，再以差异对比脆弱性文件修复前后的新增行作为切片准则，在程序依赖图中向前和向后进行切片，切片得出的语句即为提取出的补丁信息；1.3B）针对脆弱性信息，提取出脆弱性特征；针对补丁信息，提取出补丁特征；1.4B）分别统计脆弱性特征和补丁特征中各种Token的频率，以二元组Token,频率的形式保存成脆弱性代码块，并输出形成脆弱性信息库的中间文件；步骤3）包括：针对被检测软件中的每一个函数代码块，计算函数代码块的函数特征和候选集中代码块的脆弱性特征之间的相似度，计算方法为先计算这两个特征之间的相同Token的数量，再计算这里相同Token的数量与对应脆弱性代码块总Token数的比例作为脆弱性相似度，若脆弱性相似度低于设定阈值则判定函数代码块不包含脆弱性代码，直接返回结束；否则，计算函数代码块的函数特征和候选集中代码块的补丁特征之间的相似度，若该相似度高于阈值，则判定所查询的函数代码块已经打补丁，不具有脆弱性；否则，判定所查询的该函数代码块为脆弱的函数代码块。

全文数据：

权利要求：

百度查询： 中国人民解放军国防科技大学 一种采用脆弱性切片的大规模软件漏洞检测方法及系统