CN103870721B - 基于线程切片胎记的多线程软件抄袭检测方法 - Google Patents

Abstract

本发明提出了一种基于线程切片胎记的多线程软件抄袭检测方法，包括：1)基于动态插桩技术对待分析的目标程序实施运行时监控，实时地识别系统调用，并记录与之相关的线程ID、系统调用号、返回值等相关信息，然后对其进行预处理得到有效系统调用序列Trace；2)基于线程ID对Trace进行线程切片，生成一系列由线程ID标识的线程切片Slice；3)在此基础之上为待检测的两个软件的所有线程切片分别生成其线程切片胎记Birth；4）基于两个待检测多线程程序的所有线程切片胎记，分别生成其软件胎记PB₁和PB₂；5）基于最大双边图匹配，计算软件胎记PB₁与PB₂的最大相似性；6）通过胎记相似性的均值及给定的阈值，做出抄袭与否的决策。该方法直接作用于二进制代码，无需源码存在。

Description

基于线程切片胎记的多线程软件抄袭检测方法

技术领域：

本发明涉及程序特征发现及软件抄袭检测领域，特别涉及一种针对多线程程序的抄袭检测方法。

背景技术：

由于各种物理瓶颈(如高温、功耗、漏电等)，CPU时钟速度的提升面临越来越大的挑战，近几年CPU厂商已将重点转向超线程与多核技术以提高CPU性能。随着超线程与多核技术成为当今CPU的标准配置，串行程序已经难以发挥现有CPU的计算能力，作为并行计算最常用的实现方式，多线程程序成为发挥CPU性能、提高系统效率的重要途径。

然而多线程程序的知识产权保护问题随着软件的快速发展而日益严重，例如三星和苹果公司的手机应用抄袭法律纠纷问题，这样的软件侵权事件经常发生，它们在很大程度上对大公司的利益构成了威胁，使多线程程序抄袭成为软件工业健康发展的严重阻碍。

为此人们提出了一系列手段防止及检测软件抄袭，其中基于软件胎记的抄袭检测技术是目前常用的方法。软件胎记是能够反映程序固有属性的可以唯一标识程序的特征，相关的研究都是通过将抄袭检测转换为两个程序的相似性分析问题，并基于胎记的相似性计算来衡量程序的相似性，其关键技术主要涉及到高质量的软件胎记的提取及其相似性计算过程。

然而现有的软件胎记主要针对的是单线程的程序，采用程序执行一次的所获取的关键信息作为软件的胎记，并没有考虑多线程程序在执行过程中线程交织的情况。多线程程序在相同输入条件下，执行过程中存在不同的线程交织，导致程序执行过程中的程序行为，如系统调用序列等，产生一定的差异性，这种情况使得传统基于胎记的抄袭检测方法在分析多线程程序时存在很大的随机性。此外，目前的抄袭检测方法还存在一系列的局限性：1)大部分方法是针对源代码的，而进行抄袭检测时往往无法获得检测对象的源代码，只能获取检测对象的二进制代码；2)现有的软件胎记对特定的操作系统或者编程语言依赖性较强，适用范围较小；3)大部分已有的软件胎记难以应付多种多样和深度的代码混淆技术。

发明内容：

本发明的目的在于提出一种基于线程切片胎记的多线程软件抄袭检测方法，以克服上述当前基于胎记的抄袭检测手段的局限性。本发明方法能够直接针对二进制代码，无需源代码存在，具有更现实的意义；针对多线程程序具有很好的检测能力，能够减小由于线程调度产生的随机性影响，不局限于单线程程序；检测手段不依赖于特定的编程语言，具有更广阔的应用范围；对于语义保留的代码混淆技术具有很好的抵抗力，提高对深度抄袭的检测能力。

本发明的目的通过以下技术方案实现：

基于线程切片胎记的多线程软件抄袭检测方法，包括如下步骤：

1)基于动态插桩技术，对待分析目标程序实施运行时监控，实时地识别待分析目标程序中系统调用函数，并记录与之相关的线程ID、调用地址、系统调用号、函数名、参数、返回值的相关信息，然后对其进行预处理，去除无效的系统调用，得到有效的系统调用序列Trace；

2)基于线程ID对有效的系统调用序列Trace进行线程切片，生成一系列由线程ID标识的线程切片Slice；

3)基于线程切片，通过提取线程切片中的固定子序列并记录其出现次数，分别为待分析的第一程序P₁及第二程序P₂的所有线程切片生成其动态线程切片胎记Birth，其中第一程序指的是程序所有者开发的原始程序，第二程序指被认为抄袭了原始程序的可疑程序；

4)基于多线程程序所有的线程切片胎记分别为P₁和P₂生成相应的软件胎记PB₁和PB₂；

5)基于最大双边图匹配，计算软件胎记PB₁与PB₂的最大相似性，首先针对软件胎记PB₁内部的每一个线程切片胎记，计算其与胎记PB₂内部每一个线程切片胎记的相似性；然后基于带权双边图匹配算法生成PB₁与PB₂的最大相似性匹配方案MaxMatch(PB₁,PB₂)；最后基于最大相似性匹配方案，计算PB₁与PB₂的胎记相似性Sim(PB₁,PB₂)；

6)依据多次输入下生成的胎记相似性的均值，及给定的阈值判断是否抄袭。

本发明进一步的改进在于：所述步骤1)中动态系统调用识别原则为：若当前执行函数名与操作系统系统调用列表中一个系统调用函数名匹配，则将该执行函数识别为系统调用函数。

本发明进一步的改进在于：所述步骤1)中监控实施方法为：针对二进制的待分析程序，使用动态插桩技术，在待分析程序的函数执行之前以及执行之后植入相应的分析代码，以实现运行时监控。

本发明进一步的改进在于：所述步骤1)中系统调用序列生成方法为：通过函数级的运行时监控，捕获每一个待执行的函数，分析该函数的类型，通过匹配当前操作系统的系统调用列表，根据匹配结果判断该函数是否为系统调用函数；同时结合系统调用所在线程ID，对每一个执行的系统调用的所在线程ID进行记录；并且捕获与该系统调用相关的调用参数以及返回值相关信息；最后根据分析结果，对系统调用进行记录并将其加入动态系统调用序列；每条系统调用的记录格式为：线程ID#调用地址#系统调用号#函数名#参数#返回值。

本发明进一步的改进在于：所述步骤1)中对记录的系统调用序列进行预处理，去除无效的系统调用，得到有效的系统调用序列：对抽取的系统调用序列中的每条系统调用项，解析其格式，判断其返回值，若返回值为非零则表示系统调用执行失败，则删除该条系统调用。

令Trace(p,I)＝〈e₁,e₂,...,e_n〉，表示程序p在输入I下抽取，经预处理得到的一条有效的系统调用序列，其中e_i包含一条系统调用的系统调用号以及它所在的线程ID。

本发明进一步的改进在于：所述步骤1)具体包括以下步骤：

步骤S201：判断待分析程序是否还存在待执行的函数，如果有则跳至步骤S202，否则直接转入步骤S208；

步骤S202：对于待分析的函数，解析函数类型，判断其是否为系统调用函数，如果是则转入步骤S203，否则转入步骤S207；

步骤S203：对系统调用函数进行解析，获取其线程ID、调用地址、系统调用号、函数名、参数、返回值的相关信息；

步骤S204：判断函数的返回值是否为-1，若是，则转入步骤S201，否则转入步骤S205；

步骤S205：获取其所在的线程ID信息；

步骤S206：将获取的系统调用函数添加至系统调用序列；

步骤S207：执行该系统调用函数，并转入步骤S201进行下一轮的分析；

步骤S208：输出系统调用序列；

本发明进一步的改进在于：所述步骤2)中线程切片生成方法为：基于有效的运行时系统调用序列，针对序列中每一个系统调用，剥离其线程ID，保留其系统调用号，根据线程ID标识划分成一系列的线程切片。

令Slice(p,I,t)＝{e_j|e_j∈Trace(p,I)and getThreadID(e_j)＝t}，j∈{1,2,...,n},1≤t≤m,t∈Ν，Slice(p,I,t)表示线程程序p在输入I下线程t对应的线程切片，表示一条有效的系统调用，m代表程序执行过程中共有m个线程；N为自然数。

本发明进一步的改进在于：所述步骤2)具体包括以下步骤：

步骤S301：判断输入的动态系统调用序列中是否还存在待处理的系统调用，如果存在则转入步骤S302，否则转入步骤S304；

步骤S302：从动态系统调用序列中按次序取出一条系统调用，剥离线程ID和系统调用号；

步骤S303：将该系统调用加入其线程ID对应的线程切片；再转入步骤S301进行下一轮分析；

步骤S304：输出生成的线程切片集合，以进一步生成软件胎记。

本发明进一步的改进在于：其特征在于，所述步骤3)中线程切片胎记生成方法为：对线程切片Slice(p,I,t)应用k-gram算法，得到一个长度为k子序列的集合Set(p,I,t,k)＝{g_j|g_j＝(e_j,e_j+1,…,e_j+k-1)}，j∈{1,2,…,n-k+1}；其中n表示有效的系统调用总数，e_j表示一条有效的系统调用，g_j表示一个长度为k的系统调用序列；然后统计独有的k-gram个数及其频率，最终生成一个键值对集合。令为程序p在输入I下的线程ID标识为t的动态系统调用线程切片胎记,简记为Birth(t)，表示为

其中

freq(g'_j)表示g'_j在集合Set(p,I,t,k)中出现的次数，k＝4或5。

本发明进一步的改进在于：所述步骤3)具体包括以下步骤：

步骤S401：判断未处理的线程切片子序列长度是否大于可调参数k的值，如果是则转入步骤S402，否则转入步骤S408；

步骤S402：利用k-gram算法，生成一个长度为k的系统调用号子序列；

步骤S403：顺序依次连接生成的长度为k的系统调用号子序列中的每个元素，生成一个字符串，计算其hash值并将之作为键值查找集合B(初始集合B为空)中是否已存在相应元素；如果存在则转入步骤S406，不存在则转入步骤S404；

步骤S404：创建一新的以该子序列的hash值为键的元素，并设置键值为1；

步骤S405：将新生成的键值对元素加入集合B中，转入步骤S407；

步骤S406：依据hash键值在集合B中查找到该元素，并更新该元素的键值；

步骤S407：删除线程切片的首元素，转入步骤S401开展下一轮的处理；

步骤S408：输出由键值对构成的集合B，即动态系统调用线程切片胎记。

本发明进一步的改进在于：所述步骤4)中软件胎记生成方法为：令它表示一个程序的所有线程切片胎记的集合，其中k表示k-gram算法中参数k，t表示对应的线程标识ID，m表示程序运行过程中线程总数，N表示自然数；然后构建一个SS转换将线程切片胎记集合SB转换成其软件胎记PB，其中SS:SB→PB表示将线程胎记集合中的每一个线程与其相应的线程胎记组成一个二元组，作为软件胎记的元素，得到

本发明进一步的改进在于：所述步骤5)中线程切片胎记相似性计算方法为：

令两个线程切片胎记分别为A＝{<k₁,v₁>,<k₂,v₂>,…,<k_n,v_n>}和B＝{<k′₁，v′₁>，<k′₂，v′₂>，...，<k′_m，v′_m>}，其中k₁表示线程切片胎记A中的元素所对应的键，即基于k-gram算法得到的长度为k的有效系统调用序列；v₁表示相应元素对应的值，即在该线程切片中该长度为k的有效系统调用序列出现的频次；其中k₁'表示线程切片胎记B中的元素所对应的键，即基于k-gram算法得到的长度为k的有效系统调用序列；v₁'表示相应元素对应的值，即在该线程切片中该长度为k的有效系统调用序列出现的频次。

首先分别使用cosine距离、Jaccard、Dice、Containment四种方法计算二者的相似性，具体描述如下：

a)cosine距离衡量A及B的相似性,

b)Jaccard计算A及B的相似性,

c)Dice计算A及B的相似性,

d)Containment计算A及B的相似性,

其中最后取平均值作为两个线程切片胎记的最终相似性，简记为sim_c(A,B)。

本发明进一步的改进在于：所述步骤5)中为PB₁内部的所有线程切片胎记计算其与PB₂内部每一个线程切片胎记的相似性：

对于第一程序软件胎记PB₁＝{(t₁,Birth(t₁)),(t₂,Birth(t₂)),...,(t_m,Birth(t_m))}，为其中的m个线程切片胎记分别计算其与第二程序软件胎记

PB₂＝{(t₁',Birth(t₁')),(t'₂,Birth(t'₂)),...,(t'_n,Birth(t'_n))}中的n个线程切片胎记的相似性，生成m*n阶的相似性矩阵SimMatrix(PB₁,PB₂)，其中，其中Birth(t_i)表示程序在指定输入下线程ID标识为t_i的动态系统调用线程切片胎记；

SimMatrix(PB₁,PB₂)[i][j]＝sim_c(Birth(t_i),Birth(t'_j))。

本发明进一步的改进在于：所述步骤5)中基于带权双边图匹配算法生成PB₁与PB₂的最大相似性匹配方案MaxMatch(PB₁,PB₂)：基于相似性矩阵SimMatrix(A,B)，利用带权双边图匹配算法为软件胎记PB₁和PB₂中的所有线程切片胎记计算得到最大相似匹配方案，记为MaxMatch(PB₁,PB₂),

MaxMatch(PB₁,PB₂)＝{(u₁,v₁),(u₂,v₂),...,(u_l,v_l)},l＝min(m,n),u_i∈keySet(PB₁)，其中keySet(PB₁)＝{t₁，t₂，...，t_m}；v_i∈keySet(PB₂)，其中keySet(PB₂)＝{t′₁，t′₂，...，t′_n},u_i≠u_j if i≠j,v_i≠v_j if i≠j,并且在所有的匹配中具有最小值。

本发明进一步的改进在于：所述步骤5)中计算PB₁与PB₂的胎记相似性：基于软件胎记PB₁与PB₂的最大相似性匹配方案，计算二者相似性其中count(t_i)＝|keySet(Birth(t_i))|，count(t'_j)＝|keySet(Birth(t'_j))|。

本发明进一步的改进在于：所述步骤6)中抄袭决策模块将多次输入下得到的第一程序及第二程序胎记相似性的值作为输入，计算其均值相似性作为程序的相似性；并依据输入的可调节阈值ε做出抄袭与否的判断，输出检测结果。

本发明进一步的改进在于：所述步骤6)中阈值ε的取值范围为0.2-0.3；

其中，P_A和P_B分别表示待检测的第一程序和第二程序，sim(P_A,P_B)为第一程序P_A及第二程序P_B胎记相似性的均值。

相对于现有技术，本发明具有以下优点：

(1)本发明检测对象无需源码存在，可直接对二进制代码进行分析，更具实用价值：大部分情况下，可疑抄袭程序是以二进制代码形式发布的，在无确凿证据之前，无法获取其源码，传统的基于源码的抄袭检测手段就失效了。本发明基于动态插桩对软件进行监控，分析对象直接为二进制代码，不存在这种局限性。

(2)本发明最底层的分析对象是系统调用函数，不依赖于特定的编程语言，适用范围更广阔。

(3)本发明可以作用于多线程程序，通过在软件胎记生成过程中进行线程切片，能够很好地减小程序执行过程中线程调度产生的随机性影响，有效地提高了检测精度。

(4)本发明基于监控抽取的动态系统调用序列生成软件胎记，属于动态胎记的范畴，对加密、压缩、封装等浅层混淆手段具有天生的抵抗力，因为这类混淆后的程序最终要想执行，必须在运行时先进行解密、解压缩或解封装。

附图说明

图1为本发明基于线程切片胎记的多线程软件抄袭检测方法整体流程图；

图2为基于运行时监控的动态系统调用序列抽取过程流程图；

图3为预处理以及线程切片程流程图；

图4为动态线程切片胎记生成流程图。

图5为软件胎记相似性计算过程流程图。

具体实施方式

以下结合附图详细说明本发明基于线程切片胎记的多线程软件抄袭检测方法的实施方式。

图1为基于动态系统调用序列胎记的软件抄袭检测方法的处理流程。

本发明一种基于动态系统调用序列胎记的软件抄袭检测方法，包括以下步骤：

步骤S101：使用动态插桩工具如Pin、Valgrind等，在待分析程序的每条函数执行之前和执行之后植入分析代码，实现对二进制程序函数级信息的监控。

结合图2，具体而言，在每条函数执行之前和执行之后插入分析代码，实现对二进制程序函数级信息的监控，具体包括以下步骤：

步骤S201：判断待分析程序是否还存在待执行的函数，如果有则跳至步骤S202，否则直接转入步骤S208；

步骤S202：对于待分析的函数，解析函数类型，判断其是否为系统调用函数，如果是则转入步骤S203，否则转入步骤S207；

步骤S203：对系统调用函数进行解析，获取其线程ID、调用地址、系统调用号、函数名、参数、返回值的相关信息；

步骤S204：判断函数的返回值是否为-1，若是，则转入步骤S201分析下一个待执行的函数，否则转入步骤S205；

步骤S205：获取其所在的线程ID信息；

步骤S206：将获取的系统调用函数添加至系统调用序列；

步骤S207：执行该系统调用函数，并转入步骤S201进行下一轮的分析；

步骤S208：输出系统调用序列；

例如程序P₁在输入I下获取的系统调用序列为Trace(p₁,I)＝〈(t₁,sc-1),(t₁,sc-2),(t₁,sc-3),(t₁,sc-2),(t₂,sc-2),(t₂,sc-3),(t₁,sc-4)，其中sc-i表示一条系统调用的系统调用号。

步骤S102：基于线程ID对有效的系统调用序列进行线程切片，生成一系列由线程ID标识的线程切片。具体流程如图3所示：

步骤S301：判断输入的动态系统调用序列中是否还存在待处理的系统调用，如果存在则转入步骤S302，否则转入步骤S304；

步骤S302：从动态系统调用序列中按次序取出一条系统调用，剥离线程ID和系统调用号；

步骤S303：将该系统调用加入其线程ID对应的线程切片；再转入步骤S301进行下一轮分析；

步骤S304：输出生成的线程切片集合，以进一步生成软件胎记。

针对上一步得到的系统调用序列Trace(p₁,I)，由于Trace(p₁,I)只有两条线程，因此将Trace(p₁,I)划分为由线程ID标识的线程切片后可以得到两个线程切片，分别为Slice(t₁)＝〈(t₁,sc-1),(t₁,sc-2),(t₁,sc-3),(t₁,sc-2),(t₁,sc-4)〉和Slice(t₂)＝〈(t₂,sc-2),(t₂,sc-3)〉。

步骤S103：基于预处理得到的线程切片集合和可调参数k(一般取4或5)，应用k-gram算法生成一系列长度为k的子序列，同时统计各个不同的子序列出现的频率，则将子序列及其出现频率构成的键值对集合作为动态线程切片胎记。具体而言，线程切片胎记Birth生成流程如图4所示：

步骤S401：判断未处理的线程切片子序列长度是否大于可调参数k的值，如果是则转入步骤S402，否则转入步骤S408；

步骤S402：利用k-gram算法，生成一个长度为k的系统调用号子序列；

步骤S403：顺序依次连接生成的长度为k的系统调用号子序列中的每个元素，生成一个字符串，计算其hash值并将之作为键值查找集合B(初始集合B为空)中是否已存在相应元素；如果存在则转入步骤S406，不存在则转入步骤S404；

步骤S404：创建一新的以该子序列的hash值为键的元素，并设置键值为1；

步骤S405：将新生成的键值对元素加入集合B中，转入步骤S407；

步骤S406：依据hash键值在集合B中查找到该元素，并更新该元素的键值；

步骤S407：删除线程切片的首元素，转入步骤S401开展下一轮的处理；

步骤S408：输出由键值对构成的集合B，即动态系统调用线程切片胎记。

将上述两个线程切片分别生成其线程切片胎记，取k值为2，对于线程切片Slice(t₁)＝〈(t₁,sc-1),(t₁,sc-2),(t₁,sc-3),(t₁,sc-2),(t₁,sc-4)〉，通过k-gram算法得到Set(p1,I,t₁)＝{(sc-1,sc-2),(sc-2,sc-3),(sc-3,sc-2),(sc-2,sc-4)}，然后将具有相同键的项进行合并并修改其相应的值，生成其线程切片胎记

同样的对于线程切片Slice(t₂)＝〈(t₂,sc-2),(t₂,sc-3)〉则可以得到相应的线程切片胎记

将上述软件作为第一程序，然后对程序P₂执行步骤S101得到系统调用序列Trace(p₂,I)＝〈(t₁',sc-1),(t'₂,sc-2),(t₁',sc-2),(t'₂,sc-3),(t₁',sc-3),(t₁',sc-2),(t₁',sc-4)，执行S102和S103得到它的线程切片胎记和

步骤S104：基于两个待检测多线程程序的所有线程切片胎记分别生成其软件胎记PB₁和PB₂。

具体描述为：令它表示一个程序的所有线程切片胎记的集合，然后构建一个SS:SB→PB转换将线程切片胎记集合SB转换成其软件胎记PB，具体是将线程胎记集合中的每一个线程与其相应的线程胎记组成一个二元组，作为软件胎记的元素，得到

通过上述描述对于程序P₁的两个线程切片胎记可以得到其相应的软件胎记同样对于程序P₂也可以得到其软件胎记

步骤S105：基于最大双边图匹配，计算PB₁与PB₂的最大相似性，具体流程如图5所示。

步骤S501:基于软件胎记PB₁内部的每一个线程切片胎记计算其与PB₂内部每一个线程切片胎记的相似性。具体描述为：对于第一程序软件胎记PB₁＝{(t₁,Birth(t₁)),(t₂,Birth(t₂)),...,(t_m,Birth(t_m))}和第二程序软件胎记PB₂＝{(t₁',Birth(t₁')),(t'₂,Birth(t'₂)),...,(t'_n,Birth(t'_n))}，为PB₁中的m个线程切片胎记分别计算其与PB₂中的n个线程切片胎记的相似性，生成一个m*n阶的相似性矩阵SimMatrix(PB₁,PB₂)，其中SimMatrix(PB₁,PB₂)[i][j]＝sim_c(Birth(t_i),Birth(t'_j))。

针对线程切片胎记A＝{〈k₁,v₁〉,〈k₂,v₂〉,…,〈k_n,v_n〉}与另一个线程切片胎记B＝{〈k₁',v₁'〉,〈k'₂,v'₂>,…,<k'_m,v'_m〉}的相似性计算，首先分别使用cosine距离、Jaccard、Dice、Containment四种方法计算二者的相似性：

a)cosine距离衡量A及B的相似性,

b)Jaccard计算A及B的相似性,

c)Dice计算A及B的相似性,

d)Containment计算A及B的相似性,

其中最后取平均值作为两个线程切片胎记的最终相似性，简记为sim_c(A,B)。

例如第一程序的软件胎记PB₁中的与第二程序的软件胎记PB₂中的的相似性计算过程为：首先计算二者的cosine距离，其值为再依次用Jaccard、Dice、Containment计算它们的相似性，得到相似性分别为 和取这四个值的平均值作为该两个线程切片胎记的最终相似性，因此

重复上述步骤为PB₁中的两个线程切片胎记分别计算其与PB₂中的两个线程切片胎记的相似性，得到PB₁与PB₂的相似性矩阵

步骤S502:基于带权双边图匹配算法生成PB₁与PB₂的最大相似匹配方案MaxMatch(PB₁,PB₂)。

具体描述为：基于相似性矩阵SimMatrix(PB₁,PB₂)，利用带权双边图匹配算法为软件胎记PB₁和PB₂中的所有线程切片胎记计算得到最大相似匹配方案，记为MaxMatch(PB₁,PB₂),MaxMatch(PB₁,PB₂)＝{(u₁,v₁),(u₂,v₂),...,(u_l,v_l)},l＝min(m,n),u_i∈kgySet(PB₁)，其中keySet(PB₁)＝{t₁，t₂，...，t_m}；v_i∈keySet(PB₂)，其中keySet(PB₂)＝{t′₁，t′₂，...，t′_n},u_i≠u_j if i≠j,v_i≠v_j if i≠j,并且在所有的匹配方案中具有最小值。

在上述例子中存在两个匹配方案，方案一Match₁(PB₁,PB₂)＝{(t₁,t₁'),(t₂,t'₂)}和方案二Match₂(PB₁,PB₂)＝{(t₁,t'₂),(t₂,t₁')}，但是经过计算两个方案的相似值可以得到方案一相似值大于方案二，因此方案一作为PB₁与PB₂的最大相似匹配方案。

步骤S503:基于胎记集合PB₁与PB₂的最大相似匹配方案计算其相似性，

具体描述为：基于软件胎记PB₁与PB₂的最大相似性匹配方案，计算二者相似性其中count(t_i)＝|keySet(Birth(t_i))|，count(t'_j)＝|keySet(Birth(t'_j))|。

根据上述公式计算得到Sim(PB₁,PB₂)＝1。

步骤S106：不同输入下生成的胎记可能会不一样，提供多次输入，会计算得到一系列的相似值(S₁,S₂,…,S_n)，取其均值作为最终衡量两个程序相似性的依据，以减小随机因素的影响；并依据输入的可调节阈值ε(取值0.2-0.3)做出抄袭与否的决策，输出检测结果。

具体描述为：对于两个软件P_A和P_B，为它们提供一系列的输入I₁,I₂,…,I_n(第一程序和第二程序每次的输入相同)，生成的一系列软件胎记分别为PB_A1,PB_A2,...,PB_An和PB_B1,PB_B2,...,PB_Bn，则然后依据这两个程序的相似性和给定的可调阈值ε来确定抄袭与否，即：

Claims (10)

1.基于线程切片胎记的多线程软件抄袭检测方法，其特征在于，包括如下步骤：

1)基于动态插桩技术，对待分析目标程序实施运行时监控，实时地识别待分析目标程序中系统调用函数，并记录与之相关的线程ID、调用地址、系统调用号、函数名、参数、返回值的相关信息，然后对其进行预处理，去除无效的系统调用，得到有效的系统调用序列Trace；

2)基于线程ID对有效的系统调用序列Trace进行线程切片，生成一系列由线程ID标识的线程切片Slice；

3)基于线程切片，通过提取线程切片中的固定子序列并记录其出现次数，分别为待分析的第一程序P₁及第二程序P₂的所有线程切片生成其动态线程切片胎记Birth，其中第一程序指的是程序所有者开发的原始程序，第二程序指被认为抄袭了原始程序的可疑程序；

4)基于多线程程序所有的线程切片胎记分别为P₁和P₂生成相应的软件胎记PB₁和PB₂；

5)基于最大双边图匹配，计算软件胎记PB₁与PB₂的最大相似性，首先针对软件胎记PB₁内部的每一个线程切片胎记，计算其与胎记PB₂内部每一个线程切片胎记的相似性；然后基于带权双边图匹配算法生成PB₁与PB₂的最大相似性匹配方案MaxMatch(PB₁,PB₂)；最后基于最大相似性匹配方案，计算PB₁与PB₂的胎记相似性Sim(PB₁,PB₂)；

6)依据多次输入下生成的胎记相似性的均值，及给定的阈值判断是否抄袭。

2.根据权利要求1所述的方法，其特征在于，所述步骤1)中动态系统调用识别原则为：若当前执行函数名与操作系统系统调用列表中一个系统调用函数名匹配，则将该执行函数识别为系统调用函数；所述步骤1)中监控实施方法为：针对二进制的待分析程序，使用动态插桩技术，在待分析程序的函数执行之前以及执行之后植入相应的分析代码，以实现运行时监控；所述步骤1)中系统调用序列生成方法为：通过函数级的运行时监控，捕获每一个待执行的函数，分析该函数的类型，通过匹配当前操作系统的系统调用列表，根据匹配结果判断该函数是否为系统调用函数；同时结合系统调用所在线程ID，对每一个执行的系统调用的所在线程ID进行记录；并且捕获与该系统调用相关的调用参数以及返回值相关信息；最后根据分析结果，对系统调用进行记录并将其加入动态系统调用序列；每条系统调用的记录格式为：线程ID#调用地址#系统调用号#函数名#参数#返回值。

3.根据权利要求1所述的方法，其特征在于，所述步骤1)中对记录的系统调用序列进行预处理，去除无效的系统调用，得到有效的系统调用序列：对抽取的系统调用序列中的每条系统调用项，解析其格式，判断其返回值，若返回值为非零则表示系统调用执行失败，则删除该条系统调用；

令Trace(p,I)＝<e₁,e₂,...,e_n>，表示程序p在输入I下抽取，经预处理得到的一条有效的系统调用序列，其中e_i包含一条系统调用的系统调用号以及它所在的线程ID。

4.根据权利要求3所述的方法，其特征在于，所述步骤2)中线程切片生成方法为：基于有效的运行时系统调用序列，针对序列中每一个系统调用，剥离其线程ID，保留其系统调用号，根据线程ID标识划分成一系列的线程切片；

令Slice(p,I,t)＝{e_j|e_j∈Trace(p,I)and getThreadID(e_j)＝t}，j∈{1,2,...,n},1≤t≤m,t∈Ν；Slice(p,I,t)表示程序p在输入I下线程t对应的线程切片，表示一条有效的系统调用，m代表程序执行过程中共有m个线程；N为自然数。

5.根据权利要求4所述的方法，其特征在于，所述步骤3)中线程切片胎记生成方法为：对线程切片Slice(p,I,t)应用k-gram算法，得到一个长度为k子序列的集合Set(p,I,t,k)＝{g_j|g_j＝(e_j,e_j+1,…,e_j+k-1)}，j∈{1,2,…,n-k+1}；其中n表示有效的系统调用总数，e_j表示一条有效的系统调用，g_j表示一个长度为k的系统调用序列；然后统计独有的k-gram个数及其频率，最终生成一个键值对集合；令为程序p在输入I下的线程ID标识为t的动态系统调用线程切片胎记,简记为Birth(t)，表示为

其中freq(g'_j)表示g'_j在集合Set(p,I,t,k)中出现的次数，k＝4或5。

6.根据权利要求5所示的方法，其特征在于，所述步骤4)中软件胎记生成方法为：令它表示一个程序的所有线程切片胎记的集合，其中k表示k-gram算法中参数k，t表示对应的线程标识ID，m表示程序运行过程中线程总数，N表示自然数；然后构建一个SS:SB→PB转换将线程切片胎记集合SB转换成其软件胎记PB，具体是将线程胎记集合中的每一个线程ID与其相应的线程胎记组成一个二元组，作为软件胎记的元素，得到

$\mathrm{PB}=\left\{(t,{\mathrm{Birth}}_p^I(k,t))\right|1\&le;t\&le;m,t\&Element;N\}.$

7.根据权利要求6所示的方法，其特征在于，所述步骤5)中线程切片胎记相似性计算方法为：令两个线程切片胎记A＝{<k₁,v₁>,<k₂,v₂>,…,<k_n,v_n>}和B＝{<k′₁,v′₁>,<k'₂,v'₂>,…,<k'_m,v'_m>}，其中k₁表示线程切片胎记A中的元素所对应的键，即基于k-gram算法得到的长度为k的有效系统调用序列；v₁表示相应元素对应的值，即在该线程切片中该长度为k的有效系统调用序列出现的频次；其中k′₁表示线程切片胎记B中的元素所对应的键，即基于k-gram算法得到的长度为k的有效系统调用序列；v′₁表示相应元素对应的值，即在该线程切片中该长度为k的有效系统调用序列出现的频次；

首先分别使用cosine距离、Jaccard、Dice、Containment四种方法计算二者的相似性，具体描述如下：

a)cosine距离衡量A及B的相似性,

b)Jaccard计算A及B的相似性,

c)Dice计算A及B的相似性,

d)Containment计算A及B的相似性,

其中最后取平均值作为两个线程切片胎记的最终相似性，简记为sim_c(A,B)。

8.根据权利要求7所示的方法，其特征在于，所述步骤5)中为PB₁内部的所有线程切片胎记计算其与PB₂内部每一个线程切片胎记的相似性：

对于第一程序软件胎记PB₁＝{(t₁,Birth(t₁)),(t₂,Birth(t₂)),...,(t_m,Birth(t_m))}和第二程序软件胎记PB₂＝{(t′₁,Birth(t′₁)),(t'₂,Birth(t'₂)),...,(t'_n,Birth(t'_n))}，其中Birth(t_i)表示程序在指定输入下线程ID标识为t_i的动态系统调用线程切片胎记；为PB₁的m个线程切片胎记分别计算其与PB₂中的n个线程切片胎记的相似性，生成m*n阶的相似性矩阵SimMatrix(PB₁,PB₂)，其中

SimMatrix(PB₁,PB₂)[i][j]＝sim_c(Birth(t_i),Birth(t'_j))；所述步骤5)中基于带权双边图匹配算法生成PB₁与PB₂的最大相似性匹配方案MaxMatch(PB₁,PB₂)：基于相似性矩阵SimMatrix(A,B)，利用带权双边图匹配算法为软件胎记PB₁和PB₂中的所有线程切片胎记计算得到最大相似匹配方案，记为MaxMatch(PB₁,PB₂),MaxMatch(PB₁,PB₂)＝{(u₁,v₁),(u₂,v₂),...,(u_l,v_l)},l＝min(m,n),u_i∈keySet(PB₁)，其中keySet(PB₁)＝{t₁，t₂，...，t_m}；v_i∈keySet(PB₂)，其中keySet(PB₂)＝{t′₁，t′₂，...，t′_n},u_i≠u_j if i≠j,v_i≠v_j if i≠j,并且在所有的匹配方案中具有最小值；所述步骤5)中计算PB₁与PB₂的胎记相似性：基于软件胎记PB₁与PB₂的最大相似性匹配方案，计算二者相似性其中count(t_i)＝|keySet(Birth(t_i))|，count(t'_j)＝|keySet(Birth(t'_j))|。

9.根据权利要求1所示的方法，其特征在于，所述步骤6)中抄袭决策模块将多次输入下得到的第一程序及第二程序胎记相似性的值作为输入，计算其均值相似性作为程序的相似性；并依据输入的可调节阈值ε做出抄袭与否的判断，输出检测结果。

10.根据权利要求9所示的方法，其特征在于，步骤6)中阈值ε的取值范围为0.2-0.3；

其中，P_A和P_B分别表示待检测的第一程序和第二程序，sim(P_A,P_B)为第一程序P_A及第二程序P_B胎记相似性的均值。