CN104766016A - 一种基于系统调用短序列的软件漏洞检测方法 - Google Patents

Abstract

本发明公开了一种基于系统调用短序列的软件漏洞检测方法，用于进行软件的漏洞检测和定位，步骤如下：首先建立被测系统的函数调用链CS，存于函数堆栈表中，其索引记为CSV；获取正常行为下的系统调用序列，将每个调用节点i至其后n-1个节点作为正常短序列；同理获取未知行为下的未知短序列；对于每个未知短序列，将其与正常短序列一一对应元素的调用偏差相加获得序列偏差，获取最小序列偏差值；以元素不匹配个数作为海明距离，找到最小海明距离；当最小海明距离的最大值和最小序列偏差的最大值均超过一定阈值时，找到最近一次未超阈值的未知短序列中调用偏差值最大的调用节点，依据CSV值找到漏洞的位置。该方法提高了检测效率。

Description

一种基于系统调用短序列的软件漏洞检测方法

技术领域

本发明属于信息安全技术领域，特别涉及一种基于系统调用短序列的软件漏洞检测方法。

背景技术

软件漏洞是存在于软件系统内的一组弱点或缺陷，这组弱点或缺陷被恶意主体(攻击者或攻击程序)加以利用，达到访问未授权信息或损坏系统的目的。软件由于其功能及行为的复杂性不可避免地存在一些漏洞，这给整个软件系统带来了极大的隐患。

传统的漏洞检测技术多是利用词法分析、规则检查、类型推导等静态检测技术，针对源代码结构、跳转条件、边界值等进行分析，查找可疑因素。但是，因为不存在通用的漏洞描述规则，静态检测技术对于未知漏洞无法进行规范描述，从而导致可检查的漏洞有限，仅能检测出已知漏洞类型。而且这种方法必须获取源代码，能检测的对象有限，还存在检测规模大、误报率高等缺点。

漏洞检测技术还包括动态检测技术，就是在缺少源代码的情况下，对软件的漏洞进行检测和防护，这类检测主要通过修改进程运行环境来实现。目前的动态检测技术有非执行栈、非执行堆与数据、内存映射、安全共享库、沙箱和程序解释等技术。上述方法各自针对不同的恶意攻击有较高的检测准确率，但也存在着无法检测未知漏洞的问题。

考虑到软件系统在未遭到攻击时，安全漏洞(而非引起系统崩溃的错误)并未给系统造成损失，可在软件系统交付使用后，当其遭到攻击的时候拦截攻击并检测出漏洞以便日后进行修补。研究表明，软件受到攻击后将在所执行的系统调用状况中有所体现，并且系统调用之间的关系也从一定程度上反映了软件的分支结构。

软件系统中几乎每一个完成一定功能的模块都要用到系统调用，软件系统运行中发生的系统调用以一定的模式组织起来能够很好地刻画软件行为。按照不同的组织模式，基于系统调用的入侵检测技术分为基于短序列的N-gram模型、Var-gram模型以及引入系统调用频率特性、数据挖掘理论或隐式马尔可夫链的模型；基于虚拟路径的Vt-Path模型；基于自动机的FSA模型、Abstract Stack模型、Call Graph模型。

发明内容

有鉴于此，本发明提供了一种基于系统调用短序列的软件漏洞检测方法，其目的在于发挥短序列模型汇聚时间短、运行时间负载较低的优势，提高了检测速度，同时通过对函数堆栈表的索引达到了定位漏洞位置的效果。

为了达到上述目的，本发明的技术方案步骤如下：

第一步，建立被测系统的函数调用链CS，CS用于记载每个调用节点处、函数堆栈里的返回地址所对应的函数名称，CS存于函数堆栈表中，CSV为函数堆栈表的索引：CSV＝Hash(CS)；其中Hash为哈希函数。

第二步，将被测系统置于正常行为下运行：获取被测系统在正常行为下产生的系统调用序列{SC₁、SC₂、……、SC_L}，其L为系统调用节点数；采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC₁、SC₂、……、SC_L}进行扫描，记录每个窗口内各个系统调用节点i从自身i开始到其后n-1个调用节点所生成的正常行为短序列SCS_i＝{SC_i、SC_i+1、……、SC_i+n-1}；以短序列SCS_i为结果建立特征库，存储为正常行为特征库；i＝1,2,……,L-n+1。

第三步，将被测系统置于未知行为下运行，获取被测系统在未知行为下产生的系统调用序列{SC’₁、SC’₂、……、SC’_L}；采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC’₁、SC’₂、……、SC’_L}进行扫描，记录每个窗口内各个系统调用节点j从自身j开始到其后n-1个调用节点所生成的未知行为短序列SCS’_j＝{SC’_j、SC’_j+1、……、SC’_j+n-1}。j＝1,2,……,L-n+1。

第四步，将未知行为短序列SCS’_j与正常行为特征库中的每一个正常行为短序列进行匹配，针对SCS’_j中每个调用节点m与SCS_i中每个调用节点r按顺序一一对应，则m与r之间的调用偏差为D_mr：

D_mr＝Hash(SC_r)-Hash(SC’_m)；当D_mr＝0时，SC_r与SC’_m匹配；当D_mr<A时，SC_r与SC’_m匹配；当D_mr>A时，SC_r与SC’_m不匹配。

A的取值与Hash函数的选择有关。

第五步，计算SCS’_j与SCS_i的序列偏差：V_ij＝D_i,j+D_i+1,j+1+......+D_i+n-1,j+n-1；其中D_i,j～D_i+n-1,j+n-1为SCS’_j与SCS_i中元素一一对应的调用偏差；获取SCS’_j与正常行为特征库中的每个SCS_i的最小序列偏差V_min(SCS’_j)。

第六步、计算未知行为短序列SCS’_j与正常行为特征库中每个短序列SCS_i的海明距离d(SCS_i,SCS_i’)，其中d(SCS_i,SCS_i’)为SCS_i和SCS_i’中调用节点进行一一对应匹配时的不匹配个数。

获取SCS’_i与正常行为特征库中所有SCS_i的海明距离最小值d_min(SCS’_j)。

第七步、被测系统在未知行为下运行的过程中，实时获取已运行过的所有未知行为短序列，以其中海明距离最小值d_min(SCS’_j)的最大值作为横向异常值V_A，以其中最小序列偏差V_min的最大值作为纵向异常值V_B。

V_A＝max{d_min(SCS’_j)，j＝1,2,……,L-n+1}；

V_B＝max{V_min(SCS’_j),j＝1,2,……,L-n+1}。

第八步、当横向异常值V_A和纵向异常值V_B均超过一定阈值时，则挂起系统运行进程。

然后从最近一次未超过阈值的未知行为短序列中，找到调用偏差值最大的调用节点，获取其CSV值，并在函数堆栈表中找出对应的函数调用链CS，到当前调用节点的函数调用链CS，这之间判为可疑漏洞的位置。

进一步地，系统调用序列中的SC_i具体为包含被测系统调用相关信息的系统调用向量：SC_i＝(SCI,SCP,SCC)，其中SCI表示系统调用基本信息，SCP表示系统调用属性，SCC表示系统调用上下文。

进一步地，A为采用安全套接层工具包OpenSSL包默认的散列函数来计算的系统调用上下文值。

进一步地，其中V_A的阈值依据n确定，V_B的阈值依据A来确定。

有益效果：

1、本发明针对已有技术存在的不足，提出一种基于系统调用短序列的软件漏洞检测方法。将基于系统调用短序列模型和STIDE算法加以改进并应用于软件漏洞检测，其目的在于发挥短序列模型汇聚时间短、运行时间负载较低的优势，提高了检测速度，同时通过对函数堆栈表的索引达到了定位漏洞位置的效果。

2、同时克服由于缺乏定位信息和系统调用上下文信息导致模型对上下文不敏感、粒度粗等缺点，增强了模型的检测能力。

具体实施方式

下面举实施例，对本发明进行详细描述。

本发明的基本思想是：将目标程序在安全环境下运行，监测其系统调用序列和堆栈信息，按照STIDE算法将系统调用序列“分割”为短序列，并建立正常行为特征库。再将目标程序暴露于攻击下，采用同样的算法得到短序列进行模式匹配，计算海明距离和系统调用偏差值来判断是否发生行为偏离。当行为偏离超过阈值时，检测到漏洞，并根据当前系统调用的堆栈信息对漏洞进行定位。

该方法步骤如下：

第一步，建立被测系统的函数调用链CS，CS用于记载每个调用节点处，函数堆栈里的返回地址所对应的函数名称，CS存于函数堆栈表中，CSV为函数堆栈表的索引：CSV＝Hash(CS)；

系统调用序列中的SC_i具体为包含被测系统调用相关信息的系统调用向量：SC_i＝(SCI,SCP,SCC)，其中SCI表示系统调用基本信息，SCP表示系统调用属性，SCC表示系统调用上下文。

系统调用节点SC(System Call)是指含有系统调用相关信息的一个系统调用向量：SC＝<SCI，SCP，SCC>

SCI表示系统调用基本信息，SCP表示系统调用属性，SCC表示系统调用上下文。这三个向量值唯一标识一个系统调用节点。

系统调用基本信息SCI(System Call Information)：SCI＝<SysCall_No，SysCall_Name>

SysCall_No表示系统调用号，SysCall_Name表示系统调用名。

系统调用属性SCP(System Call Properties)：

SCP_n＝<n，SysCallArg₁，SysCallArg₂，…SysCallArgn_>

n(n≤6)表示系统调用参数个数，SysCallArg表示系统调用参数。

系统调用上下文信息SCC(System Call Context)：

SCC＝<PC，CSV>

PC表示当前系统调用发生时的PC值，CSV表示函数调用链值，通过如下算式得到：

CSV＝Hash(CS)

CS(Call Stack)为函数调用链，当系统调用发生时，记录函数堆栈里的返回地址所对应的函数名称，并将其存于函数堆栈表CS_Table中，CSV作为该表索引：

CS_n＝<FunctionName₁，FunctionName₂…FunctionName_n>

即FunctionName₁调用了FunctionName₂，FunctionName₂调用了FunctionName₃，…，FunctionName_n-1调用了FunctionName_n。

n表示函数调用链的长度。

上述系统调用信息的获取采用修改中断向量表的方法，准确高效。函数返回地址与名称的对应方法参考ELF文件格式分析方法，从可执行ELF文件中提取出相对地址对应的函数名称。

第二步，将被测系统置于正常行为下运行：获取被测系统在正常行为下产生的系统调用序列{SC₁、SC₂、……、SC_L}，其L为系统调用节点数；系统调用短序列SCS(System Call sequence)是指包含以一定数量的系统调用节点的有序集合。

采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC₁、SC₂、……、SC_L}进行扫描，记录每个窗口内各个系统调用节点i从自身i开始到其后n-1个调用节点所生成的正常行为短序列SCS_i＝{SC_i、SC_i+1、……、SC_i+n-1}；以短序列SCS_i为结果建立特征库，存储为正常行为特征库；i＝1,2,……,L-n+1。

第三步，将被测系统置于未知行为下运行，获取被测系统在未知行为下产生的系统调用序列{SC’₁、SC’₂、……、SC’_L}；采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC’₁、SC’₂、……、SC’_L}进行扫描，记录每个窗口内各个系统调用节点j从自身j开始到其后n-1个调用节点所生成的未知行为短序列SCS’_j＝{SC’_j、SC’_j+1、……、SC’_j+n-1}，j＝1,2,……,L-n+1。

第四步，将未知行为短序列SCS’_j与正常行为特征库中的每一个正常行为短序列进行匹配，针对SCS’_j中每个调用节点m与SCS_i中每个调用节点r按顺序一一对应，则m与r之间的调用偏差为D_mr：

D_mr＝Hash(SC_r)-Hash(SC’_m)；其中Hash为哈希函数

当D_mr＝0时，SC_r与SC’_m匹配；

当D_mr<A时，SC_r与SC’_m匹配；

当D_mr>A时，SC_r与SC’_m不匹配；

A的取值与Hash函数的选择有关；

第五步，计算SCS’_j与SCS_i的序列偏差：V_ij＝D_i,j+D_i+1,j+1+......+D_i+n-1,j+n-1；其中D_i,j～D_i+n-1,j+n-1为SCS’_j与SCS_i中元素一一对应的调用偏差；获取SCS’_j与正常行为特征库中的每个SCS_i的最小序列偏差V_min(SCS’_j)；

第六步、计算未知行为短序列SCS’_j与正常行为特征库中每个短序列SCS_i的海明距离d(SCS_i,SCS_i’)，其中d(SCS_i,SCS_i’)为SCS_i和SCS_i’中调用节点进行一一对应匹配时的不匹配个数；

获取SCS’_i与正常行为特征库中的所有SCS_i的海明距离最小值d_min(SCS’_j)；

第七步、被测系统在未知行为下运行的过程中，实时获取已运行过的所有未知行为短序列，以其中海明距离最小值d_min(SCS’_j)的最大值作为横向异常值V_A，以其中最小序列偏差V_min的最大值作为纵向异常值V_B；

V_A＝max{d_min(SCS’_j)，j＝1,2,……,L-n+1}；

V_B＝max{V_min(SCS’_j),j＝1,2,……,L-n+1}。

第八步、当横向异常值V_A和纵向异常值V_B均超过一定阈值时，则挂起系统运行进程。

其中V_A的阈值依据n确定，V_B的阈值依据A来确定。A为采用安全套接层工具包OpenSSL包默认的散列函数来计算的系统调用上下文值。

然后从最近一次未超过阈值的未知行为短序列中，找到调用偏差值最大的调用节点，获取其CSV值，并在函数堆栈表中找出对应的函数调用链CS，到当前调用节点的函数调用链CS，这之间判为可疑漏洞的位置。

综上，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于系统调用短序列的软件漏洞检测方法，其特征在于，步骤如下：

第一步，获取被测系统的函数调用链CS，CS用于记载每个调用节点处、函数堆栈里的返回地址所对应的函数名称，CS存于函数堆栈表中，CSV为函数堆栈表的索引：CSV＝Hash(CS)；其中Hash为哈希函数；

第二步，将被测系统置于正常行为下运行：获取被测系统在正常行为下产生的系统调用序列{SC₁、SC₂、……、SC_L}，其L为系统调用节点数；采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC₁、SC₂、……、SC_L}进行扫描，记录每个窗口内各个系统调用节点i从自身i开始到其后n-1个调用节点所生成的正常行为短序列SCS_i＝{SC_i、SC_i+1、……、SC_i+n-1}；以短序列SCS_i为结果建立特征库，存储为正常行为特征库；i＝1,2,……,L-n+1；

第三步，将被测系统置于未知行为下运行，获取被测系统在未知行为下产生的系统调用序列{SC’₁、SC’₂、……、SC’_L}；采用长度为n、步长为1的滑动窗口机制对系统调用序列{SC’₁、SC’₂、……、SC’_L}进行扫描，记录每个窗口内各个系统调用节点j从自身j开始到其后n-1个调用节点所生成的未知行为短序列SCS’_j＝{SC’_j、SC’_j+1、……、SC’_j+n-1}；j＝1,2,……,L-n+1；

第四步，将未知行为短序列SCS’_j与正常行为特征库中的每一个正常行为短序列进行匹配，针对SCS’_j中每个调用节点m与SCS_i中每个调用节点r按顺序一一对应，则m与r之间的调用偏差为D_mr：

D_mr＝Hash(SC_r)-Hash(SC’_m)；

当D_mr＝0时，SC_r与SC’_m匹配；

当D_mr<A时，SC_r与SC’_m匹配；

当D_mr>A时，SC_r与SC’_m不匹配；

A的取值与Hash函数的选择有关；

第五步，计算SCS’_j与SCS_i的序列偏差：V_ij＝D_i,j+D_i+1,j+1+......+D_i+n-1,j+n-1；其中D_i,j～D_i+n-1,j+n-1为SCS’_j与SCS_i中元素一一对应的调用偏差；获取SCS’_j与正常行为特征库中的每个SCS_i的最小序列偏差V_min(SCS’_j)；

第六步、计算未知行为短序列SCS’_j与正常行为特征库中每个短序列SCS_i的海明距离d(SCS_i,SCS’_j)，其中d(SCS_i,SCS’_j)为SCS_i和SCS’_j中调用节点进行一一对应匹配时的不匹配个数；

获取SCS’_i与正常行为特征库中的所有SCS_i的海明距离最小值d_min(SCS’_j)；

第七步、被测系统在未知行为下运行的过程中，实时获取已运行过的所有未知行为短序列，以其中海明距离最小值d_min(SCS’_j)的最大值作为横向异常值V_A，以其中最小序列偏差V_min的最大值作为纵向异常值V_B；

V_A＝max{d_min(SCS’_j)，j＝1,2,……,L-n+1}；

V_B＝max{V_min(SCS’_j),j＝1,2,……,L-n+1}；

第八步、当横向异常值V_A和纵向异常值V_B均超过一定阈值时，则挂起系统运行进程；

然后从最近一次未超过阈值的未知行为短序列中，找到调用偏差值最大的调用节点，获取其CSV值，并在函数堆栈表中找出对应的函数调用链CS，到当前调用节点的函数调用链CS，这之间判为可疑漏洞的位置。

2.如权利要求1所述的一种基于系统调用短序列的软件漏洞检测方法，其特征在于，函数调用链CS的获取方法为可执行ELF文件格式分析方法，从可执行ELF文件中提取出相对地址对应的函数名称。

3.如权利要求1所述的一种基于系统调用短序列的软件漏洞检测方法，其特征在于，所述系统调用序列中的SC_i具体为包含被测系统调用相关信息的系统调用向量：SC_i＝(SCI,SCP,SCC)，其中SCI表示系统调用基本信息，SCP表示系统调用属性，SCC表示系统调用上下文。

4.如权利要求1所述的一种基于系统调用短序列的软件漏洞检测方法，其特征在于，所述A为采用安全套接层工具包OpenSSL包默认的散列函数来计算的系统调用上下文值。

5.如权利要求1所述的一种基于系统调用短序列的软件漏洞检测方法，其特征在于，其中V_A的阈值依据n确定，V_B的阈值依据A来确定。