CN108830049B - 一种基于动态控制流图权重序列胎记的软件相似性检测方法 - Google Patents

Abstract

本发明公开了一种基于动态控制流图权重序列胎记的软件相似性检测方法，先在动态插装平台DynamoRIO下，编写插件程序记录程序执行过程中基本块的首地址和基本块结束时的分支跳转地址；然后分析日志文件，构建程序动态控制流图，并赋予权重；建立权重序列胎记集合WSB，并将WSB长度之比作为参数，计算每对程序的相似度。本发明采用动态插装分析，提取软件运行时特征，可以避免软件抄袭检测中缺乏源码、逆向反汇编困难的问题；在动态插装分析中，仅记录基本块首地址和分支跳转情况，与其他基于动态数据流追踪等技术的胎记相比，开销更小；且能够对抗动态运行时无关干扰信息的影响，即使在软件使用加密壳加密，也能检测出程序相似。

Description

一种基于动态控制流图权重序列胎记的软件相似性检测方法

技术领域

本发明涉及软件安全和软件知识产权的技术领域，具体为一种基于动态控制流图权重序列胎记的软件相似性检测方法。

背景技术

软件盗版，是指对未经授权的软件进行非法复制、传播和使用。据2016年BSA(商业软件联盟)全球软件调查，在个人电脑上装载的软件有39％未经授权，其商业价值为522亿美元。而根据revulytics 2017年软件盗版统计，中国的软件盗版和滥用软件许可证案例位居全球首位。软件盗版已然成为软件产业和软件知识产权的一个严重问题，急需有效的软件相似性检测方法来保护软件知识产权并减少经济损失。

目前，研究人员提出的软件相似性检测方法可以分为三类：基于源码的、基于软件水印的和基于软件胎记的。源码检测方法分析源代码的组成成分和结构，但源代码通常使用混淆技术加以保护，因此源码检测的抗混淆能力较弱。当软件仅以二进制形式发布而不公开源码时，源码检测方法就难以使用。软件水印是一种著名的软件产权保护方法，它在软件发布时嵌入一个特殊的标记即软件水印，软件水印难以移除但容易验证，因此水印可以作为软件相似性检测的重要依据。但Collberg已证实一个足够耐心的攻击者将最终破解任何水印。软件胎记方法，首先从软件中提出特定的特征，然后计算其相似度来判定相似。因为软件胎记是从软件中直接提取的而不依赖于软件源代码和其他数据，所以该方法优于前两种方法。

根据特征提取方法，软件胎记可以分为静态软件胎记和动态软件胎记。静态胎记是从汇编代码或源码中提取的，而动态胎记是从软件运行时信息中提取的。当二进制软件因混淆技术而改变了其汇编代码的结构和内容时，静态胎记也难以处理，而且当软件反汇编失败时，静态胎记方法就失效了。动态胎记方法可以避开反汇编的问题并且具有很好的抗混淆能力。但是，当软件加壳时，原始程序中混入了解壳程序。当提取动态胎记时，混入的解壳程序特征如指令、API和系统调用等难以祛除。现有的大多数动态软件胎记都忽视了如何过滤这些不相关特征的问题。DKISB(动态关键指令序列胎记)使用了动态数据流追踪技术来消除与输入无关的信息，但其开销太大。当软件使用加密壳如MidgetPack时，DKISB需密码或密钥解密，同样会引入无关信息。

发明内容

针对上述问题，本发明的目的在于提供一种能够解决软件相似性检测缺乏源码、逆向反汇编困难、提取动态胎记开销大和祛除无关特征难的问题的基于动态控制流图权重序列胎记的软件相似性检测方法。技术方案如下：

一种基于动态控制流图权重序列胎记的软件相似性检测方法，包括以下步骤：

步骤1：在动态插装平台DynamoRIO下，编写插件程序，记录程序执行过程中基本块的首地址和基本块结束时的分支跳转地址，并输出到日志文件中；

步骤2：逐行分析日志文件，提取每个基本块的首地址，将基本块作为节点并以首地址标注；分析每个分支跳转，将分支跳转作为边，并统计跳转重复次数作为对应边的权重；对多线程程序，将日志文件逐个分析之后，将所得的节点、边合并，并对权重进行累计，得到一个综合的带权动态控制流图；最后将日志分析结果以邻接图的形式存到XML文本中；

步骤3：使用深度优先算法遍历所述带权动态控制流图，遍历的轨迹看成边的序列，而每条边以权重表示，因此遍历轨迹也是一个权重序列；然后使用n-gram方法处理权重序列得到一个权重序列n-gram集合，将集合中相似的项合并，得到权重序列胎记集合WSB；

步骤4：根据余弦计算公式，并将WSB长度之比作为参数，定义拓展的余弦相似度，计算每对程序的相似度；

步骤5：改变输入，对每对程序重复步骤1-4，得到其平均相似度，并与相似度阈值ε对比；当平均相似度大于或等于1-ε时，判定程序相似；当平均相似度小于或等于ε时，判定程序不相似；当平均相似度大于ε且小于1-ε时，对相似性不做判定。

进一步的，所述步骤2中，软件的带权动态控制流图为基于动态基本块粒度的软件结构图，表示为一个3元有向图：

WDCFG＝(N,E,W)

其中，N表示节点集合，n∈N表示一个动态基本块；E表示节点集合，e(n₀→n₁)∈E表示基本块n₁在n₀执行后立即执行；W表示权重集合，w∈W与某条边相关联，表示这条边在程序执行过程中的重复次数。

更进一步的，所述步骤3中，权重序列n-gram集合表示为

其中

表示权重序列，V表示具有相同

值n-gram项的频数累计；为简化表示，

根据极坐标公式转换为K＝(r,α)，表示为：

其中，

表示单位向量；

WSB为基于软件带权动态控制流图权重序列特征的动态软件胎记，表示为集合<K,V>＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>}，其中V表示具有相同K值的n-gram项的频数累计，K是权重序列n-gram项的极坐标表示。

更进一步的，所述步骤4中：WSB相似性算法描述如下：对两个WSB A＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>},B＝{<k‘₀,v‘₀>,<k‘₁,v‘₁>,…,<k‘_m,v‘_m>}，

集合S＝KeySet(A)∪KeySet(B)；

根据以下规则构建A对应的向量

其中，0≤i≤r，v_i表示A中s_i对应的值，s_i∈S；

同理，构建B对应的向量

然后根据以下公式计算向量

和

的拓展余弦值：

计算结果即表示两个WSB的相似度。

本发明的有益效果是：

本发明采用动态插装分析，提取软件运行时特征，可以避免软件相似性检测中缺乏源码、逆向反汇编困难的问题；

本发明在动态插装分析中，仅记录基本块首地址和分支跳转情况，与其他基于动态数据流追踪等技术的胎记相比，本发明中提出的胎记特征提取方法，开销更小；

本发明中提出的基于动态控制流图权重序列胎记，能够对抗动态运行时无关干扰信息的影响，即使在软件使用加密壳加密，也能检测出相似。与DKISB胎记相比，WSB对独立开发的软件也有较好的区分性。

附图说明

图1为本发明所述基于WSB的软件相似性检测框架。

图2为本发明所述带权DCFG示意图。

图3为本发明所述带权DCFG构建流程图。

图4为本发明所述N-gram项提取过程示意图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细说明。如图1所示，一种基于动态控制流图权重序列胎记的软件相似性检测方法，包括下述步骤：

步骤1：在动态插装平台DynamoRIO下，编写插件程序记录程序执行过程中基本块的首地址和基本块结束时的分支跳转地址。指定测试程序的输入，在DynamoRIO平台中执行测试程序，插件程序将测试程序执行过程中的基本块首地址和分支跳转记录下来，并输出到日志文件中。每一个线程，都有一个专门的日志文件记录对应的测试程序运行时信息。

步骤2：构建程序动态控制流图，并赋予权重，图2是一个程序动态控制流图示意图。如图3分析日志文件，对每个日志文件逐行分析，提取每个基本块的首地址，将基本块作为节点并以首地址标注；分析每个分支跳转，将分支跳转作为边，并统计跳转重复次数作为对应边的权重。对多线程程序，将日志文件逐个分析之后，将所得的节点、边合并，并对权重进行累计，得到一个综合的带权动态控制流图。最后，将日志分析结果以邻接图的形式存到XML文本中。软件带权动态控制流图的定义如下：

软件带权动态控制流图是一种基于动态基本块粒度的软件结构图，可以表示成一个3元有向图WDCFG＝(N,E,W)，其中N，E，W定义如下：

N表示节点集合，n∈N表示一个动态基本块；

E表示节点集合，e(n₀→n₁)∈E表示基本块n₁在n₀执行后立即执行；

W表示权重集合，w∈W与某条边相关联，表示这条边在程序执行过程中的重复次数。

步骤3：如图4使用深度优先算法遍历步骤2所得的带权动态控制流图，遍历的轨迹可以看成是边的序列，而每条边以权重表示，因此遍历轨迹也是一个权重序列。然后使用n-gram方法处理权重序列得到一个权重序列n-gram集合，权重序列n-gram集合可以表示为

其中

表示权重序列，V表示具有相同

值n-gram项的频数累计。为简化表示，

可以根据极坐标公式转换为K＝(r,α)：

将集合中相似的项合并，所得集合即WSB(权重序列胎记)。WSB定义如下：

WSB是一种基于步骤2定义的软件带权动态控制流图权重序列特征的动态软件胎记。它可以表示为一个集合<K,V>＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>}，其中V表示具有相同K值的n-gram项的频数累计，K是权重序列n-gram项的极坐标表示。

步骤4：根据余弦计算公式，并将WSB长度之比作为参数，定义拓展的余弦相似度，计算每对程序的相似度。WSB相似算法描述：

对两个WSB：A＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>}，B＝{<k‘₀,υ‘₀>,<k‘₁,υ‘₁>,…,<k‘_m,υ‘_m>}，集合S＝KeySet(A)∪KeySet(B)。根据以下规则构建A对应的向量

其中，0≤i≤r，v_i表示A中s_i对应的值。同理，可以构建B对应的向量

然后根据以下公式计算向量

和

的拓展余弦值：

计算结果即表示两个WSB的相似度。

步骤5：改变输入，对每对程序重复步骤1-4，得到其平均相似度，并与相似度阈值ε对比。当平均相似度大于或等于1-ε时，判定程序相似；当平均相似度小于或等于ε时，判定程序不相似；当平均相似度大于ε且小于1-ε时，对相似性不做判定。相似性判定可以归纳为以下公式：

表1 WSB和DKISB对加壳软件抗性对比试验结果

表1为WSB和DKISB对加壳软件抗性对比试验结果，可以看出，与DKISB胎记相比，WSB对独立开发的软件有更好的区分性。

Claims (3)

1.一种基于动态控制流图权重序列胎记的软件相似性检测方法，其特征在于，包括以下步骤：

步骤1：在动态插装平台DynamoRIO下，编写插件程序，记录程序执行过程中基本块的首地址和基本块结束时的分支跳转地址，并输出到日志文件中；

步骤2：逐行分析日志文件，提取每个基本块的首地址，将基本块作为节点并以首地址标注；分析每个分支跳转，将分支跳转作为边，并统计跳转重复次数作为对应边的权重；对多线程程序，将日志文件逐个分析之后，将所得的节点、边合并，并对权重进行累计，得到一个综合的带权动态控制流图；最后将日志分析结果以邻接图的形式存到XML文本中；

步骤3：使用深度优先算法遍历所述带权动态控制流图，遍历的轨迹看成边的序列，而每条边以权重表示，因此遍历轨迹也是一个权重序列；然后使用n-gram方法处理权重序列得到一个权重序列n-gram集合，将集合中相似的项合并，得到权重序列胎记集合WSB；

步骤4：根据余弦计算公式，并将WSB长度之比作为参数，定义拓展的余弦相似度，计算每对程序的相似度；

WSB相似性算法描述如下：对两个WSB A＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>},B＝{<k‘₀,v‘₀>,<k‘₁,v‘₁>,…,<k‘_m,v‘_m>}，

集合S＝KeySet(A)∪KeySet(B)；

根据以下规则构建A对应的向量

其中，0≤i≤r，v_i表示A中s_i对应的值，s_i∈S；

同理，构建B对应的向量

然后根据以下公式计算向量

和

的拓展余弦值：

计算结果即表示两个WSB的相似度；

步骤5：改变输入，对每对程序重复步骤1-4，得到其平均相似度，并与相似度阈值ε对比；当平均相似度大于或等于1-ε时，判定程序相似；当平均相似度小于或等于ε时，判定程序不相似；当平均相似度大于ε且小于1-ε时，对相似性不做判定。

2.根据权利要求1所述基于动态控制流图权重序列胎记的软件相似性检测方法，其特征在于，所述步骤2中，软件的带权动态控制流图为基于动态基本块粒度的软件结构图，表示为一个3元有向图：

WDCFG＝(N,E,W)

其中，N表示节点集合，n∈N表示一个动态基本块；E表示边集合，e(n₀→n₁)∈E表示基本块n₁在n₀执行后立即执行；W表示权重集合，w∈W与某条边相关联，表示这条边在程序执行过程中的重复次数。

3.根据权利要求2所述基于动态控制流图权重序列胎记的软件相似性检测方法，其特征在于，所述步骤3中，权重序列n-gram集合表示为

其中

表示权重序列，V表示具有相同

值n-gram项的频数累计；为简化表示，

根据极坐标公式转换为K＝(r,α)，表示为：

其中，

表示单位向量；

WSB为基于软件带权动态控制流图权重序列特征的动态软件胎记，表示为集合<K,V>＝{<k₀,v₀>,<k₁,v₁>,…,<k_n,v_n>}，其中V表示具有相同K值的n-gram项的频数累计，K是权重序列n-gram项的极坐标表示。

Images