面向软件静态检测缺陷的推荐与评估技术研究

Early detection of vulnerabilities in open source softwares plays a crucial role in cyberspace security attack and defense. Defect static detection methods based on software source code play an important role in vulnerability mining, which are indispensable automated analysis technology for vulnerability exploiters and analysts. However, there are well-known challenges and limitations in its use: 1. The high false alarm rate that can not be ignored due to over-abstraction still relies on time-consuming and laborious filtering; 2. The number of defect warnings is huge, the sort and grouping of defect warnings are too simple; 3. Even if defects are not false positives, but the number of defects that have really significant impact is small, the distance of a defect from being a true vulnerability is not clear, which still relies on manual auditing. In view of the above challenges and limitations, this application proposes defects clustering method based on the vulnerability cause analysis, defects ranking method based on the similarity comparison between vulnerability information, defects verification method based on guided symbolic execution and defects impact classification technology based on machine learning algorithms.Our research will help vulnerability analysts to reduce excessive information output by static analysis methods, prioritizing, selecting and auditing defects that are most likely to be genuine vulnerabilities.

尽早地发现开源软件资源中的漏洞在网络空间安全攻防对抗中起到了至关重要的作用。缺陷静态检测方法在基于软件源代码的漏洞挖掘中发挥着重要作用，是漏洞挖掘和分析人员使用的必不可少的自动化分析方法。但其存在以下局限性：1、由于过度抽象导致的不可忽视的高误报率，仍然较多地依赖于费时费力的人工经验的筛选过滤；2、检测出的缺陷警告数量多，对缺陷警告的排序和分组方式过于简单；3、即使不是误报但是真正有重大影响的缺陷少，和真实漏洞的距离不明确，需要依靠人工逐一甄别，占据了漏洞分析人员的较大精力。针对上述挑战和局限性，本申请拟针对静态分析缺陷警告，研究基于漏洞成因分析的缺陷关联方法、基于漏洞信息相似性比较的缺陷推荐方法、基于导向符号执行的缺陷验证方法以及结合机器学习算法的缺陷影响分类技术。帮助漏洞挖掘人员处理缺陷静态分析方法输出的过量信息，优先审计和选择最可能为真实漏洞的缺陷。

静态分析工具根据典型漏洞模式，利用控制流和数据流分析等技术对程序代码进行扫描，相对于动态分析，具有检测效率和代码覆盖率高的特点。同时，随着软件数量的迅速增加，规模化漏洞挖掘需求的飞速增长远远超出了专业人员进行源代码漏洞审计分析的速度。现有静态分析工具输出的大量缺陷警告中包含的高误报率现状已经不能满足当前漏洞发现的实际需求，通过分析静态检测缺陷，将缺陷与漏洞成因关系和已知历史漏洞所包含的信息连接起来，优先推荐给漏洞分析人员最疑似漏洞的缺陷，有利于减少漏洞分析过程对专业人员知识的依赖，缓解漏洞爆发带来的挑战，更好地发掘和利用漏洞。.具体地，本研究从缺陷筛选、缺陷验证和相似缺陷发现三个关键维度进行缺陷检测研究。（1）针对常规污点分析处理复杂数据结构不精确以及全程序符号执行开销大的问题，提出了域敏感的污点传播技术和轻量级的路径约束求解方法，疑似缺陷的检出效果优于现有工具KINT；（2）针对现有输入生成技术中的模糊测试盲目性大、全程序符号执行开销大、然而现有两项技术的结合方法并不适用于缺陷自动验证的问题，提出了基于输入距离指导的模糊测试方法和基于支配序列探索策略的符号执行方法，缺陷自动确认效果优于已有工具Driller和AFLGo。（3）提出了一种版本敏感特征的选择方法来检测因复用有漏洞的开源软件版本导致的软件缺陷，设计了有效的相似性比对方案计算二进制代码和不同版本源代码之间的相似程度，版本识别效果优于现有开源工具OSSPolice和商业工具Cybellum。相关关键技术及研究成果已整理成文，发表在Usenix Security、ASE、ICSE、DSN、CyberSecurity等会议期刊(共10篇，其中CCF-A类3篇，B类2篇)上，以及申请受理专利(共5项)。