基于补丁特性的漏洞扫描研究

摘要

为抵御漏洞引发的黑客攻击和漏洞自身产生的威胁,1day漏洞应用修复的通用办法是使用代码匹配检测。但目前源代码匹配误报率高,二进制代码匹配不精确且不通用。基于此,提出了一种由源代码到二进制的基于补丁特性的漏洞扫描模型——BinScan。它先形成已知漏洞数据库并对源代码进行已知漏洞扫描得出漏洞检测结果;然后利用源代码检测信息对打补丁前后源代码编译生成二进制文件,形成二进制漏洞库;最后比较目标二进制文件相似性,利用源代码结果进行检验。最终生成Linux Kernel的2700条漏洞数据,15496个patch文件,实现了利用源代码检测限制二进制文件的漏洞检测范围,然后基于CFG和二进制代码相似性检测补丁存在以检测漏洞。检测结果表明,此方法与其他二进制漏洞检测工具相比,可以将源代码级的漏洞扫描能力应用于二进制,是有效的。