随着社会经济的发展和信息技术的进步,软件已经渗入到了人们生产生活的各个角落,极大地方便了人们的生活,提高了各行各业的效率。但是,随之而来的软件漏洞对人们正常的生产生活产生了巨大的威胁。二进制代码相似性分析又称为二进制比对,其目标是分析给定的两段二进制代码是否相似,可以用来判断两段代码是否具有相同的漏洞,是安全领域的一个研究热点。开展二进制代码相似性分析关键问题研究,有利于完善软件分析理论、改进漏洞检测方法,保护个人、集体和国家的信息安全,具有重要的理论价值和现实意义。经过多年的发展,研究人员在二进制代码相似性分析方面取得了丰硕的成果。但是,现有的二进制代码相似性分析方法仍然存在代码获取不够准确、代码表示方式不够合理、代码比较方法不够高效、代码分析粒度不够灵活等问题。本文针对二进制代码相似性分析中的几个关键问题展开深入研究,主要贡献和创新点包括:一、针对代码获取过程中的基地址检测应用需求,提出了一种基于绝对地址统计和字符串引用匹配的程序基地址检测方法。首先介绍不同体系结构指令集格式和绝对地址加载特点,在此基础上提出了针对不同指令集的绝对地址搜索算法,搜索并统计程序中的绝对地址;之后,根据统计到的绝对地址的分布情况,可以确定候选基地址的范围;最后,利用程序中字符串引用的特点,提出了字符串引用匹配算法,计算每个候选基地址下程序中字符串引用与对应字符串的匹配情况,匹配率最高的候选基地址即为正确的程序基地址。二、针对二进制代码基本块级相似性比较应用需求,提出了一种基于Bi LSTM的基本块嵌入生成方法。根据自然语言处理与二进制代码分析在语义提取、内容总结等方面的相似点,采用自然语言处理的思想和方法来处理二进制代码基本块。首先,将每一条汇编指令视为单词,采用Word2Vec模型对汇编指令进行编码,将其表示为携带语义特征的指令嵌入;然后,将二进制基本块视为句子,利用指令嵌入序列表示二进制基本块,并将其输入到Bi LSTM模型中。Bi LSTM模型可以对每一条指令的语义信息进行累积,最后生成表示整个基本块语义的基本块嵌入。通过计算基本块嵌入之间的距离,可以快速地进行基本块级的二进制代码相似性比较。三、针对二进制代码函数级相似性比较应用需求,提出了一种基于图嵌入的二进制函数相似性分析方法。首先将二进制函数表示为带顶点属性的控制流图ACFG,每个顶点的属性为对应基本块的基本块嵌入;之后,利用Structure2vec网络对二进制函数的ACFG进行编码,将其映射为一个同时包含了顶点属性信息和顶点之间控制流信息的高维图嵌入向量。通过计算函数的ACFG嵌入向量之间的距离,可以快速地进行函数级的二进制代码相似性比较。四、针对相似代码段识别应用需求,提出了一种基于顶点影响力的相似代码段识别方法。首先将相似代码段识别问题形式化为一个子图匹配问题,将二进制代码表示为对应的带属性控制流图ACFG;然后,根据二进制代码分析的特点,提出了一种结合功能影响力和结构影响力的顶点综合影响力度量标准,利用该指标计算查询图中每个顶点的综合影响力,选择综合影响力最大的顶点为中心结点;之后,提出了三种过滤规则,根据该规则在目标图中搜索中心结点的匹配结点,并以该结点为种子结点,根据查询图中每个顶点在最小生成树中的位置,在目标图中扩展查询图的候选子区域;最后,在每个候选子区域中验证相似子图,并计算相似度。五、将二进制代码相似性分析方法成功应用于漏洞检测任务。介绍了漏洞样本库的构建方法,利用本文提出的二进制代码相似性分析相关技术方法,构建了一个CVE漏洞样本库;描述了利用二进制代码相似性分析进行漏洞检测的过程,阐明了如何将本文提出的代码分析方法进行有机地结合,以解决漏洞检测不同环节中的关键问题;通过具体案例分析,详细展示了针对不同的漏洞检测场景选择不同的代码相似性分析方法进行漏洞检测的步骤和细节。