论文学习_How Machine Learning Is Solving the Binary Function Similarity Problem

已于 2024-05-31 13:53:38 修改
阅读量885 收藏 21
点赞数 29
分类专栏: 论文学习 文章标签: 学习 人工智能 深度学习
于 2024-05-16 18:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitsch0x97/article/details/138943680
版权
论文名称 发表时间 发表期刊 期刊等级 研究单位

How Machine Learning Is Solving the Binary Function Similarity Problem

 2022年 USENIX 安全顶会 思科公司

0.  摘要

研究背景:在各种不同的问题中,精准计算两段二进制代码相似性(代码相似性检测)的能力发挥着非常重要的作用。安全、编程语言分析、机器学习等多个研究社区,专注于这一主题长达五年之久,并且发表了数百篇关于该主题的论文。

现存问题:从微观角度来讲,相关研究从可重复性到结果透明性均存在不同程度的问题。从宏观角度来讲,现有研究大部分关心非常具体的细分领域,无法有效的推广到整个研究领域。

研究内容:对代码相似性检测领域的最新研究进行测试,(1)系统化现有的研究体系,(2)对三类代码相似性检测技术进行深入研究,(3)构建新的数据集对上述三类技术进行测试,(4)针对该领域提出新问题并解答。

1. 引言

二进制函数相似性检测定义:二进制函数相似性检测是将一堆函数的二进制表示作为输入,并输出可以表示它们之间“相似性”的一个数值。由于,(1)软件使用不同的工具链、编译器优化、编译器标志进行编译,(2)物联网设备等场景中,软件被编译为不同的架构,二进制函数的相似性的有效检测变得相当困难。

二进制函数相似性检测的现实意义:二进制函数相似性检测在不同的系统安全领域起着非常重要的作用,(1)逆向工程师使用二进制代码相似性检测方法将目标函数与先前生成的数据库中的函数进行匹配,(2)运维人员使用二进制代码相似性检测方法将目标函数与漏洞函数进行匹配,(3)该技术还与binary diffing与binary patch相关。

二进制相似性检测研究面临的挑战:(1)研究内容复现困难,提供源代码的研究较少,且这些源代码大都存在可用性差的问题。(2)评估结果透明性差,不同研究采用不同的评价指标,无法有效比较不同的研究成果。某些工作建立在特定的pipelines,无法确定pipeline对实验结果的影响(3)前面的两个挑战导致二进制代码相似性研究方向发散,同一领域内存在数十种不同的技术。

2. 二进制函数相似性检测问题

二进制相似检测旨在计算一个数值,该数值可以表示两个二进制之间的“相似性”。其中,二进制代码是由编译器生成的机器码,二进制代码可以是二进制函数、二进制基本块、二进制程序(一般为二进制函数),由同一份源码编译而成的不同二进制函数(不同架构,不同编译器设置)被定义为同源二进制函数

2.1 函数相似性检测

函数相似性检测方法:直接检测 vs. 间接检测

函数相似性检测可分为直接检测间接检测两大类,直接检测通过原始输入数据或原始输入数据的特征实现函数相似性检测,间接检测通过输入特征的低维表示实现函数相似性检测。

直接检测:这类方法需要从看似不相关的输入特征(原始数据或原始输入数据的特征表示)中识别出相似性指标,由于存在无法通过输入特征线性表示的相似性指标,研究人员建议使用机器学习方法进行相似性检测。常见的机器学习方法包括,贝叶斯网络、卷积神经网络、图匹配网络、前馈神经网络。

为了找到相似的函数,这些方法需要搜索整个数据集,并将目标函数与数据集中的所有函数进行比较,这不是一个可扩展的方案。许多方法实施索引策略,如基于树的数据结构、局部敏感哈希、布隆过滤器、自定义过滤器、聚类技术、分布式搜索方法等。

间接检测:这类方法将输入特征映射到“压缩”的低维表示,可以使用距离度量(欧几里得距离、余弦距离)轻松地相互比较。这些解决方案运行有效地一对多比较。例如,如果需要将目标函数与整个数据集进行比较,可以首先将数据集中的所有函数映射到其各自的低维表示,然后对目标函数执行相同地操作,最后通过使用近似最近邻等有效技术来比较这些表示。

间接检测中输入特征的低维表示:模糊哈希 vs. 嵌入技术

通过间接检测实现函数相似性检测的过程中,一般通过模糊哈希或者嵌入技术生成输入特征的低维表示。模糊哈希算法不同于传统加密哈希算法,通过专门的设计将相似的输入值映射到相似的哈希值。嵌入技术属于机器学习技术,通过机器学习模型将语义相似的输入映射到低维空间中相近的点。

模糊哈希:Pagani等人深入研究模糊哈希对原始可执行文件低维表示的有效性,发现原始字节的微小变化会显著影响低维输出。Thomas等人提出定制化更强的FunctionSimSearch技术,通过模糊哈希实现原始可执行文件的高效表示。

嵌入技术:机器学习模型的目标是学习如何生成嵌入向量,以最大化同源函数之间的相似性并最小化非同源函数之间的相似性。常见的嵌入技术包括代码嵌入技术于图嵌入技术。

常见的嵌入技术:代码嵌入技术 vs. 图嵌入技术

代码嵌入技术:许多研究人员尝试采用现有的自然语言处理(NLP)技术,通过将汇编代码视为文本来解决二进制函数相似性检测的问题。这些解决方法处理标记流(例如指令、助记符、操作数、标准化指令)并输出对应的嵌入向量,其具体实现可分为三类:(1)基于word2vec,这类方法不能直接应用于跨架构二进制函数相似性检测&#

最低0.47元/天 解锁文章
kitsch0x97
关注
  • 29
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FR.zip_FR_FR Conjugate_problem solving
09-24
With FR conjugate gradient method for solving unconstrained problem
Algorithmic-Problem-Solving.rar_problem solving
09-20
CSCI-算法问题求解,课件,新加坡,计算机
JavaScript_Simple_Problem_Solving
05-10
这里是一些简单的javaScript解决问题的解决方案。 适合初学者。 动物计数 假设您正在穿越丛林。 现在,您周围有许多动物。 您要计算这些。 但是生物的数量正在不断增加。 前10英里每英里有50只动物。接下来的10英里每英里有100只动物。 然后每英里有200只动物。 现在,如何计算这些值显示在animalCount内部。 arrayMax arrayMax使您可以轻松地找到任何阵列中最大的阵列。 arraySum 您可以找到数组中所有数字的总和。 复制 一个简单的解决方案是删除一个数字或一个字符串两次或更多次(如果它在数组中) 交换 如果要将一个变量的值交换到另一个变量,可以执行此操作。
终端应用安全之网络流量分析
有价值炮灰
05-22 2050
前言 在日常对客户端应用进行安全审计或者漏洞挖掘的时候,或多或少都会涉及到网络协议的分析。而对于业务风控安全而言,APP 的网络请求往往也代表着终端安全防御水平的上限,因为客户端是掌控在攻击者手中的,服务端的业务逻辑才是安全的核心兜底保障。 本文是笔者在分析众多 Android 应用协议的过程中所尝试总结的一些经验,大部分情况下也可以适用于其他平台的终端应用,如 iOS、macOS、Windows 等,尽管各个操作系统中会存在一些特有的小技巧。 网络流量分析 在介绍具体的流量分析方法之前,我们需要先明确流量
论文笔记】Deep Learning on Graphs: A Survey
weixin_44884854的博客
09-24 3789
1 INTRODUCTION This problem is non-trivial because several challenges exist in applying traditional deep learning architectures to graphs: 这个问题是非常重要的,因为在将传统的深度学习架构应用于图形时存在一些挑战: Irregular structures of graphs.图的不规则结构 Heterogeneity and diversity of graphs.图的
[论文分享] How Machine Learning Is Solving the Binary Function Similarity Problem
fa1c4的blog
06-12 567
paper note: how machine learning is solving the binary function problem
Machine Learning Basics(3)
Geek
07-17 871
CONTENTS Supervised Learning Algorithms Roughly speaking, learning algorithms that learn to associate some input with some output, given a training set of examples of inputs xxx and outputs yyy. In many cases the outputs yyy may be difficult to collect au
SPFA.rar_SPFA_problem solving
09-21
Solving the shortest path problem
HS.zip_HS_problem solving
09-23
With HS conjugate gradient method for solving unconstrained problem
ICLR 2014 International Conference on Learning Representations深度学习论文papers
GarfieldEr007的专栏
03-29 5387
ICLR 2014 International Conference on Learning Representations Apr 14 - 16, 2014, Banff, Canada   Workshop Track Submitted Papers Stochastic Gradient Estima
七月论文审稿GPT第2.5和第3版:分别微调GPT3.5、Llama2 13B以扩大对GPT4的优势
结构之法 算法之道
02-04 3705
我司自去年7月份成立大模型项目团队以来,至今已有5个项目组,其中所有项目均为会对外上线发布的商用项目,而论文审稿GPT至今在过去的半年已经迭代两个版本,其中第二版的效果甚至超过了GPT4(详见《),为了持续累积与原始GPT4的优势,我们如今正在迭代第2.5版本:包括对GPT3.5 turbo 16K的微调以及llama2 13B的微调,本文也因此而成。
学习整理 docker
wonder_dog的博客
05-31 308
nexus。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 606
简单学懂interval函数
超大功率光伏并网逆变器学习(三相) 一
我的博客
05-31 372
1.超大功率用的IGBT开关频率通常很低,比如6KHz。2.线电压和相电压的关系。
柳州市哪里有学编程的最好:探索编程学习的最佳选择
liyrbtqe_66w的博客
05-30 473
然而,面对市场上琳琅满目的编程培训机构,如何选择最适合自己的学习场所,却成为了一个令人困惑的难题。本文将从四个方面、五个方面、六个方面和七个方面,深入剖析柳州市编程学习的最佳选择,帮助您在众多选项中找到最适合自己的编程学习之路。这包括线上的课程平台、线下的培训机构以及高校的相关专业等。柳州市的编程学习机构各具特色,有的注重实战项目经验,有的强调基础理论学习,还有的则提供个性化的定制课程。通过深入了解各机构的特色与优势,并结合自身的需求和兴趣进行选择,相信您一定能在柳州市找到最佳的编程学习之路。
人工智能学习笔记(2):认识和安装Stable Diffusion
最新发布
superatom01的博客
06-01 926
摘要:Stable Diffusion是一种基于深度学习的生成模型,主要用于文本到图像的转换。Stable Diffusion 的厉害之处在于它可以在运行于大多数配备有合适 GPU 的个人计算机上,而且,它开源了项目代码和模型权重。这样一来,开发者就可以在它的基础上进行二次开发、做插件、做工具,这就有了如今结合 Stable Diffusion 流行起来的 Stable Diffusion WebUI、LoRA、ControlNet 等开源项目。
ThreeJS 官方案例学习(webgl_clipping)
qq_59315646的博客
05-30 142
【代码】ThreeJS 官方案例学习(webgl_clipping)
TH方程学习(4)
weixin_57997461的博客
05-31 268
在本节将会对TH方程打包成一个函数,通过输入目标星的轨道要素,追踪星在目标星VVLH坐标系下的相对位置和速度,以及预报的时间,得到预报时刻追踪星在VVLH坐标系下的位置和速度,以及整个状态转移矩阵。其中 STKVVLh,STKVVLh2的数据通过STK计算得到的VVLH坐标系,其数据在作者的数据包里可以免费下载,最后得到四个图。合并(1)(2),得到归一化形式的XZ方向的状态转移矩阵。,(3),得到归一化形式的Y方向的状态转移矩阵。根据归一化,可以写成的矩阵形式如下所示。所以合并后的形式可以写为。
Write pytorch-based Python code to implement a neural network that solves solving binary classification problem with an output layer of a positively weighted sub-network plus a negatively weighted sub-network, where the negative weights are random and take the opposite of the absolute value of the standard normal distribution, the exact value of the two weights are obtained from the objective function by Back propagation.
07-08
The objective function is defined using the `nn.BCEWithLogitsLoss` loss function, which combines a sigmoid activation function and a binary cross-entropy loss. Finally, we define the training loop ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值