基于VulDeePecker的智能合约检测新方法

基于VulDeePecker的智能合约检测新方法

（1）VulDeePecker是什么？

VulDeePecker是基于深度学习的漏洞检测系统，主要针对C/C++代码的漏洞进行检测。它提出使用code gadgets来表示程序，然后将code gadgets转换成向量输入神经网络进行学习，利用学习后的模型进行漏洞检测。

 

（2）VulDeePecker的方法

它提出了使用code gadgets的方法来表示程序，具体而言，是为了使深度学习适合于漏洞检测。code gadgets是由一些代码行组成的程序声明，这些代码行之间有语义相关。为了生成这些code gadgets，提出了一种key points的概念，某种程度上这些key points暗示代码中漏洞的存在。对于由于库/ API函数调用的不当使用而导致的漏洞，key point是库/ API函数调用；对于由不正确使用数组引起的漏洞，key point是数组。值得注意的是，一类漏洞可能有多种key point。例如，缓冲区错误漏洞可能对应于以下关键点：库/ API函数调用，数组和指针。 此外，多种类型的漏洞中可能存在相同类型的关键点。例如，缓冲区错误和资源管理错误漏洞都可能包含库/ API函数调用的关键点。

在VulDeePecker中，专注于使用库/ API函数调用的特定key point来证明其在基于深度学习的漏洞检测中的有用性。 而对于库/ API函数调用这个key point，code gadgets可以通过数据流程或程序的控制流程分析生成。

而基于深度学习的VulDeePecker，它分为学习阶段和检测阶段，如下图：

具体方法如下：

1. 从C/C++代码中提取出库/ API函数调用，然后对每个库/ API函数调用提取一个或多个程序片，程序片之间是有语义相关的。

2. 将多个程序片组合成一个code gadget，然后对每个code gadget标注，有漏洞的标为“1”，没有漏洞的标为“0”，作为ground truth。

3. 将code gadgets转化为特定的符号表示，旨在保存训练代码程序的语义信息，然后将这些符号表示转化为向量。

4. 向量和标注好的ground truth作为输入，使用BLSTM进行训练。

而对于特定的库/ API函数调用，这里使用了两种程序切片的方式：前向切片和后向切片。前向：库/ API函数调用是直接从外部输入接收一个或多个输入的函数调用，例如命令行，程序，套接字或文件。后向：库/ API函数调用是不直接从程序运行的环境接收任何外部输入的函数调用。文中使用后向库/ API函数调用strcpy(buf, str)为了例子进行了分析。

用户自定义的变量映射成符号名（“VAR1”,“VAR2”…），同时将用户自定义的函数映射成符号名（“FUN1”，“FUN2”）。    

每个code gadget通过其符号表示形式编码为矢量。为此，通过词法分析将符号表示中的code gadget划分为一系列token，包括标识符，关键字，运算符和符号。 例如：

“strcpy(VAR1, VAR2)”

表示一个包含7个token的序列，如下：

“strcpy”，“（”，“VAR1”，“，”，“VAR2”，“）”，“；”

为了将这些token转化为向量，这里使用了word2vec工具。而针对BSTLM只能输入固定等长向量的特性，需要做一些调整：

当向量小于固定长度时，有两种情况：如果code gadget是从后向切片生成的，或者是通过组合多个后向切片生成的，在向量的开头填充零；否则，将零填充到向量的末尾；

当向量长于固定长度时，也有两种情况：如果code gadget是从后向切片生成的，或者是通过组合多个后向切片生成的，则删除向量的开始部分；否则，删除向量的结尾部分。

而在神经网络的选择方面，确定这行代码是否存在漏洞需要依赖上下文环境。那些可以处理上下文环境的神经网络可能适合用来做漏洞检测。这条原则建议自然语言处理的神经网络可能适合用作漏洞检测。选择了双向的LSTM来进行漏洞检测。

 

（3）VulDeePecker的限制

VulDeePecker目前的设计，实施和评估有一些局限性。

首先，VulDeePecker的当前设计仅限于通过假设程序的源代码可用来处理漏洞检测。检测可执行文件中的漏洞是一个不同且更具挑战性的问题。

其次，VulDeePecker的当前设计仅涉及C / C ++程序。未来的研究需要使其适应其他类型的编程语言。

第三，VulDeePecker的当前设计仅处理与库/ API函数调用相关的漏洞。如何通过利用其他类型的key point来检测其他类型的漏洞是未来需要研究的方向。

第四，VulDeePecker的当前设计仅适用数据流分析（即，数据依赖性），而不适用于控制流分析（即，控制依赖性）。

第五，VulDeePecker的当前实现仅限于BLSTM神经网络。其他可用于漏洞检测的神经网络还在进行实验。

 

VulDeePecker主要提出了使用深度学习来代码审计的3个原则，code gadget概念以及VulDeePecker工具。VulDeePecker是第一个使用深度学习来进行代码审计的工具，给传统的静态代码审计提供了一个新的思路。但是同样的，数据集的优劣直接关系了漏报率和误报率，怎么样选好数据集是非常重要的一步。相对传统的方法，这是一个难点。文章对VulDeePecker的实现主要通过数据流分析来进行code gadget的生成，进一步我觉得可以对控制流分析来研究生成code gadget，并且文章的漏洞种类不多，无法确定对于其他类型的漏洞是否同样有效，需要进一步的研究。

 

（4）应用于solidity智能合约漏洞检测的想法

基于VulDeePecker的想法，使用深度学习的方法对solidity智能合约的漏洞检测也是有一定的可行性的。Solidity也是一种高级程序语言，也可以用类似的方法根据key point对智能合约代码进行程序分片。

如何对智能合约代码进行分片以及如何使用code gadget表示智能合约代码？

在VulDeePecker中，主要检测的漏洞是缓冲器错误和资源管理错误两种漏洞，对应于两种错误，分别有不同的key points来进行特定的程序分片和code表示，而目前VulDeePecker只针对库/API函数调用这个key point进行了实验，基于此，有如下想法：

（1）首先，Solidity与/C++还是有区别的，并且智能合约代码的漏洞与C/C++的漏洞也是不一样的，所以考虑针对某几个合约漏洞进行检测，如：整数溢出、外部调用、敏感行为、异常、逻辑顺序等，而引发这些漏洞的原因应该被仔细分析，用来作为key points对合约代码进行数据流分析，然后实现程序代码的分片和code gadget的组合。

问题：已有的solidity合约数量庞大，如何定义这些key points，使用什么样的方式进行代码数据流分析，是需要思考的地方。

（2）第二，因为智能合约代码的分析有不同之处，所以是否可以针对某一个特定漏洞（如重入漏洞）进行分析，找到有关重入漏洞的key point然后进行数据流分析。

如果是简单的代码处理，那经过深度学习后的结果肯定是不理想的，所以对于数据集的制作是至关重要的，并且数据集的选取和制作的工作量很大，需要针对特定的问题提出特定的方法。

 

VulDeePecker原文：https://arxiv.org/abs/1801.01681