《表2 Spec-2006int符号执行结果》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《随机森林在程序分支混淆中的应用》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

众所周知，符号执行和约束求解的局限性在于无法对非线性关系做出良好的求解结果.随机森林是一种典型的非线性分类器，分类结果由投票最多的类决定.分类结果和每棵决策树所输出的结果无线性关联，当输入变化时，得到的投票比也随之变化，分类过程难以被表达为确定的布尔表达式.本文选用了先进的二进制分析平台S2E作为测试工具对被混淆的代码进行分析，将被混淆代码的输入进行标记，探索其执行路径，得到路径约束进行求解.表2为对测试程序进行符号执行的结果.实验结果表明，由于随机森林分类的机制，S2E无法探索被混淆路径分支而导致停机或超出内存，约束求解器无法对混淆后的路径分支进行约束求解，本文提出的混淆方法对当前流行的自动分析工具具有较强的抗逆向分析能力，良好地抵抗了符号执行和约束求解这一新型的逆向分析技术.另外，本文测试了不同规模随机森林对安全性的影响.测试了内含20，50，150，300，400，500棵决策树的随机森林（忽略因随机森林规模较小所造成的误差，即无法过拟合训练集数据）进行符号执行测试，路径探测结果与表2中完全一致.这印证了随机森林对抗符号执行与约束求解具有良好效果的核心原因是随机森林自身的黑盒特性，而非通过堆砌大量的决策树而导致程序路径看上去的“复杂”.