软件在社会经济和日常生活中起到越来越重要的作用,而其安全现状却不容乐观,因此,软件漏洞检测技术成为了当前安全研究的热点。二进制代码分析是二进制软件漏洞检测的一种常用方法,目前基于二进制代码的静态分析方法已经被广泛应用于漏洞检测,通过构造代码的抽象语法树或计算代码执行路径的编辑距离来进行代码相似性分析。此外,基于机器学习的二进制漏洞搜索工作也取得了很大的进展,通过提取二进制代码的典型特征、构造程序控制流图,并建立机器学习模型来进行代码相似度比较,从而判断二进制软件是否存在已知漏洞。然而这些方法的计算成本巨大,而且未能充分利用二进制代码中的各级别特征以及指令中的语义信息。为此,本文提出了一种新的基于深度学习和图匹配的二进制软件漏洞检测方法FIT,结合深度学习和图匹配的优势,有效地检测软件漏洞。具体来说,本方法首先通过词嵌入技术将每条指令映射为一个定长的实值向量,然后根据3层特征控制流图构造基于长短期记忆模型(LSTM)和深度神经网络的函数预筛选模型,筛选出存在潜在漏洞的可疑二进制函数,最后采用改进的图匹配技术对可疑函数和已知漏洞函数的相似性进行更精准的比较。本方法不仅充分利用了二进制代码的各层特征,而且长短期记忆模型能自动学习指令序列的语义信息,提高了二进制软件漏洞检测的准确性和性能。本文在常用软件OpenSSL、CoreUtils和其他真实软件数据集中进行的一系列实验表明,相比于现有的基于深度学习的二进制漏洞检测方法以及结合机器学习和图匹配的混合方法(Gemini、CVSSA和discovRE),本文提出的方法在性能和准确性上都有提高。具体来说,对于训练模型的准确性,FIT的AUC为0.961,而Gemini、CVSSA和discovRE在相同测试集上的AUC分别为0.889,0.787和0.659;对于图匹配的准确性,FIT比其他方法能找到数量更多的正确匹配函数对;对于真实二进制软件,FIT能够成功检测已知漏洞。此外,对本文词嵌入模型的评估表明,利用词嵌入模型训练得到的指令嵌入能够有效地表示指令的语义信息,有助于提升FIT的漏洞检测能力。