随着开源社区的发展和壮大,互联网上出现越来越多的开源代码和第三方组件。这些开源代码和第三方组件可以为应用程序的开发提供基础支撑。开发人员常常会在互联网、开源代码仓库中检索已有的开源代码,并将已有的功能代码引入到自己的项目中,来提高开发效率。但是开发人员却通常并不掌握他们在开发过程中使用过的组件清单,因此对组件中的安全隐患和已知漏洞也并不知晓。近年来针对软件供应链的攻击报告也越来越多,诸如Heartbleed、Ghost等危害极大且影响广泛的漏洞,都是由软件供应链中未修复的已知漏洞引起的。因此,针对软件供应链进行深入分析对软件的安全性能至关重要。针对软件供应链存在的安全隐患,为解决二进制文件的供应链安全问题,本文进行了基因视角下的软件供应链分析技术研究。本文分别从基本块、函数两个层次依次进行了二进制的相似性比较,提出软件基因语义嵌入、基因图移动距离两个方法,在此基础上对二进制文件的多级依赖关系进行分析,得到其软件供应链中的组件列表,进而检测供应链中存在的已知漏洞。本文主要研究成果如下:1、提出了软件基因语义嵌入方法,实现软件基因的语义编码,解决了基本块粒度的跨指令集二进制语义相似性比较问题。根据汇编指令的控制流关系切分得到最小功能单元,并进行抽象得到软件基因;在机器翻译模型的启发下,设计了基因语义嵌入模型,训练编码器对跨指令集的软件基因进行语义提取,将不同指令集下的基因编码到同一个向量空间下的语义向量。实验证明该方法得到的语义向量尽可能多得保留了汇编序列的语义信息,在汇编序列的语义相似性匹配任务中,该方法比当前主要的方法有着更高的准确率,@10指标达到94.9%。2、提出了图移动距离算法,将其应用于函数基因图的比较,实现了二进制函数的相似性匹配,解决了二进制文件在函数粒度的相似性比较问题。采用图注意力神经网络学习图中节点的空间结构,将节点编码到包含了空间结构和邻居节点信息的节点嵌入。在节点嵌入的基础上,将“搬土距离”(EMD)推广到图匹配问题上,提出了图移动距离,作为图相似性的指标,解决两个图之间的匹配问题,使相似的图之间移动距离更小,不相似的图之间距离更大。实验证明该方法可以有效评估两个基因图之间的相似性,在2、3两个优化选项的函数相似性匹配任务中,@10指标达到87.8%。3、提出供应链中已知漏洞的检测方法,实现对二进制文件的供应链分析,解决了软件供应链中已知漏洞检测的问题。根据函数基因图的相似性,扫描二进制文件中包含的第三方组件和开源代码,分析其多级供应链关系;收集第三方组件中的漏洞信息,比较漏洞函数在漏洞修复前后的基因差异,根据基因差异分析第三方组件中的函数是否是存在漏洞的版本。最终在开源项目Safe Board Messenger上进行了案例分析,证明该方法可以有效分析得到软件的完整供应链关系,并可以检测出软件中存在的已知漏洞。