开源无处不在,从底层芯片、驱动、固件,到操作系统、浏览器、应用软件,都有开源软件的应用,基于组件的开发和代码重用大大提高了软件开发的效率。然而,开源项目维护者对代码安全质量重视不够和技术能力水平不足,开源代码的依赖和引用关系较为复杂,其安全性也往往缺少审查和管理,因此,开源软件也增加了软件供应链的复杂性和安全风险,许多开源漏洞也被引入到闭源二进制文件中。因此,检测闭源二进制代码中复用的开源代码,研究源码和二进制代码相似性比对技术具有现实意义。现有研究多关注源码和源码之间,或者二进制代码之间的相似性比对,对此类问题的相似性比对方法的研究比较成熟。源码之间的相似性比对常用于解决代码克隆检测,代码搜索等问题,二进制代码相似性比对常用于解决漏洞搜索,补丁分析,恶意软件检测等问题。代码比较的粒度一般为基本块,函数,或者整个程序,以确定它们的异同。然而,由于源代码和二进制代码之间的巨大差异,很少有研究对二进制源代码匹配进行研究。将源代码编译成二进制代码的过程中,可能会选择随机或固定配置的编译选项,比如不同的编译器版本,编译优化等级,目标架构,从而生成完全不同的二进制代码,大大增加了源码和二进制代码相似性比对的难度。同时由于源码和二进制代码具有完全不同的语法形式,无法直接从源码和二进制代码提取足够的特征进行相似性比对。针对以上这些挑战,本文的主要研究内容如下:1.提出基于中间表示的源码和二进制代码转换方法。由于源码和二进制代码语法形式完全不同,从源代码和二进制代码本身可以直接提取并用于比较的特征不足,且对于代码语义不具有代表性。为解决源码和二进制代码直接进行比对困难的问题,本文提出将两者转换为相同形式的中间表示,同时尽可能保留源码和二进制代码的语义信息,从而具有跨语言和跨平台的特性。2.提出基于中间表示的代码语义表示学习方法。为了从代码中间表示语句中获得语义特征,将程序语言类比自然语言,根据出现在相同上下文中的语句具有相似的语义这一思想,通过提取代码中间表示的数据流和控制流等特征,作为代码运行过程中上下文的语义关系,利用自然语言处理模型Word2vec对代码的中间表示进行词嵌入训练,从而获得代码的语义表示。3.实现基于中间表示的源码和二进制代码相似性比对工具。设计并实现基于中间表示的源码和二进制代码相似性比对工具,以要分析的源码和二进制代码作为输入,以代码相似性评价作为输出,依次设计并实现数据集构造及预处理模块,基于LLVM IR的数据流图和控制流图构造模块,基于LLVM IR的词嵌入训练模型,以及代码相似性比对模块。