CN109525556A

CN109525556A - 一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统

Info

Publication number: CN109525556A
Application number: CN201811215517.7A
Authority: CN
Inventors: 王继业; 孙利民; 周亮; 韩丽芳; 朱朝阳; 应欢; 孙玉砚; 卢新岱; 缪思薇; 邱意民; 余文豪; 庞铖
Original assignee: State Grid Corp of China SGCC; State Grid Zhejiang Electric Power Co Ltd; China Electric Power Research Institute Co Ltd CEPRI
Current assignee: State Grid Corp of China SGCC; State Grid Zhejiang Electric Power Co Ltd; China Electric Power Research Institute Co Ltd CEPRI
Priority date: 2018-10-18
Filing date: 2018-10-18
Publication date: 2019-03-26
Anticipated expiration: 2038-10-18
Also published as: CN109525556B

Abstract

本发明公开了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞，能够为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

Description

一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统

技术领域

本发明涉及网络协议安全、物联网/工业控制系统安全及安全测试技术领域，并且更具体地，涉及一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统。

背景技术

如今，嵌入式系统已广泛应用于众多应用中。嵌入式系统中的固件通常是定制的，以提供一组非常专业化的功能。他们很容易发生异常风险，但传统的整体程序分析在发现漏洞方面效率很低。首先，源代码和设计文档通常是专有的，因此只有二进制固件映像可用，所以静态分析由于缺乏语义信息而非常耗时。然后，由于不同嵌入式设备的外设存在很大差异，统一的动态仿真分析极为困难。另外，固件比较技术受到大的时间和空间开销以及低精度的影响。

因此，需要一种高效发现嵌入式系统中污点类协议漏洞的方法，以发现嵌入式系统固件中的协议漏洞。

发明内容

本发明提出一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，以解决如何发现嵌入式系统固件中协议漏洞的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法，所述方法包括：

步骤1，分析获取的多个嵌入式设备的固件映像中每个嵌入式设备的固件映像对应的协议解析模块代码段，并提取每个协议解析模块对应的多个表征特征构造特征向量；

步骤2，将所述多个嵌入式设备的固件映像分为训练集和测试集，利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型；

步骤3，利用所述测试集验证所述协议解析代码分类器模型的准确性是否满足预设要求，若满足，则利用当前的协议解析代码分类器模型识别目标系统的固件映像的代码以获取目标系统的固件映像对应的协议解析模块代码段；反之，调整所述协议解析代码分类器模型的参数并返回步骤2；

步骤4，利用危险代码特征库对获取的目标系统的固件映像对应的协议解析模块代码段进行可以脆弱点快速扫描；

步骤5，构建控制流图、控制依赖和数据依赖图，以提取出脆弱点的数据源路径；

步骤6，构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞。

优选地，其中对构造的特征向量进行归一化处理，使用对数变换来标准化所有的表征特征，以避免特征的差异性对分类算法的影响。

优选地，其中所述特征分为调用关系特征、控制结构特征和协议字段特征，包括：switch跳转分支、循环结构、特殊字符比较、字符串信息、strcmp或strstr字符串处理函数、函数块数量、函数被调用次数以及调用子函数次数。

优选地，其中使用自动提取工具自动提取二进制程序，手动分析找到主服务程序，以获取目标系统的固件映像的代码；其中，所述自动提取工具包括：Binwalk和firmware-mod-kit。

优选地，其中所述危险代码特征库包括：不安全库函数、未检查的缓冲区拷贝代码片段、内存分配函数和系统调用库函数。

优选地，其中所述控制流图，是指有向控制流图，表示一个程序过程的一种抽象数据结构，图中的节点表示一个程序基本快，节点间的有向边代表控制流路径，能够有效的描述一个程序的执行流程；所述控制依赖图的每条边反映某个条件对变量值的影响；所述数据依赖图的每条边反映一个变量对另一个变量的依赖关系。

优选地，其中所述多类型漏洞模式能够形成多层级漏洞筛选规则，能够筛除一部分安全脆弱点位置，所述多类型漏洞模式包括：缓冲区溢出漏洞、命令注入漏洞和整数溢出漏洞。

根据本发明的另一个方面，提供了一种用于确定嵌入式系统固件中协议漏洞的轻量级系统，所述系统包括：

特征向量构造单元，用于分析获取的多个嵌入式设备的固件映像中每个嵌入式设备的固件映像对应的协议解析模块代码段，并提取每个协议解析模块对应的多个表征特征构造特征向量；

协议解析代码分类器模型确定单元，用于将所述多个嵌入式设备的固件映像分为训练集和测试集，利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型；

协议解析模块代码段获取单元，用于利用所述测试集验证所述协议解析代码分类器模型的准确性是否满足预设要求，若满足，则利用当前的协议解析代码分类器模型识别目标系统的固件映像的代码以获取目标系统的固件映像对应的协议解析模块代码段；反之，调整所述协议解析代码分类器模型的参数并返回协议解析代码分类器模型确定单元；

脆弱点快速扫描单元，用于利用危险代码特征库对获取的目标系统的固件映像对应的协议解析模块代码段进行可以脆弱点快速扫描；

脆弱点的数据源路径提取单元，用于构建控制流图、控制依赖和数据依赖图，以提取出脆弱点的数据源路径；

协议漏洞确定单元，用于构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞。

本发明提供了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征，提取表征特征并构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞。本发明能够根据目标系统的固件映像高效地发现嵌入式系统固件中协议漏洞的问题，为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明实施方式的用于确定嵌入式系统固件中协议漏洞的轻量级方法100的流程图；

图2为根据本发明实施方式的发现嵌入式系统固件中漏洞的架构图；

图3为根据本发明实施方式的确定协议解析代码分类器模型的流程图；

图4为根据本发明实施方式的控制流图、控制依赖和数据依赖图的示例图；

图5为根据本发明实施方式的用于确定嵌入式系统固件中协议漏洞的轻量级系统500的结构示意图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明实施方式的用于确定嵌入式系统固件中协议漏洞的轻量级方法100的流程图。如图1所示，本发明的实施方式提供的用于确定嵌入式系统固件中协议漏洞的轻量级方法能够根据目标系统的固件映像高效地发现嵌入式系统固件中协议漏洞的问题，为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。本发明的实施方式提供的用于确定嵌入式系统固件中协议漏洞的轻量级方法100从步骤101处开始，在步骤101，分析获取的多个嵌入式设备的固件映像中每个嵌入式设备的固件映像对应的协议解析模块代码段，并提取每个协议解析模块对应的多个表征特征构造特征向量。

本发明的实施方式以变电站支持IEC104协议的RTU设备为例。本发明的实施方式提供的发现嵌入式系统固件中漏洞的架构图如图2所示。

协议解析需要处理大量的结构化数据，把这些处理数据的代码片段标记为协议解析模块，同样也是脆弱性安全分析的重要代码片段。通过IDAPro对协议的二进制代码进行分析，人工标记协议解析模块和非协议解析模块，并从这些模块中提取关键的特征，通过经验分析，将特征分为3类：调用关系特征、控制结构特征和协议字段特征。调用关系特征表明一个函数的上下文环境信息，例如协议解析模块处理结构化数据，可能被多个函数调用来处理相同结构的协议数据包，同时，根据不同协议字段执行相应的功能，则需要调用多个函数；控制结构特征，协议代码在执行过程中，依据不同的协议包字段执行不同的路径，会涉及大量的switch跳转分支,相应的函数块数量较大，并且可能需要循环处理网络包数据。协议字段特征，在对协议数据包进行分割处理时，通常使用特殊字符比较，例如换行符、回车符、空格等，以及字符串处理函数strcmp或strstr或strtok等。提取的特征包括：switch跳转分支、循环结构、特殊字符比较、字符串信息、strcmp/strstr等字符串处理函数、函数块数量、函数被调用次数以及调用子函数次数。

优选地，在步骤102，将所述多个嵌入式设备的固件映像分为训练集和测试集，利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型。

优选地，在步骤103，利用所述测试集验证所述协议解析代码分类器模型的准确性是否满足预设要求，若满足，则利用当前的协议解析代码分类器模型识别目标系统的固件映像的代码以获取目标系统的固件映像对应的协议解析模块代码段；反之，调整所述协议解析代码分类器模型的参数并返回步骤102。

图3为根据本发明实施方式的确定协议解析代码分类器模型的流程图。如图3所示，收集多个嵌入式设备的固件映像，作为试验样本集；提取每个固件映像对应的协议解析模块的代码段的能够表征协议解析模块(解析器)的多个特征作为表征特征，并利用多个表征特征构造出特征向量，然后对其进行标准化处理。

在本发明的实施方式中，将实验样本集中的80％作为训练集，其余20％作为测试集，使用SVM算法进行训练，然后进行交叉重复验证，调整参数以使得测试结果满足要求；最终得到满足要求的协议解析代码分类器模型。在本发明的实施方式中，将来自多个固件的63个解析器标为正样本，随机选取300个负样本。将样本分为训练集和验证集，分别为S1和S2，首先将10个特征作为候选，并在S1上构建初始分类器；然后在S2上对分类器进行测试，并且权重最小的特征将被丢弃，根据测试结果选择出使得识别准确率最高的特征；使用SVM算法实现分类器的训练，最终得到满足要求的协议解析代码分类器模型。

在本发明的实施方式中，对目标系统的固件映像进行预处理获取目标系统的固件映像的代码，包括：首先设置系统环境，本发明的实施方式中使用运行在具有Intel XeonE5-2687W v3 CPU和125.8 GiB内存服务器上的的Ubuntu 14.04.2 LTS(GNU/Linux3.13.0-48-通用x86 64)系统。在RTU设备生产厂家获取对应型号的固件文件，使用Binwalk自动提取二进制文件。主要的服务程序被加载到交互式反汇编器(IDA)中，该程序可以将程序从二进制反汇编到汇编形式并恢复其控制流图。由于功能与指令集架构无关，并且反汇编代码足以用于分析，因此我们使用IDA支持的编程API编写Python脚本以提取功能值。

然后，利用训练出来的协议解析代码分类器模型对目标系统的固件进行特征提取，以识别出对应的协议解析模块代码段。

优选地，在步骤104，利用危险代码特征库对获取的目标系统的固件映像对应的协议解析模块代码段进行可以脆弱点快速扫描。

优选地，在步骤105，构建控制流图、控制依赖和数据依赖图，以提取出脆弱点的数据源路径。

在本发明的实施方式中，使用危险代码特征库对提取的协议解析模块代码段进行可疑脆弱点快速扫描。通过抽取协议解析实现代码的特征，完成对协议解析模块的识别。针对该类模块进一步扫描可以脆弱点位置。造成协议安全性问题的有内存安全性缺失、整数溢出、可疑命令注入等。内存安全性缺失主要由不安全库函数(例：strcpy/memcpy/sprintf等)或未检查的缓冲区拷贝代码片段；整数溢出，最常见的是内存分配函数的参数存在算术运算时，由于整数溢出进一步导致内存溢出；可疑命令注入通常是系统调用库函数(system/exec等)命令参数未经合法性检查。主要针对缓冲区溢出、整数溢出和命令注入3类漏洞提取相应的脆弱点函数，如下表1所示：

表1漏洞类型及对应的脆弱点函数

为支持不同架构的软件或固件的二进制代码的脆弱性发现，将二进制代码转换成统一的中间语言。再通过遍历中间语言获取所有的脆弱点函数，建立函数调用地址到脆弱点函数的映射表。

然后，构建协议解析模块的控制流图、控制依赖和数据依赖图。其中，有向控制流图，表示一个程序过程的一种抽象数据结构，图中的节点表示一个程序基本快，节点间的有向边代表控制流路径，能够有效的描述一个程序的执行流程；数据依赖图中每条边反映一个变量对另一个变量的依赖关系；控制依赖图中每条边反映某个条件对变量值的影响。其中，控制流图、控制依赖和数据依赖图如图4所示。

优选地，在步骤106，构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞。

在本发明的实施方式中，基于控制流图、控制依赖和数据依赖图，生成多类型漏洞模式，形成多层级漏洞筛选规则，筛除一部分安全脆弱点位置，把缓冲区溢出、整数溢出和命令注入漏洞统称为污点类型漏洞。

对于每种漏洞，其安全处理描述示例如下：

1)缓冲区溢出漏洞：大多缓冲区溢出漏洞是由于传递给复制操作的长度字段域未进行充分的验证。如：在嵌入式网络设备中，许多缓冲区溢出漏洞是由函数getenv所读取的环境变量参数在传递给memcpy(dst,src,n)之前未进行验证。对于这类漏洞，其数据安全处理描述集合可表示：

DST_mem表示目的地址内存分配大小，n＜symbol表示变量n进行条件约束。

2)命令注入漏洞：一个典型的命令注入漏洞允许攻击者执行任意的shell命令，如常见的系统调用函数system(cmd)，参数cmd在传递到system时未经过合法性校验，该漏洞的安全处理描述集合可表示为：

其中，len(cmd)≤symbol表示对参数cmd的长度进行条件约束。

3)整数溢出漏洞：当内存分配函数的参数存在算术运算时，可能导致内存溢出，如函数malloc(n+1)，当参数n大小为检查时，可能造成整数溢出，并导致内存泄露问题。该漏洞的安全处理描述集合可表示为：

筛选出所有满足条件的脆弱点，对这些脆弱点进行漏洞验证。

基于现有漏洞模式匹配的可疑脆弱点路径，使用符号执行技术对该该脆弱点到可控攻击源路径的所有函数进行动态分析，利用约束求解器对到达脆弱点的路径进行约束求解，生成相应的输入数据，完成对漏洞的验证。

在本发明的实施方式中，改二进制分析工具的代码以支持控制流图、数据依赖和控制依赖图并分析安全敏感函数的输入源，以便于快速找出不安全的路径。

图5为根据本发明实施方式的用于确定嵌入式系统固件中协议漏洞的轻量级系统500的结构示意图。如图5所示，本发明的实施方式提供的用于确定嵌入式系统固件中协议漏洞的轻量级系统500，包括：特征向量构造单元501、协议解析代码分类器模型确定单元502、协议解析模块代码段获取单元503、脆弱点快速扫描单元504、脆弱点的数据源路径提取单元505和协议漏洞确定单元506。

优选地，所述特征向量构造单元501，用于分析获取的多个嵌入式设备的固件映像中每个嵌入式设备的固件映像对应的协议解析模块代码段，并提取每个协议解析模块对应的多个表征特征构造特征向量。

优选地，所述协议解析代码分类器模型确定单元502，用于将所述多个嵌入式设备的固件映像分为训练集和测试集，利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型。

优选地，所述协议解析模块代码段获取单元503，用于利用所述测试集验证所述协议解析代码分类器模型的准确性是否满足预设要求，若满足，则利用当前的协议解析代码分类器模型识别目标系统的固件映像的代码以获取目标系统的固件映像对应的协议解析模块代码段；反之，调整所述协议解析代码分类器模型的参数并返回协议解析代码分类器模型确定单元502。

优选地，所述脆弱点快速扫描单元504，用于利用危险代码特征库对获取的目标系统的固件映像对应的协议解析模块代码段进行可以脆弱点快速扫描。

优选地，所述脆弱点的数据源路径提取单元505，用于构建控制流图、控制依赖和数据依赖图，以提取出脆弱点的数据源路径。

优选地，所述协议漏洞确定单元506，用于构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞。

本发明的实施例的用于确定嵌入式系统固件中协议漏洞的轻量级系统500与本发明的另一个实施例的用于确定嵌入式系统固件中协议漏洞的轻量级方法100相对应，在此不再赘述。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。

Claims

1.一种用于确定嵌入式系统固件中协议漏洞的轻量级方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，对构造的特征向量进行归一化处理，使用对数变换来标准化所有的表征特征，以避免特征的差异性对分类算法的影响。

3.根据权利要求1所述的方法，其特征在于，所述特征分为调用关系特征、控制结构特征和协议字段特征，包括：switch跳转分支、循环结构、特殊字符比较、字符串信息、strcmp或strstr字符串处理函数、函数块数量、函数被调用次数以及调用子函数次数。

4.根据权利要求1所述的方法，其特征在于，使用自动提取工具自动提取二进制程序，手动分析找到主服务程序，以获取目标系统的固件映像的代码；其中，所述自动提取工具包括：Binwalk和firmware-mod-kit。

5.根据权利要求1所述的方法，其特征在于，所述危险代码特征库包括：不安全库函数、未检查的缓冲区拷贝代码片段、内存分配函数和系统调用库函数。

6.根据权利要求1所述的方法，其特征在于，所述控制流图，是指有向控制流图，表示一个程序过程的一种抽象数据结构，图中的节点表示一个程序基本快，节点间的有向边代表控制流路径，能够有效的描述一个程序的执行流程；所述控制依赖图的每条边反映某个条件对变量值的影响；所述数据依赖图的每条边反映一个变量对另一个变量的依赖关系。

7.根据权利要求1所述的方法，其特征在于，所述多类型漏洞模式能够形成多层级漏洞筛选规则，能够筛除一部分安全脆弱点位置，所述多类型漏洞模式包括：缓冲区溢出漏洞、命令注入漏洞和整数溢出漏洞。

8.一种用于确定嵌入式系统固件中协议漏洞的轻量级系统，其特征在于，所述系统包括：

9.根据权利要求8所述的系统，其特征在于，对构造的特征向量进行归一化处理，使用对数变换来标准化所有的表征特征，以避免特征的差异性对分类算法的影响。

10.根据权利要求8所述的系统，其特征在于，所述特征分为调用关系特征、控制结构特征和协议字段特征，包括：switch跳转分支、循环结构、特殊字符比较、字符串信息、strcmp或strstr字符串处理函数、函数块数量、函数被调用次数以及调用子函数次数。

11.根据权利要求8所述的系统，其特征在于，使用自动提取工具自动提取二进制程序，手动分析找到主服务程序，以获取目标系统的固件映像的代码；其中，所述自动提取工具包括：Binwalk和firmware-mod-kit。

12.根据权利要求8所述的系统，其特征在于，所述危险代码特征库包括：不安全库函数、未检查的缓冲区拷贝代码片段、内存分配函数和系统调用库函数。

13.根据权利要求8所述的系统，其特征在于，所述控制流图，是指有向控制流图，表示一个程序过程的一种抽象数据结构，图中的节点表示一个程序基本快，节点间的有向边代表控制流路径，能够有效的描述一个程序的执行流程；所述控制依赖图的每条边反映某个条件对变量值的影响；所述数据依赖图的每条边反映一个变量对另一个变量的依赖关系。

14.根据权利要求8所述的系统，其特征在于，所述多类型漏洞模式能够形成多层级漏洞筛选规则，能够筛除一部分安全脆弱点位置，所述多类型漏洞模式包括：缓冲区溢出漏洞、命令注入漏洞和整数溢出漏洞。