WO2023015783A1

WO2023015783A1 - 基于漏洞情报的智能终端操作系统漏洞修复方法及系统

Info

Publication number: WO2023015783A1
Application number: PCT/CN2021/134944
Authority: WO
Inventors: 武延军; 吴敬征; 倪琛; 罗天悦; 武斌
Original assignee: 中国科学院软件研究所
Priority date: 2021-08-10
Filing date: 2021-12-02
Publication date: 2023-02-16
Also published as: CN113626829A

Abstract

一种基于漏洞情报的智能终端操作系统漏洞修复方法及系统，该方法包括远程智能终端漏洞检测系统根据异常智能终端的主系统内核版本信息，选择对应的内核代码；利用从漏洞情报中获取的若干内核漏洞代码段，分别匹配内核代码，并根据匹配结果，从漏洞情报中获得内核漏洞关联数据；将依据内核漏洞关联数据生成的内核修复程序发送至异常智能终端，以进行主系统漏洞修复。该方法实现了智能终端安全态势感知和漏洞修复，帮助智能终端使用人员抵御安全威胁和0-day攻击，减少受到攻击后检测时间和修复时间；可有效应对移动互联网攻击行为和安全漏洞风险，最终提升智能终端安全性。

Description

基于漏洞情报的智能终端操作系统漏洞修复方法及系统

技术领域

本发明属于信息技术、计算机软件技术领域，具体涉及一种基于漏洞情报的智能终端操作系统漏洞修复方法及系统。

背景技术

随着全球移动智能终端产业的持续发展，以智能手机、平板电脑为代表的智能移动终端深入人们生活的方方面面。移动终端的快速崛起，使其业务范围从传统的通信，逐步发展到涵盖办公、支付、公共管理、国家安全等高敏感的业务场景。

智能终端操作系统功能的逐渐复杂，终端系统的安全防御加固技术面临着越来越大的挑战。恶意应用可以利用系统漏洞、流量劫持、数据篡改等方式，显示虚假界面，达到其欺骗用户，获取用户隐私账号等恶意目的，甚至会带来人员伤亡和重大经济损失。这就需要在敏感场景下提供针对智能终端的操作系统安全加固。

现有的智能终端安智能终端安全机制和安全升级策略为，在发现漏洞后，开发者进行漏洞修复并为使用者提供安全升级。这种传统的处理方式，只能处理已披露的漏洞，而在抵御未知安全威胁和0-day攻击方面，缺乏有效的主动应对策略，无法有效应对移动互联网攻击行为和安全漏洞风险对操作系统安全形成严重威胁。

发明内容

针对智能终端操作系统的未知安全威胁，为了提高安全可信智能终端操作系统的主动安全防御能力，本发明提出一种基于漏洞情报的智能终端操作系统漏洞修复方法及系统，通过感知操作系统威胁并进行漏洞检测修复，可有效帮助智能终端使用人员抵御安全威胁和0-day攻击，减少受到攻击后检测时间和修复时间，可有效应对移动互联网攻击行为和安全漏洞风险，进而提升智能终端安全性。

为实现上述目的，本发明采用如下技术方案：

一种基于漏洞情报的智能终端操作系统漏洞修复方法，适用于一远程智能终端漏洞检测系统与至少一个智能终端组成的系统，其步骤包括：

1)远程智能终端漏洞检测系统根据异常智能终端的主系统内核版本信息，选择对应的内核代码；

2)利用从漏洞情报中获取的若干内核漏洞代码段，分别匹配内核代码，并根据匹配结果，从漏洞情报中获得内核漏洞关联数据；

3)将依据内核漏洞关联数据生成的内核修复程序发送至异常智能终端，以进行主系统漏洞修复。

进一步地，通过以下步骤判断智能终端是否异常：

1)智能终端对主系统中的安全相关数据进行分类及关联，得到整合安全数据；

2)分析整合安全数据，判断智能终端是否异常。

进一步地，智能终端实时监控与判别所述安全相关数据。

进一步地，通过以下步骤得到整合安全数据：

1)对安全相关数据进行分类后，在安全相关数据之间形成关联规则；

2)利用所述关联规则，对安全相关数据进行整合，得到整合安全数据。

进一步地，通过以下步骤生成内核修复程序：

1)根据内核漏洞关联数据，分别获得漏洞的修复补丁及主系统的构建环境数据；

2)基于修复补丁与构建环境数据进行编译构建，生成内核修复程序。

进一步地，智能终端异常时，自动切换到备系统。

进一步地，通过以下步骤进行主系统漏洞修复：

1)在备系统中执行内核修复程序；

2)重启异常智能终端，并进入修复后的主系统。

一种基于漏洞情报的智能终端操作系统漏洞修复系统，包括：

一远程智能终端漏洞检测系统，用以根据异常智能终端的主系统内核版本信息，选择对应的内核代码；利用从漏洞情报中获取的若干内核漏洞代码段，分别匹配内核代码，并根据匹配结果，从漏洞情报中获得内核漏洞关联数据；将依据内核漏洞关联数据生成的内核修复程序发送至异常智能终端；

至少一个智能终端，用以在异常时提供主系统内核版本信息；基于内核修复程序进行主系统漏洞修复。

与现有技术相比，本发明具有以下优势：

1、建立智能终端感知系统，对智能终端主系统的安全相关数据进行收集和判别，并在出现数据状态异常时切换到备系统；

2、利用远程智能终端漏洞检测系统，对主系统的内核代码进行漏洞检测，得到主系统内核中存在的漏洞；根据主系统内核漏洞检测结果，利用远程智能终端漏洞修复系统，生成主系统的内核修复程序；利用内核修复程序修复主系统，完成主系统漏洞修复；

3、实现了智能终端安全态势感知和漏洞修复，帮助智能终端使用人员抵御安全威胁和0-day攻击，减少受到攻击后检测时间和修复时间；

4、可有效应对移动互联网攻击行为和安全漏洞风险，最终提升智能终端安全性。

附图说明

图1是实施例的基于漏洞情报的智能终端操作系统漏洞检测和修复技术的流程图。

图2是实施例的基于漏洞情报的智能终端操作系统漏洞检测和修复技术的各个处理模块示意图。

图3是实施例中智能终端漏洞感知及漏洞修复的流程图。

图4是实施例中远程平台处理示意图。

具体实施方式

下面结合附图，通过实施例对本发明作进一步的说明。

本发明基于安全漏洞领域知识构建的漏洞情报，通过对每个安全漏洞进行概念刻画与描述，挖掘漏洞、软件、威胁等相关事务之间的联系，并形成人可理解、机器可计算的通用知识结构，进而替代漏洞数据采集、分析、漏洞检测、定位、威胁评估、修复优先级和策略规划等需要人为参与的工作，帮助实现更精准的漏洞检测、更直观的威胁评估、更合理的修复指导与更丰富的修复手段。

本实施例的漏洞修复方法，其总体流程如图1所示，各个处理模块如图2所示，该方法主要包括以下步骤：

1)建立智能终端感知系统，对智能终端主系统的安全相关数据进行收集和判别，并在数据异常时切换到备系统。

具体地，建立智能终端感知系统，对智能终端主系统的安全相关数据进行收集和判别的步骤流程如图3所示，具体说明如下：

1a)在智能终端系统启动，进入主系统，转到1b)；

1b)实时收集系统中安全相关数据，对不同特征的安全相关数据进行分类、关联。转到1c)；

1c)对不同类型的数据，进行分析判别，转到1d)；

1d)判断数据是否异常，若是转到1f)，否则转到1e)；

1e)继续对系统进行监控，转到1b)；

1f)切换到备系统，并记录主系统内核版本信息。

2)利用远程智能终端漏洞检测系统，对主系统的内核代码进行漏洞检测，得到主系统内核代码中存在的漏洞。

具体地，对主系统的内核进行漏洞检测，得到主系统内核中存在的漏洞的步骤流程如图4所示，具体说明如下：

2a)将1f)中的内核版本信息，推送到远程智能终端漏洞检测系统，转到2b)；

2b)根据主系统内核版本，从主系统内核代码库中选择对应版本的内核代码，作为主系统被测代码，转到2c)；

2c)从漏洞情报中获取内核漏洞代码段，作为漏洞代码特征数据，转到2d)；

2d)使用2c)中漏洞代码特征数据，在2b)主系统被测代码中，匹配未被修复的代码段，即得到主系统内核漏洞代码，则转到2e)；

2e)根据2d)中存在匹配结果的漏洞代码特征数据，从漏洞情报中获得主系统内核漏洞关联数据。

3)根据主系统内核代码漏洞检测结果，利用远程智能终端漏洞修复系统，生成主系统的内核修复程序。

具体地，远程智能终端漏洞修复系统，生成主系统的内核修复程序的步骤流程如图4所示，具体说明如下：

3a)从2e)中主系统内核漏洞关联数据，获得漏洞的修复补丁，转到3b)；

3b)从2e)中主系统内核漏洞关联数据，获得系统的构建环境数据，转到3c)；

3c)将3a)的修复补丁，在3b)中的环境中进行编译构建，得到主系统内核修复程序，转到3d)；

3d)将3c)中的内核修复程序，推送到智能终端的备系统。

4)利用内核修复程序修复主系统，完成主系统漏洞修复。

具体地，利用内核修复程序修复主系统的具体说明如下：

4a)在备系统中，执行3d)中的内核修复程序，转到4b)；

4b)重启系统，转到4c)；

4c)智能终端进入主系统，完成修复。

以上实施例仅用于说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求所述为准。

Claims

一种基于漏洞情报的智能终端操作系统漏洞修复方法，适用于一远程智能终端漏洞检测系统与至少一个智能终端组成的系统，其步骤包括：

1)远程智能终端漏洞检测系统根据异常智能终端的主系统内核版本信息，选择对应的内核代码；

2)利用从漏洞情报中获取的若干内核漏洞代码段，分别匹配内核代码，并根据匹配结果，从漏洞情报中获得内核漏洞关联数据；

3)将依据内核漏洞关联数据生成的内核修复程序发送至异常智能终端，以进行主系统漏洞修复。
如权利要求1所述的方法，其特征在于，通过以下步骤判断智能终端是否异常：

1)智能终端对主系统中的安全相关数据进行分类及关联，得到整合安全数据；

2)分析整合安全数据，判断智能终端是否异常。
如权利要求2所述的方法，其特征在于，智能终端实时监控与判别所述安全相关数据。
如权利要求2所述的方法，其特征在于，通过以下步骤得到整合安全数据：

1)对安全相关数据进行分类后，在安全相关数据之间形成关联规则；

2)利用所述关联规则，对安全相关数据进行整合，得到整合安全数据。
如权利要求1所述的方法，其特征在于，通过以下步骤生成内核修复程序：

1)根据内核漏洞关联数据，分别获得漏洞的修复补丁及主系统的构建环境数据；

2)基于修复补丁与构建环境数据进行编译构建，生成内核修复程序。
如权利要求1所述的方法，其特征在于，智能终端异常时，自动切换到备系统。
如权利要求6所述的方法，其特征在于，通过以下步骤进行主系统漏洞修复：

1)在备系统中执行内核修复程序；

2)重启异常智能终端，并进入修复后的主系统。
一种基于漏洞情报的智能终端操作系统漏洞修复系统，包括：

一远程智能终端漏洞检测系统，用以根据异常智能终端的主系统内核版本信息，选择对应的内核代码；利用从漏洞情报中获取的若干内核漏洞代码段，分别匹配内核代码，并根据匹配结果，从漏洞情报中获得内核漏洞关联数据；将依据内核漏洞关联数据生成的内核修复程序发送至异常智能终端；

至少一个智能终端，用以在异常时提供主系统内核版本信息；基于内核修复程序进行主系统漏洞修复。
如权利要求8所述的系统，其特征在于，通过以下步骤判断智能终端是否异常：

1)智能终端对主系统中的安全相关数据进行分类及关联，得到整合安全数据；

2)分析整合安全数据，判断智能终端是否异常。
如权利要求8所述的系统，其特征在于，通过以下步骤生成内核修复程序：

1)根据内核漏洞关联数据，分别获得漏洞的修复补丁及主系统的构建环境数据；

2)基于修复补丁与构建环境数据进行编译构建，生成内核修复程序。