[发明专利]一种基于原子控制流图的物联网设备继承性漏洞挖掘方法

说明书

本发明涉及一种基于原子控制流图的物联网设备继承性漏洞挖掘方法，步骤包括：1)将μCFG形式化表述为S,V,E,H，生成和存储μCFG；2)根据漏洞信息发布平台发布的KV信息构建DB_μCFG(KV)；3)获取特定IoT设备的固件并基于该固件构建DB_μCFG(IoT)；4)根据DB_μCFG(KV)和DB_μCFG(IoT)检索对比并输出漏洞检索报告。本发明为了解决使用哈希校验对物联网设备固件进行继承性漏洞快速检测时的准确性问题，提出了原子控制流图的概念和技术，以及完整的基于原子控制流图的物联网设备继承性漏洞挖掘方法。本发明可以提高漏洞挖掘人员在分析物联网设备漏洞时的速度和准确率，进而提高物联网设备行业的安全漏洞挖掘能力。

技术领域

本发明涉及一种基于原子控制流图的物联网设备继承性漏洞挖掘方法。

背景技术

继承性漏洞是指程序版本迭代过程中，由于代码复用而存在的漏洞。当某继承性漏洞在程序的某个版本被发现时，其相邻版本通常也会存在该漏洞。例如，以CVE(CommonVulnerabilities and Exposures,通用漏洞披露平台)发布的编号为CVE-2016-5195的“脏牛”漏洞为例，该漏洞存在于Linux Kernel(Linux Kernel是一种流行的开源操作系统核心)中，影响范围覆盖Linux Kernel 2.x至4.18.13之间的所有版本。该漏洞源于Linuxkernel中处理写时拷贝(Copy-on-Write)操作时存在竞争条件漏洞，攻击者可利用该漏洞以低权限对只读内存写入数据，进一步提升权限至管理员权限(root)。该漏洞的LinuxKernel作为底层基础核心广泛用于服务器、路由器、手机，物联网设备等，如阿里云提供的基于CentOS和Ubuntu操作系统的云服务器，基于安卓操作系统的智能手机终端，基于Openwrt操作系统的路由器设备，基于ROS(机器人操作系统,Robot Operating System)的机器人设备等。攻击者可利用“脏牛”漏洞实现权限提升至管理员权限(root)，进而对这些设备的完全控制。

IoT(物联网，Internet of Thing)物联网是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。IoT由物联网设备和传感器构成，可通过互联网收集和传输数据。IoT设备是IoT的重要组成部分，但由于设备体积、能耗的限制，IoT设备通常运算能力不高，不可能安装防御软件，且IoT设备的安全补丁升级较为困难，经常会存在已经公开的已知漏洞，因此易被黑客入侵，其安全问题令人担忧。例如，2016年，Mirai僵尸网络感染了包括网络摄像头和路由器在内的30多万台物联网设备，该事件足以证明IoT领域安全问题的严重性与紧迫性。IoT设备形式多样，安全漏洞形态复杂。IoT设备的指令类型异构，包括X86，ARM，MIPS等。每种指令类型都有不同的处理器机制，同一源码库在不同指令类型下进行编译而生成的二进制程序文件差异很大。若采用二进制搜索技术对设备进行漏洞挖掘，则需要将代码在不同架构下进行编译，找出存在漏洞的二进制代码段，再与二进制固件文件做比对分析。该操作繁琐且鲁棒性低，程序编译受到编译器、体系结构、优化参数等因素的影响，导致生成的二进制文件存在差别。单纯采用二进制文件哈希比对的方式来检测整个函数与已知漏洞函数源代码的相似度是无法实现的。石志强等提出的一种面向嵌入式设备的固件漏洞检测方法及系统(专利号：CN106295335A)通过将二进制固件文件反编译，再从反编译结果中提取出的整个函数，将函数的特征编码为向量，再通过对向量的匹配来表示函数的相似度，但对与函数内部的部分片段的代码复用则无能为力。若采用控制流图技术对固件进行漏洞挖掘，则需要解决子图同构问题，而子图同构问题是NP完全问题，目前的子图同构搜索算法还不够高效，通过该方法进行IoT设备漏洞挖掘效率很低。

为了解决对整个函数匹配时精度低和使用控制流图的子图同构技术进行匹配时效率低的问题，本发明提出了一种基于原子控制流图的物联网设备继承性漏洞挖掘方法，该方法对于仅有代码片段复用的继承性漏洞代码也能够进行准确快速的进行比对检索。

发明内容