本發(fā)明涉及一種針對(duì)大規(guī)模嵌入式設(shè)備固件的函數(shù)搜索方法和搜索引擎。首先收集固件并進(jìn)行預(yù)處理，依據(jù)所提取的函數(shù)信息構(gòu)建固件函數(shù)信息庫(kù)；然后采用基于最小哈希的方法對(duì)同平臺(tái)、同編譯選項(xiàng)的函數(shù)進(jìn)行快速離線聚類，從而壓縮函數(shù)信息庫(kù)的樣本數(shù)量；再對(duì)固件函數(shù)信息進(jìn)一步處理，從中抽取出索引項(xiàng)，構(gòu)建固件函數(shù)索引數(shù)據(jù)庫(kù)。待測(cè)固件函數(shù)進(jìn)行關(guān)聯(lián)檢索時(shí)，采用基于最小哈希的方法依次在固件函數(shù)索引數(shù)據(jù)庫(kù)中檢索、識(shí)別與待關(guān)聯(lián)函數(shù)同平臺(tái)同編譯選項(xiàng)和不同平臺(tái)同編譯選項(xiàng)的函數(shù)；而后再檢索、識(shí)別與待關(guān)聯(lián)函數(shù)同平臺(tái)不同編譯選項(xiàng)的函數(shù)，并以所得檢索結(jié)果為跳板，去搜索與跳板不同平臺(tái)同編譯選項(xiàng)的函數(shù)。本發(fā)明能夠提高固件函數(shù)關(guān)聯(lián)的速率和準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明涉及嵌入式設(shè)備固件搜索與漏洞函數(shù)關(guān)聯(lián)分析領(lǐng)域，具體涉及一種針對(duì)大規(guī)模嵌入式設(shè)備固件的函數(shù)搜索方法和函數(shù)搜索引擎。

背景技術(shù)

工業(yè)控制系統(tǒng)的重要性、脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅，已引起了世界各國(guó)的高度重視，并在政策、標(biāo)準(zhǔn)、技術(shù)、方案等方面展開了積極應(yīng)對(duì)。

歷史上由于相對(duì)封閉的使用環(huán)境，工業(yè)控制系統(tǒng)在開發(fā)時(shí)多重視系統(tǒng)的功能實(shí)現(xiàn)，對(duì)安全的關(guān)注相對(duì)缺乏。不像傳統(tǒng)IT信息系統(tǒng)軟件在開發(fā)時(shí)擁有嚴(yán)格的安全軟件開發(fā)規(guī)范及安全測(cè)試流程，這必然造成工業(yè)控制系統(tǒng)不可避免地?fù)碛休^多的安全缺陷。據(jù)統(tǒng)計(jì)，2011年至2013年公開的工業(yè)控制系統(tǒng)漏洞多達(dá)330個(gè)，且呈現(xiàn)逐年遞增的趨勢(shì)，并且其中高危漏洞占比達(dá)到54％。

在伊朗核電站的“震網(wǎng)病毒”事件之后，大量高風(fēng)險(xiǎn)未公開漏洞被地下經(jīng)濟(jì)出賣或被某些國(guó)家/組織高價(jià)收購(gòu)，并被利用來開發(fā)0-day攻擊或高級(jí)可持續(xù)性威脅(AdvancedPersistent Threat，簡(jiǎn)稱APT)的攻擊技術(shù)，為未來可能的網(wǎng)絡(luò)對(duì)抗做準(zhǔn)備。因此，利用0-day漏洞的新型攻擊正成為網(wǎng)絡(luò)空間安全防護(hù)的新挑戰(zhàn)，而涉及國(guó)計(jì)民生的電力、交通、市政、化工、關(guān)鍵制造業(yè)等行業(yè)的工業(yè)控制系統(tǒng)在工業(yè)化和信息化日益融合的今天，將極大可能地成為未來網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標(biāo)。

工業(yè)控制設(shè)備(PLC、SCADA、RTU、變頻器、運(yùn)動(dòng)控制器、智能電表、工業(yè)交換機(jī)等)作為工業(yè)控制系統(tǒng)中的傳感器和最終執(zhí)行器，它們?cè)诠I(yè)控制系統(tǒng)中發(fā)揮著重要的作用。NVD中僅PLC設(shè)備的公開漏洞就多達(dá)38個(gè)，其中高危漏洞24個(gè)。目前針對(duì)工業(yè)控制設(shè)備的漏洞挖掘方法主要是對(duì)特定設(shè)備進(jìn)行一對(duì)一的漏洞挖掘。但是由于代碼的模塊化設(shè)計(jì)和開源共享等原因，工控設(shè)備漏洞有著強(qiáng)關(guān)聯(lián)的特點(diǎn)，即存在于某設(shè)備固件中的某函數(shù)的漏洞往往也會(huì)存在于其他設(shè)備的固件中。目前缺少一種利用固件中的函數(shù)之間的關(guān)聯(lián)性，將已挖掘到的設(shè)備固件漏洞自動(dòng)擴(kuò)散到其他設(shè)備的自動(dòng)化方法。

發(fā)明內(nèi)容

本發(fā)明旨在提供一種針對(duì)大規(guī)模嵌入式設(shè)備固件的函數(shù)搜索方法和函數(shù)搜索引擎，基于該搜索引擎可以實(shí)現(xiàn)漏洞函數(shù)的快速發(fā)現(xiàn)。本發(fā)明利用固件中的函數(shù)之間的關(guān)聯(lián)性，將已挖掘到的設(shè)備固件漏洞自動(dòng)擴(kuò)散到其他設(shè)備，以便為廠商提供及時(shí)預(yù)警。

本發(fā)明涉及的方法流程主要包括：嵌入式設(shè)備固件收集、固件預(yù)處理、固件函數(shù)索引數(shù)據(jù)庫(kù)構(gòu)建、固件函數(shù)檢索、結(jié)果輸出顯示等步驟。本發(fā)明的技術(shù)創(chuàng)新點(diǎn)在于進(jìn)行固件函數(shù)關(guān)聯(lián)分析時(shí)，首先識(shí)別同平臺(tái)、不同編譯選項(xiàng)的函數(shù)，并以此作為跳板，去搜索同編譯選項(xiàng)、不同平臺(tái)的函數(shù)，提高了函數(shù)關(guān)聯(lián)的速度、準(zhǔn)確率。

為實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

一種針對(duì)大規(guī)模嵌入式設(shè)備固件的函數(shù)搜索方法，包括以下步驟：

1)收集嵌入式設(shè)備的固件并構(gòu)建固件庫(kù)；

2)對(duì)步驟1)中固件庫(kù)中的固件進(jìn)行預(yù)處理得到固件函數(shù)信息，并存入固件函數(shù)信息庫(kù)；

3)收集常用的開源軟件，針對(duì)每一份源碼，通過不同平臺(tái)、不同編譯選項(xiàng)編譯生成多份不同的二進(jìn)制鏡像文件，采用步驟2)中的方法對(duì)得到的二進(jìn)制鏡像文件進(jìn)行預(yù)處理，得到二進(jìn)制鏡像文件中的函數(shù)信息，亦存入固件函數(shù)信息庫(kù)；