[发明专利]针对大规模嵌入式设备固件的函数搜索方法和搜索引擎

说明书

本发明涉及一种针对大规模嵌入式设备固件的函数搜索方法和搜索引擎。首先收集固件并进行预处理，依据所提取的函数信息构建固件函数信息库；然后采用基于最小哈希的方法对同平台、同编译选项的函数进行快速离线聚类，从而压缩函数信息库的样本数量；再对固件函数信息进一步处理，从中抽取出索引项，构建固件函数索引数据库。待测固件函数进行关联检索时，采用基于最小哈希的方法依次在固件函数索引数据库中检索、识别与待关联函数同平台同编译选项和不同平台同编译选项的函数；而后再检索、识别与待关联函数同平台不同编译选项的函数，并以所得检索结果为跳板，去搜索与跳板不同平台同编译选项的函数。本发明能够提高固件函数关联的速率和准确率。

技术领域

本发明涉及嵌入式设备固件搜索与漏洞函数关联分析领域，具体涉及一种针对大规模嵌入式设备固件的函数搜索方法和函数搜索引擎。

背景技术

工业控制系统的重要性、脆弱的安全状况以及日益严重的攻击威胁，已引起了世界各国的高度重视，并在政策、标准、技术、方案等方面展开了积极应对。

历史上由于相对封闭的使用环境，工业控制系统在开发时多重视系统的功能实现，对安全的关注相对缺乏。不像传统IT信息系统软件在开发时拥有严格的安全软件开发规范及安全测试流程，这必然造成工业控制系统不可避免地拥有较多的安全缺陷。据统计，2011年至2013年公开的工业控制系统漏洞多达330个，且呈现逐年递增的趋势，并且其中高危漏洞占比达到54％。

在伊朗核电站的“震网病毒”事件之后，大量高风险未公开漏洞被地下经济出卖或被某些国家/组织高价收购，并被利用来开发0-day攻击或高级可持续性威胁(AdvancedPersistent Threat，简称APT)的攻击技术，为未来可能的网络对抗做准备。因此，利用0-day漏洞的新型攻击正成为网络空间安全防护的新挑战，而涉及国计民生的电力、交通、市政、化工、关键制造业等行业的工业控制系统在工业化和信息化日益融合的今天，将极大可能地成为未来网络战的重要攻击目标。

工业控制设备(PLC、SCADA、RTU、变频器、运动控制器、智能电表、工业交换机等)作为工业控制系统中的传感器和最终执行器，它们在工业控制系统中发挥着重要的作用。NVD中仅PLC设备的公开漏洞就多达38个，其中高危漏洞24个。目前针对工业控制设备的漏洞挖掘方法主要是对特定设备进行一对一的漏洞挖掘。但是由于代码的模块化设计和开源共享等原因，工控设备漏洞有着强关联的特点，即存在于某设备固件中的某函数的漏洞往往也会存在于其他设备的固件中。目前缺少一种利用固件中的函数之间的关联性，将已挖掘到的设备固件漏洞自动扩散到其他设备的自动化方法。

发明内容

本发明旨在提供一种针对大规模嵌入式设备固件的函数搜索方法和函数搜索引擎，基于该搜索引擎可以实现漏洞函数的快速发现。本发明利用固件中的函数之间的关联性，将已挖掘到的设备固件漏洞自动扩散到其他设备，以便为厂商提供及时预警。

本发明涉及的方法流程主要包括：嵌入式设备固件收集、固件预处理、固件函数索引数据库构建、固件函数检索、结果输出显示等步骤。本发明的技术创新点在于进行固件函数关联分析时，首先识别同平台、不同编译选项的函数，并以此作为跳板，去搜索同编译选项、不同平台的函数，提高了函数关联的速度、准确率。

为实现上述目的，本发明采用如下技术方案：

一种针对大规模嵌入式设备固件的函数搜索方法，包括以下步骤：

1)收集嵌入式设备的固件并构建固件库；

2)对步骤1)中固件库中的固件进行预处理得到固件函数信息，并存入固件函数信息库；

3)收集常用的开源软件，针对每一份源码，通过不同平台、不同编译选项编译生成多份不同的二进制镜像文件，采用步骤2)中的方法对得到的二进制镜像文件进行预处理，得到二进制镜像文件中的函数信息，亦存入固件函数信息库；