[发明专利]一种嵌入式系统固件安全分析方法及系统

说明书

本发明公开了一种嵌入式系统固件安全分析方法及系统，其评估步骤为：确定因素集、确定评语集、确定各因素的权重、计算评价指标之间权重的相对大小和综合评判，确定因素集即评价指标体系集合U＝{u₁,u₂,…,u_n}。(如在此利用TROMML工具对固件进行分析，固件分析报告中列举出13个主要的漏洞威胁U＝{u₁,u₂,…,u₁₃})，确定评语集由于每个指标的评价值不同，往往会形成不同的等级。如对安全等级的评价有超高危，高危，中危，低危，安全等。由各种不同决断构成的集合称为评语集。

技术领域

本发明涉及领域，尤其涉及一种嵌入式系统固件安全分析方法及系统。

背景技术

嵌入式系统是用来控制或者监视机器、装置、工厂等大规模设备的系 统。国内普遍认同的嵌入式系统定义为：以应用为中心，以计算机技术为 基础，软硬件可裁剪，适应应用系统对功能、可靠性、成本、体积、功耗 等严格要求的专用计算机系统。嵌入式系统在我们日常生活越来越多。它 是一些手表、微波炉、录像机、汽车、打印机、手机等各种以消费者为导 向的通用现货设备的核心，也在不以消费者为主要导向的设备如视频监控 系统、医疗植入物、汽车元件、SCADA和PLC设备中发挥重要作用。物联网 现的出现使嵌入式设备与我们的生活更加密切相联。

嵌入式设备的安全性问题日益增多，最近基于对个别固件映像的分析， 人们注意到嵌入式设备引发的不安全隐患。但对于嵌入式设备漏洞分析方 法的研究并不能直接进行，因为嵌入式设备与其他设备截然不同，很难设 计一种标准的分析方法，因此对于嵌入式设备的研究很难重复，结果也不 能相互比较，这给安全性分析带来了困难。基于此我们提出了一种能应用 到任何嵌入式设备固件安全性评估方法。这种方法可重复，能在分析嵌入 式设备的漏洞时产生彻底和可操作的结果，可以适用于所有的嵌入式设备 并且能够随着嵌入式设备的发展而演变。

发明内容

针对上述问题，本发明提供了一种嵌入式系统固件安全分析方法及系 统。

为解决上述技术问题，本发明所采用的技术方案是：其评估步骤为： 确定因素集、确定评语集、确定各因素的权重、计算评价指标之间权重的 相对大小和综合评判，所述确定因素集即评价指标体系集合U＝{u₁,u₂,…,u_n}。 (如在此利用TROMML工具对固件进行分析，固件分析报告中列举出13个 主要的漏洞威胁U＝{u₁,u₂,…,u₁₃})。

进一步的，所述确定评语集由于每个指标的评价值不同，往往会形成 不同的等级。如对安全等级的评价有超高危，高危，中危，低危，安全等。 由各种不同决断构成的集合称为评语集。在此记为： V＝{超高危v₁,高危v₂,中危v₃，低危v₄,安全v₅}，所述确定各因素的权重一般情况 下，因素集中各因素在综合评价中所起的作用是不相同的，综合评价的结果不仅与各因素的评价有关，而且在很大程度上还依赖于各因素对综合评 价所起的作用，因此需要一个确定各因素之间的权重分配，它是上的一个 模糊向量，记为：

A＝[a₁,a₂,…,a_n]