基于语义分析的物联网固件内核漏洞挖掘方法及系统与流程

1.本发明属于物联网安全技术领域，尤其涉及一种基于语义分析的物联网固件内核漏洞挖掘方法及系统。


背景技术：

2.近年来随着物联网生态的快速发展，物联网设备在人们的日常生活中发挥了重要的作用，为人类生活带来了极大的便利。作为物联网设备的核心，物联网固件内核安全决定了物联网设备的安全性、可靠性和稳定性。然而，对于大多数物联网设备供应商而言，开发安全、可靠、稳定、高效的物联网固件内核需要高昂的开发成本和较长的开发周期。因此，大量下游物联网供应商倾向于在其数十亿的物联网设备中采用开源的linux内核。
3.在实际使用过程中，大部分物联网供应商都需要通过代码段删除/添加或使用非标准编译配置来构建符合自身需求的linux内核。在内核代码定制过程中，考虑到有限的物联网设备的硬件和系统资源，物联网厂商倾向于删除一些不相关的linux内核代码段以节省设备算力资源。但是，由于linux内核固有的复杂性以及物联网固件内核缺乏长期有效的维护，部分代码修剪变得不可靠和不安全。具体来说，很多必要的安全操作包括安全检查、变量初始化、资源释放等操作被误删除了，进而引入了各种影响物联网固件内核安全性和可靠性的安全漏洞，例如内存泄漏、拒绝服务、空指针解引用等。
4.综上，基于内核的物联网设备广泛应用的同时也为物联网生态带来了新的安全隐患：在内核代码段删除/添加的过程中，物联网固件内核漏洞的引入严重影响了物联网生态的安全。对物联网设备内核中的漏洞进行快速精准的定位变得越来越重要，因为物联网设备的安全风险将直接导致用户日常生活的损失。大部分物联网设备固件内核的关键子系统(内存管理器(mm)、文件系统(fs)、网络软件(net)和设备驱动程序(dev))源自于开源的linux内核。在linux内核中，缺少安全检查、缺少加/减锁语句和缺少变量初始化错误已经导致了很多严重的系统故障，例如数据丢失、系统崩溃以及软件系统中关键功能的错误执行。与linux内核相比，物联网设备固件内核通常与各种不受信任的外部信号进行交互，例如图像、语音、网络程序包和物理环境温度等。因此，物联网设备需要对更多的外部接收信号进行安全检查。然而，如上文所述，考虑到物联网设备的效率和能源消耗，在设计固件内核时，物联网供应商通常会删除对应版本的linux内核中的部分代码，包括部分安全操作(安全检查、变量初始化和资源释放操作)，安全操作的误删除可能会导致各种潜在的安全问题。例如，开发人员可能会错误地删除一个系统安全检查，这种不恰当的安全检查的删除会导致系统运行故障。在物联网设备固件内核的设计和开发中，如何验证修剪后的物联网固件内核代码是否引入新的漏洞是一个重要的研究课题。但是，很少有研究者专注于此问题，这使得物联网设备固件内核极易成为攻击者的目标。


技术实现要素：

5.将于上述，本发明的目的是提供一种基于语义分析的物联网固件内核漏洞挖掘方
法及系统，通过语义分析实现对物联网固件内核漏洞的高效分析。
6.第一方面，实施例提供的一种基于语义分析的物联网固件内核漏洞挖掘方法，包括以下步骤：
7.(1)收集物联网固件内核及对应版本的linux内核以形成内核对，对内核对进行编译和函数匹配以得到待匹配函数对；
8.(2)采用差分分析方法分析待匹配函数对，以确定物联网固件内核中被删除的安全操作；
9.(3)依据被删除的安全操作，在linux内核中定位与被删除的安全操作相关的安全变量，并查找安全变量在函数内的其他使用位置和使用方式；
10.(4)依据在linux内核中定位的与被删除的安全操作相关的安全变量，在物联网固件内核中查找与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式；
11.(5)比较在物联网固件内核和linux内核中，与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式，以实现对已删除安全操作的安全影响进行分析，辅助漏洞的确认。
12.在一个实施例中，所述对内核对进行编译和函数匹配以得到待匹配函数对，包括：
13.内核的编译过程为：尽可能多地打开物联网固件内核的编译配置选项对物联网固件内核中的源代码进行编译以覆盖更多的源代码；使用
‑
o2优化级别且打开
‑
g编译选项允许编译开发者获取调试信息；当一个版本的物联网固件内核源代码编译完成后，在编译与其对比的相同版本的linux内核源代码时，采用相同的makefile文件进行编译以减少编译选项不同带来的误报和漏报，最终获取内核对的待匹配llvm中间代码；
14.函数匹配过程为：静态分析待匹配llvm中间代码，获取源代码中每个函数的函数名，依据函数名对内核对中函数进行匹配，以形成待匹配函数对。
15.在一个实施例中，步骤(2)包括：
16.通过对待匹配函数对进行静态分析，分别定位两个函数中的相关安全操作，包括安全检查、变量初始化和资源释放操作；
17.通过差分比较两个函数中的相关安全操作来确定物联网固件内核中被删除的安全操作；
18.分析物联网固件内核中被删除的安全操作是否由安全补丁或代码封装造成，如果是，则认为该被删除的安全操作是合理的，不做后续分析。
19.在一个实施例中，针对分析被删除的安全操作是否由安全补丁造成，包括：对每个被删除的安全操作，通过搜索linux内核的git commit信息，确认该被删除的安全操作是否包含在程序补丁中，如果包含在在程序补丁中，则认为该被删除的安全操作是由安全补丁造成的；
20.针对分析被删除的安全操作是否由代码封装造成，包括：通过对被删除的安全操作对应的代码序列和相应新函数中实现的代码序列进行比较来识别代码封装，如果被比较的两个代码序列的编辑距离小于阈值，并且被删除的安全操作对应的代码序列保留在新函数中，那么被删除的安全操作是由代码封装造成的。
21.在一个实施例中，步骤(3)包括：
22.对于被删除的安全操作，如果安全操作是函数调用，那么查找函数调用参数或返回值作为linux内核中与安全操作相关的安全变量；如果安全操作不是函数调用，则直接查找安全操作对应的操作数作为安全操作相关的安全变量；
23.通过llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式。
24.在一个实施例中，步骤(4)包括：
25.根据linux内核中定位的与被删除的安全操作相关的安全变量，对物联网固件内核中对应的安全变量进行定位；然后通过llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式。
26.在一个实施例中，在采用llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式时，通过对能够进行指针传递的getelementptrinst、bitcastinst指令的分析来进行指针别名分析。
27.在一个实施例中，所述根据linux内核中定位的与被删除的安全操作相关的安全变量，对物联网固件内核中对应的安全变量进行定位，包括：采用差分分析方法分析待匹配函数对，确定待匹配函数对中匹配的基本块对，识别linux内核中与被删除的安全操作相关的安全变量和使用了该安全变量的基本块，通过该基本块和匹配的基本块对定位到物联网固件内核中包含了对应变量的基本块和指令，通过访问指令的操作数获取物联网固件内核中对应的安全变量。
28.第二方面，实施例提供的一种基于语义分析的物联网固件内核漏洞挖掘装置，包括：
29.收集匹配模块，用于收集物联网固件内核及对应版本的linux内核以形成内核对，对内核对进行编译和函数匹配以得到待匹配函数对；
30.确定模块，用于采用差分分析方法分析待匹配函数对，以确定物联网固件内核中被删除的安全操作；
31.定位模块，用于依据被删除的安全操作，在linux内核中定位与被删除的安全操作相关的安全变量，并查找安全变量在函数内的其他使用位置和使用方式；
32.查找模块，用于依据在linux内核中定位的与被删除的安全操作相关的安全变量，在物联网固件内核中查找与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式；
33.比较模块，用于比较在物联网固件内核和linux内核中，与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式，以实现对已删除安全操作的安全影响进行分析，辅助漏洞的确认。
34.上述实施例提供的技术方案，具有的有益效果至少包括：
35.提出的基于语义的代码一致性分析方法，解决了物联网固件在代码剪裁中引入新漏洞问题，能够有效发现真实物联网固件内核中存在的漏洞，具有实用性；
36.提出了基于代码差分分析获得待匹配函数对，进而获得匹配的基本块对，对物联网固件内核中删除的安全操作进行定位，最终能够快速准确地发现linux内核中与被删除安全操作相关的安全变量和物联网固件内核中相关的安全变量；
37.提出的基于安全变量使用对比识别漏洞的方法，能够有效识别物联网固件内核中
误删安全操作引入的新漏洞，为测试物联网固件内核删除的安全操作代码提供了依据；
38.能够对多种类型的安全操作进行分析，涵盖了大部分内核常见漏洞，能够提高物联网固件内核的安全性和稳定性，能够大幅提高内核漏洞的挖掘效率。
附图说明
39.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。
40.图1和图2是一实施例提供的基于语义分析的物联网固件内核漏洞挖掘方法的流程图；
41.图3是一实施例提供的物联网固件内核中安全变量的定位流程图；
42.图4是一实施例提供的自动化的物联网固件漏洞的定位流程图；
43.图5是一实施例提供的基于语义分析的物联网固件内核漏洞挖掘系统的结构示意图。
具体实施方式
44.为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。
45.现实中，如果物联网固件内核确实不再需要一个安全检查，那么这个安全检查的删除就是合乎逻辑的。为了确定物联网固件内核是否仍需要一个已被删除的安全检查，需要了解在没有相应的安全操作的情况下，安全操作保护的相关代码是否仍然可达。如果安全操作保护的相关代码仍然可达，那么与被删除的安全检查相关的安全变量可能会进入错误状态，进而导致系统错误。综上所述，为了验证修剪后的物联网固件内核代码是否引入新的安全漏洞，需要回答以下问题：(1)对于一个在物理网固件内核中已被被删除的安全操作，在对应版本的linux内核中，哪个安全变量被相应的安全操作验证、释放或初始化？(2)这个安全变量是否仍然存在于物联网固件内核中？(3)在物联网固件内核后续代码段中，这个安全变量如何被使用以及在哪里被使用？(4)在没有相应的安全操作的情况下，这个安全变量可以达到哪种错误状态？但是，自动回答上述问题是很困难的，因为安全操作、相关的安全变量及其使用方式在形式上非常多样化的。为了自动化解决上述问题，实施例提出使用代码一致性分析对一个已被删除的安全操作的安全影响进行分析。
46.具体来说，通过比较物联网固件内核和linux内核中，与已删除安全操作相关的安全变量的使用形式(安全变量在可能受影响的代码段中的使用位置和使用方式)来对已删除安全操作的安全影响进行分析。因为，在安全操作影响的代码段(例如，安全检查的后继分支)中，假设由安全操作保护、释放或初始化的安全变量的使用方式和使用位置与对应版本的linux内核相同。在这种情况下，可以认为物联网固件内核中已删除的安全操作仍然有必要存在，对这个安全操作进行删除可能会对物联网固件内核安全产生影响。通过上述技术，可以自动推断安全操作的删除是否带来安全风险。
47.图1和图2是一实施例提供的基于语义分析的物联网固件内核漏洞挖掘方法的流程图。如图1和图2所示，实施例提供的基于语义分析的物联网固件内核漏洞挖掘方法，适用于判定已删除安全操作的安全影响，包括以下步骤：
48.步骤1，收集物联网固件内核及对应的linux内核以形成内核对，对内核对进行编译和函数匹配以得到待匹配函数对。
49.实施例中，在收集物联网固件内核后，为每个物联网固件内核匹配对应版本的linux内核，形成内核对，然后对内核对进行编译，即对物联网固件内核和对应版本的linux内核使用尽可能相同的编译选项进行编译，编译过程为：尽可能多地打开编译配置选项对物联网固件内核中的源代码进行编译以覆盖更多的源代码；使用
‑
o2优化级别且打开
‑
g编译选项允许编译开发者获取调试信息；当物联网固件内核的源代码编译完成后，在编译与其对比的linux内核源代码时，采用相同的makefile文件进行编译以减少编译选项不同带来的误报和漏报，最终获取内核对的待匹配llvm中间代码；
50.获得中间代码后，进行函数匹配，匹配过程为：静态分析待匹配llvm中间代码，获取源代码中每个函数的函数名，依据函数名对内核对中函数进行匹配，以形成待分析的待匹配函数对。
51.步骤2，采用差分分析方法分析待匹配函数对，以确定物联网固件内核中被删除的安全操作。
52.实施例中，步骤2的具体过程为：通过对待匹配函数对进行静态分析，分别定位两个函数中的相关安全操作，包括安全检查、变量初始化和资源释放操作；通过差分分析工具差分比较两个函数中的相关安全操作来确定物联网固件内核中被删除的安全操作；分析确定的被删除的安全操作是否由安全补丁或代码封装造成，如果是，则认为该被删除的安全操作是合理的，不做后续分析。
53.步骤2的核心是定位和分析可能会造成安全影响的在物联网固件内核中被删除的安全操作。如果被删除的安全操作是由程序补丁或代码封装引起的，那么删除这个安全操作是合理的，不需要做进一步的安全分析。因此，对于每个被删除的安全操作，通过搜索linux内核的git commit信息，确认这个被删除的安全操作是否包含在程序补丁中。具体来说，首先需要定位该安全操作在哪个函数中被删除，然后搜索这个函数的linux内核补丁中的每行代码，以检查补丁中是否做了相同的代码删除操作。对于函数封装，通过对删除的代码序列和相应新函数中实现的代码序列进行比较来识别代码封装。如果被比较的两个代码序列的编辑距离小于阈值θed，说明这两个代码序列在语法上是相似的。此外，如果被删除的安全操作仍被保留在新函数中，那么这个被删除的安全操作也不需要进一步的安全分析。实施例中，通过levenshtein算法对两个代码序列的编辑距离进行计算。
54.步骤3，依据被删除的安全操作，在linux内核中定位与被删除的安全操作相关的安全变量，并查找安全变量在函数内的其他使用位置和使用方式。
55.实施例中，步骤3的具体过程为：对于被删除的安全操作，如果安全操作是函数调用，那么查找函数调用参数或返回值作为linux内核中与安全操作相关的安全变量；如果安全操作不是函数调用，则直接查找安全操作对应的操作数作为安全操作相关的安全变量；
56.通过llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式。如果在函数中能够找到安全变量的使用，则通过静态指针分析获取安
全变量的别名使用。否则查看当前分析的安全变量是从哪个变量得来，对上一层的变量的使用进行追踪，直到能够在函数中找到该变量的使用为止。
57.步骤3的核心是找出被删除的安全操作保护、初始化或释放的相关安全变量。如果没有相应的安全操作，安全变量则无法被验证、初始化或释放，因此会造成内核崩溃或进入错误运行状态。基于经验分析，大部分安全操作是通过函数调用完成的。例如变量初始化通常通过memset函数调用实现。因此安全变量通常为安全操作相关的参数或返回值。
58.在通过llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式的过程中，对于指针变量的使用存在指针传递的问题：一个指针或其成员被赋值给另一个变量。因此仅仅追踪指针变量本身的使用是不够的，仍然需要通过指针别名分析对指针的传递变量进行追踪和分析。传统的llvm指针别名分析精度较差，因此本实施例通过对能够进行指针传递的getelementptrinst和bitcastinst等指令的分析来进行指针别名分析。此外，由于llvm使用了静态单赋值命名方式，因此和被删除的安全操作直接相关的安全变量在函数中未必有后续使用。当没有追踪到安全变量的使用时，对赋值给安全变量的上一级变量进行追踪和分析。
59.步骤4，依据在linux内核中定位的与被删除的安全操作相关的安全变量，在物联网固件内核中查找与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式。
60.实施例中，步骤4的具体过程为：根据linux内核中定位的与被删除的安全操作相关的安全变量和程序差分分析结果，对物联网固件内核中对应的安全变量进行定位；然后通过llvm定义的变量的def
‑
use链查找linux内核中安全变量在函数内的其他使用位置和使用方式。
61.步骤4中，由于安全操作在物联网固件内核中已被删除，因此直接从物联网固件内核查找安全操作相关的安全变量是比较困难的。因此，借助代码差分分析获得的基本块匹配对(物联网固件内核函数和对应版本的linux内核函数中对应的基本块匹配对)和linux内核中识别的安全变量，本发明提出了一种新的物联网固件内核中安全变量定位方法。具体来说，首先查看linux内核中识别的安全变量和其存在的基本块。然后通过匹配起来的基本块对定位物联网固件内核中包含对应变量的基本块和指令。最终通过访问指令的操作数获取物联网固件内核中对应的安全变量。
62.步骤5，比较在物联网固件内核和linux内核中，与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式，以实现对已删除安全操作的安全影响进行分析，辅助漏洞的确认。
63.基于同样的发明构思，如图5所示，实施例还提供了一种基于语义分析的物联网固件内核漏洞挖掘系统500，包括：
64.收集匹配模块510，用于收集物联网固件内核及对应版本的linux内核以形成内核对，对内核对进行编译和函数匹配以得到待匹配函数对；
65.确定模块520，用于采用差分分析方法分析待匹配函数对，以确定物联网固件内核中被删除的安全操作；
66.定位模块530，用于依据被删除的安全操作，在linux内核中定位与被删除的安全操作相关的安全变量，并查找安全变量在函数内的其他使用位置和使用方式；
67.查找模块540，用于依据在linux内核中定位的与被删除的安全操作相关的安全变量，在物联网固件内核中查找与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式；
68.比较模块550，用于比较在物联网固件内核和linux内核中，与已被删除的安全操作相关的安全变量、安全变量在函数内的其他使用位置和使用方式，以实现对已删除安全操作的安全影响进行分析，辅助漏洞的确认。
69.需要说明的是，上述实施例提供的基于语义分析的物联网固件内核漏洞挖掘装置在进行基于语义分析的物联网固件内核漏洞挖掘时，应以上述各功能模块的划分进行举例说明，可以根据需要将上述功能分配由不同的功能模块完成，即在终端或服务器的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的基于语义分析的物联网固件内核漏洞挖掘装置与基于语义分析的物联网固件内核漏洞挖掘方法实施例属于同一构思，其具体实现过程详见基于语义分析的物联网固件内核漏洞挖掘方法实施例，这里不再赘述。
70.上述实施例提出的基于语义的代码一致性分析方法，解决了物联网固件在代码剪裁中引入新漏洞问题，能够有效发现真实物联网固件内核中存在的漏洞，具有实用性；提出了基于代码差分分析获得待匹配函数对，进而获得匹配的基本块对，对linux内核中删除的安全变量进行定位，最终能够快速准确地发现固件内核删除的安全变量；提出的基于安全变量使用对比识别漏洞的方法，能够有效识别物联网固件内核中误删安全操作引入的漏洞，为测试物联网固件内核删除的安全操作代码提供了依据；能够对多种类型的安全操作进行分析，涵盖了大部分内核常见错误，能够提高固件内核的安全性和稳定性，能够大幅提高内核漏洞的挖掘效率。
71.以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。