[发明专利]一种针对防火墙的污点分析漏洞检测方法

说明书

一种针对防火墙的污点分析漏洞检测方法，包括如下步骤：对于防火墙固件的文件系统进行提取；对目标防火墙程序引入污点；根据汇编指令的分类，定义污点传播规则；根据污点传播规则，定义污点检测规则，从而检测目标防火墙程序是否遭受攻击。该污点分析漏洞检测方法，针对物联网设备中的MIPS（Microprocessor without interlocked piped stages architecture）架构的防火墙设备，现有技术对于这方面的研究还比较少，弥补了该领域的技术空白。该方法将污点传播规则和污点检测规则用形式化的描述表示，有较高的准确性与低误报率。

技术领域

本发明针对物联网设备中的防火墙提出了一种针对防火墙的污点分析漏洞检测方法，主要用来检测防火墙设备的漏洞，属于物联网安全领域。

背景技术

我们身处信息化时代，网络的发展一日千里，网络在带给我们好处和方便的同时，也会给我们带来许多的风险。木马、病毒肆虐，网页篡改、频繁的黑客攻击、各种各样的流氓软件、间谍软件，在上网的设备中兴风作浪。作为物联网设备和网络的一个严格的“门卫”，防火墙对于安全的重要性不言而喻。防火墙负责看守者系统的各个端口，帮助我们拦截所有有疑问的程序或数据包，进而判断是否可以放行或是否删除。但如果防火墙被攻破，那么攻击者就可以利用防火墙获得关键信息。因此防火墙的安全性是整个Internet网络的重中之重。

在深入分析智能设备底层的安全原理时，不可避免的需要直接接触硬件本身。常见的物联网(全称InternetofThings，简称IOT)产品，一般采用嵌入式Linux系统开发，对嵌入式设备的芯片研究主要目的之一就是获得硬件系统的固件。嵌入式设备的可执行程序被称之为固件。固件一般存储在ROM之中，ROM是只读存储器(Read-Only Memory)的简称，是一种只能读出事先所存储的数据的固态半导体存储器。固件通常由汇编语言编写而成，担任着一个系统最基础最底层的工作。固件的存在，使得人们能够很方便的使用嵌入式设备，但同样伴随着安全风险。根据调查发现，由于个人、企业、政府在使用防火墙设备后，很少更新固件版本，因此黑客更容易针对这些老旧版本的设备进行攻击，从而造成机密信息的泄露，个人财产的损失。

目前的动态污点分析平台也存在准确率和性能两方面问题。其中准确率体现在“过污染”引起的误报，以及“欠污染”引起的漏报问题。

发明内容

随着物联网设备的激增，网络攻击手段的增加和人们对于网络安全的轻视，使得物联网设备的安全性越来越重要，本发明提出一种针对防火墙的污点分析漏洞检测方法，用来解决防火墙的安全问题。通过使用本发明提出的方法，可以提高防火墙设备的安全性，进而保证用户的信息和财产安全。

一种针对防火墙的污点分析漏洞检测方法，包括如下步骤：

步骤1：对于防火墙固件的文件系统进行提取；

步骤2：对目标防火墙程序引入污点；

步骤3：根据汇编指令的分类，定义污点传播规则；

步骤4：根据污点传播规则，定义污点检测规则，从而检测目标防火墙程序是否遭受攻击。

进一步地，步骤1包括：

步骤1-1：获取防火墙固件；

步骤1-2：确定防火墙固件中文件系统的类型；

步骤1-3：将固件中的文件系统提取出来。

进一步地，步骤2包括：在防火墙程序启动时将所有变量、内存单元、寄存器等初始化为非污染，然后通过DynamoRIO代码插桩工具进行动态代码插桩，将接收或者读入的数据标志为污点源。

进一步地，步骤3中定义的污点传播规则的形式化描述包括读访问内存指令的污点传播规则、写访问内存指令的污点传播规则和非内存访问指令的污点传播规则。