[发明专利]针对Android车载终端系统的漏洞检测系统及方法

说明书

本发明实施例提供一种针对Android车载终端系统的漏洞检测系统及方法，本发明实施例由于基于漏洞触发过程进行指令序列、系统调用信息和设备日志的取证，因此能够获得较为全面的漏洞分析结果。此外，由于车载终端系统有着针对性强、运作方式简单的特点，所以其性能往往不是很强，而漏洞触发过程取证模块在漏洞触发过程中获取到的信息量通常是非常大的，针对该问题，本发明实施例将漏洞触发过程取证模块获得的取证信息交由独立于车载终端系统的外部检测设备上的漏洞触发过程分析模块进行漏洞详细分析，从而能够同时提高待测Android车载终端系统的性能和漏洞分析的性能，从而很好地解决了无法平衡取证粒度与系统开销之间矛盾的问题。

技术领域

本发明涉及软件安全技术领域，尤其涉及一种针对Android车载终端系统的漏洞检测系统及方法。

背景技术

现有的Android系统攻击取证工具主要包括Rain工具和DroidForensics工具。其中，Rain实现了可按需进程间信息流跟踪的可修复攻击取证。该工具有选择地提供指令级详细日志，同时最小化运行时开销。用系统调用级别的记录和重放技术以及按需动态信息流跟踪(DIFT)来满足这些相互冲突的目标。Rain会持续监视和记录系统调用事件和其他数据，以便在构建逻辑起源图时进行后续重放。当它在图中检测到任何异常事件时，它会从事件中执行基于重放的DIFT，以删除任何不需要的依赖项。Rain是一个基于内核的系统。它能够记录，重放和分析用户级进程的活动，但无法监视内核活动，因为它信任内核。如果内核遭到破坏，Rain将无法再创建可靠的起源数据。同时，由于Rain记录了各种系统调用以支持可重放执行，因此额外的存储开销过大。

DroidForensics是一款通过多层取证记录准确重建Android攻击的工具，基于多层取证日志技术，从三个层面捕获重要的Android事件，分别是在Android API层面捕获应用程序高级语义、Binder层面捕获应用程序之间的交互、系统调用层面记录系统调用等低级事件。但是内核级攻击可能会使DroidForensics失效，并且如果恶意软件使用了与DroidForensics相同的系统调用会引入虚假因果关系。

现有的Android系统攻击取证技术主要在两个方面进行信息记录，一方面是记录系统调用信息，另一方面是记录指令序列信息。为了确保记录准确的系统攻击信息，指令级日志理想地记录所有程序的所有CPU指令的执行，然而这样的系统也会产生巨大的运行时开销，因此在实际计算环境中是不切实际的。由于许多攻击最终需要使用系统调用访问敏感资源和设备，所以实际系统中主要关注系统调用信息，其运行时开销较低，然而它们的依赖性模糊，很难仅用系统调用信息准确获得攻击因果关系。

由此可见，现有的Android系统攻击取证工具只关注了系统调用信息和指令序列信息，且无法平衡取证粒度与系统开销之间的矛盾，对内核级攻击也难以取证。如Rain为了满足低运行时间开销和细粒度因果关系信息的需求，只监控感兴趣的系统调用信息，如：记录打开，读取，写入文件操作和连接，recv，发送网络操作相关的系统调用，并进行按需重放攻击，但是这种方式可能存在完整性的问题，因为无法保证系统攻击过程中的所有系统事件都被记录。

发明内容

针对现有技术中的问题，本发明实施例提供一种针对Android车载终端系统的漏洞检测系统及方法。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种针对Android车载终端系统的漏洞检测系统，包括：漏洞库模块、漏洞触发自动化测试模块、漏洞触发过程取证模块和漏洞触发过程分析模块；

其中，所述漏洞库模块、所述漏洞触发自动化测试模块和所述漏洞触发过程取证模块设置在待测Android车载终端系统上，所述漏洞触发过程分析模块设置在独立于所述待测Android车载终端系统的外部检测设备上；