[发明专利]一种基于功能域的终端设备安全威胁模型的构建方法

权利要求书

1.一种基于功能域的终端设备安全威胁模型的构建方法，其特征在于，包括：

(1)获取终端设备的实体硬件组成信息、软件算法组成信息、模块功能概念信息、业务逻辑信息和行为特征数据；

(2)对上述信息进行挖掘，构建基于功能域的终端设备概念模型，并得到功能域之间的关联关系；

(3)分别在数字域、物理域、认知域的层面上将功能域解构为具体的功能块，进一步构建“数字、物理、认知”三域融合的终端设备功能模型；具体是：将每个功能域解构为在数字域、物理域、认知域的具体承载对象，即功能块，并分析各终端设备的所有功能块以及功能块之间的连接关系，功能块之间的连接关系代表信息在功能块间的可达性，且该连接关系具有方向性，由这些功能块相互连接而组成的功能体所实现的即为各终端设备的业务功能，从而构建获得终端设备功能模型，其中，功能块的集合，表示为V(D)＝{v₁，...，v_n}，其中v_i代表第i个功能块；以及功能块之间的连接关系的集合，表示为E(D)＝{e₁，...，e_m}，其中e_i代表第i个连接关系，由功能块V(D)和它们的连接关系E(D)组成终端设备，表示为D＝(V(D)，E(D))；终端设备D中功能块的存在形式包括为物理域D_p、数字域D_d，和认知域D_c；物理域的功能块V(D_p)代表设备以功能划分的硬件组成模块，数字域的功能块V(D_d)代表设备以功能划分的逻辑组成模块，认知域的功能块V(D_c)则代表用户对于设备功能的认识，三域融合的终端设备功能模型表示为D＝(V(D_p)，V(D_d)，V(D_c)，E(D_p)，E(D_d)，E(D_c))；

(4)基于三域融合的终端设备功能模型，分析设备功能内以及设备的旁路、超限、陷门脆弱性，构建终端设备安全威胁模型。

2.根据权利要求1所述的基于功能域的终端设备安全威胁模型的构建方法，其特征在于，所述步骤(1)中，针对白盒系统，所述实体硬件组成信息、软件算法组成信息、模块功能概念信息、业务逻辑信息通过技术手册和研发设计测试资料、或实验测量获得；针对黑盒系统，所述实体硬件组成信息、软件算法组成信息、模块功能概念信息、业务逻辑信息通过软件和硬件逆向工程、实验测量、或模糊测试的方式获得。

3.根据权利要求1所述的基于功能域的终端设备安全威胁模型的构建方法，其特征在于，所述步骤(2)中，分析每个终端设备的设计功能，以及为实现所述设计功能所需要的子功能，各子功能分别对应一个功能域，依据子功能间的依赖关系获得各功能域之间的关联关系。

4.根据权利要求1所述的基于功能域的终端设备安全威胁模型的构建方法，其特征在于，基于步骤(3)最终构建的终端设备功能模型，将终端安全威胁分为功能内脆弱性和功能外脆弱性两类：

4.1功能内脆弱性指原有功能设计范围内的，即V(D)当中的脆弱性，此类脆弱性是由设计功能的缺陷导致，首先确定终端设备设计功能的输入集合、输出集合及其映射关系，同时测试终端设备实际工作中的输入集合、输出集合及其映射关系，对比验证功能设计过程中的安全漏洞，建立功能内脆弱性模型；

4.2功能外脆弱性指原有功能设计范围外的脆弱性，即V(D)之外的脆弱性，对功能外脆弱性从旁路、超限、陷门三个角度进行建模：

4.2.1在原有连接关系集合E(D)之外存在的连接关系e_s即旁路脆弱性；对于数字域中的计算任务与物理域中的计算单元而言，二者存在正常的信息连接关系，以电信号的形式存在，但计算单元向环境中辐射的热量、磁场、声音和所消耗的功耗信息可能间接地反应计算任务，从而建立旁路连接，通过计算非电信号与电信号之间的相关关系，建立旁路脆弱性模型；

4.2.2当功能块的实际功能超出了原本设计功能V(D)的范围即存在超限脆弱性；超限可以在数字域和物理域上分为算法超限和硬件超限两类，扩展传感器输入信号的形式、大小或算法的输入集，观察其输出与输入是否存在映射关系，建立超限脆弱性模型；

4.2.3功能块的正常功能V(D)被恶意修改带来的脆弱性即陷门脆弱性；通过遍历终端设备的输入信号，观察其输出是否存在异常，建立陷门脆弱性模型。