[发明专利]一种基于插桩的基本块粒度下工控协议语法逆向分析方法

说明书

本发明公开了一种基于插桩的基本块粒度下工控协议语法逆向分析方法，具体包括：对工控协议二进制可执行程序实现指令、基本块和函数粒度的动态插桩，在动态污点分析过程中记录指令粒度的污点传播信息以及基本块粒度、函数粒度、逻辑判断和跳转信息，生成程序运行时日志文件。日志文件通过重排序和相关分析算法，实现基本块粒度下的工控协议字段边界识别。本方法相较于函数粒度下的字段边界识别方法，可以获取更多基本块粒度下的程序上下文信息，从而识别出在同一函数下处理的不同字段，提升了字段边界识别精度。

技术领域

本发明涉及工业通信网络协议与协议逆向工程技术领域，特别涉及一种基于插桩的基本块粒度下工控协议语法逆向分析方法。

背景技术

工控协议作为现代工业控制系统网络拓扑的重要组成部分，在工控系统安全研究中有着重要的意义。对于工控协议的安全研究可以大体分为两部分：协议本体安全性研究以及协议安全应用。其中，协议本体安全性研究的一个热门领域是对于协议实现程序的模糊测试：通过预先设定一定的协议输入格式作为种子，模糊测试工具可以产生不同的输入以测试协议实现程序中存在的缓冲区溢出等脆弱性。在协议安全应用中，通过报文解析可以构建入侵检测系统，这也是轻量级工控系统网络安全加固的研究热点。上述两个领域的发展都离不开工控协议标准的获取。

协议标准可以分为协议语法、协议语义和协议状态机三部分。协议语法刻画了协议的字段边界；协议语法描述了协议各个字段的具体功能和含义；而协议状态机则是协议报文时序关系的体现。出于市场占有、安全等多方面因素考虑，工控厂商通常选择开发独有的协议用于其生产的设备通信，并保留其协议标准不进行公开。对于安全领域的研究者而言，这意味着其需要通过各种方式——软件逆向、数据比对等手段进行协议的格式信息获取，而这一过程无疑需要耗费大量的时间。此外，工控协议通常采用二进制协议，其格式有着严格的规定，并且隐去了语义信息，使得人工进行协议逆向难度倍增。

目前针对工控二进制协议的自动化逆向方法采用动态污点分析技术，从函数粒度上进行字段边界的划分，这种逆向方法在分析通过条件分支语句而非函数封装实现的协议功能时会出现无法准确划分字段边界的情况。本发明基于基本块粒度的细粒度协议逆向分析方法可以有效解决上述问题。

发明内容

本发明的目的在于针对现有技术的不足，提出一种基于插桩的基本块粒度下工控协议语法逆向分析方法。

本发明的目的是通过以下技术方案实现的：一种基于插桩的基本块粒度下工控协议语法逆向分析方法，该方法包括以下步骤：

S1：对工控协议的二进制可执行程序进行插桩，获取指令及函数粒度的运行时信息，将网络接收函数接收的协议报文数据标记为污点源数据；记录污点源数据及后续污点数据的污点状态信息，在程序运行过程中，依据污点传播规则，追踪污点数据在内存和寄存器中的传播情况，获取协议报文数据和程序上下文的关系。

S2：对函数粒度进行插桩，获取函数名称、函数进入和退出信息；对基本块粒度进行插桩，获取基本块入口地址和长度信息；对指令粒度的逻辑判断和条件跳转相关汇编指令进行插桩，用于标记逻辑边界。

S3：依据S1和S2设计的插桩方法，记录程序运行时上下文信息，形成格式化日志文件。

S4：对日志文件进行预处理，剔除网络接收函数不相关线程日志，并依据地址数据进行函数日志、基本块日志、指令日志的重排序。

S5：对预处理后日志文件进行分析，以逻辑判断和条件跳转指令为逻辑边界划分依据，将日志中记录的基本块序列划分为多个逻辑块，构建逻辑块和协议报文数据的关联关系，依据关联关系进行协议报文字段边界的划分，从而完成语法判别。

进一步地，所述步骤S1具体包括：

S11：对工控协议的二进制可执行程序进行插桩，具体使用程序插桩框架Pin进行指令粒度和函数粒度的插桩。