[发明专利]一种面向工控黑盒软件的多样化构造方法

说明书

本发明属于计算机网络安全技术领域，涉及一种面向工控黑盒软件的多样化构造方法，步骤分为反编译阶段和多样化编译阶段，在反编译阶段对工控黑盒软件进行反编译，生成与工控黑盒软件等效的中间表示，继而反编译为高级语言表示，在多样化编译阶段基于多样化编译工具链，对工控黑盒软件进行多样化加固，将所述高级语言表示编译为多样化执行体，从而为拟态防御技术提供多样性支撑。本发明能够为拟态防御技术提供基础技术支撑，采用ELF文件格式使得整体工控黑盒软件描述十分灵活。

技术领域

本发明属于计算机网络安全技术领域，涉及一种面向工控黑盒软件的多样化构造方法。

背景技术

随着工业化进程的不断推进，人们逐渐进入了工业4.0时代。近年来，工控安全的问题日益严峻，得到了国内外广泛关注。

研究表明，漏洞广泛存在于软件中。工控软件往往开发时间早，使用周期长。在研发的早期，往往工控软件的开发人员更加侧重于工控软件的工程化实现，而忽略了软件安全问题，因此，工控软件相对于应用软件存在更多的安全问题。

传统的安全防御手段采用了一种事后弥补的方式来修复软件漏洞。然而，在漏洞发现之前，攻击者有可能对核心工控基础设施造成了巨大危害。

拟态防御技术是一种新型主动防御技术，打破了传统防御技术中被动防御问题。在允许漏洞存在的前提下，可通过动态、冗余、异构等拟态防御技术来阻断攻击载荷的攻击，从而导致攻击者的攻击行为失效。

为了将工控软件进行拟态化改造，需要解决工控软件的异构性问题。传统的二进制重写技术一定程度上能够解决该问题，然而，直接对二进制文件进行重写将会面临代码和数据的分离、间接控制流分析、畸形代码、混淆等问题。采用静态的二进制重写方法不能很好地解决该问题，即使能够成功重写，插装等技术也会极大影响性能。

现有传统反编译技术被广泛应用于软件逆向技术，被安全公司用来进行恶意代码检测，加上工控软件又具有文件格式种类繁多、处理器架构异构度高、编程语言多样、操作系统、编译器等基础软件多样化的特点，因此，传统逆向分析技术往往与软硬件平台具有紧密耦合性，为反编译技术的广泛应用和推广造成了一定的影响。

多样化编译技术能够基于源代码，生成功能等价、表征不同的执行体。然而，绝大多数工控软件由于年份过久或保密性问题，并不能提供源代码，对工控软件的拟态化改造和安全性加固造成了阻碍。

发明内容

为了解决现有技术中存在的上述技术问题，本发明提出了一种面向工控黑盒软件的多样化构造方法，首先对工控黑盒软件进行反编译，生成与黑盒软件等效的中间表示，继而反编译为高级语言表示；然后基于多样化编译工具链，将反编译的高级语言表示编译为表征不同的执行体，从而为拟态防御技术提供多样性支撑。其具体技术方案如下：

一种面向工控黑盒软件的多样化构造方法，分为反编译阶段和多样化编译阶段，首先在反编译阶段，对工控黑盒软件进行反编译，生成与工控黑盒软件等效的中间表示，继而反编译为高级语言表示，然后在多样化编译阶段，基于多样化编译工具链，对工控黑盒软件进行多样化加固，将所述高级语言表示编译为多样化执行体。

进一步的，所述反编译阶段，具体包括以下过程：

首先是反汇编过程：对工控黑盒软件进行反汇编，将可执行二进制文件转换为汇编语言表示；

然后是低阶反编译过程：基于反汇编得到的汇编语言，通过低阶反编译转换为中间表示；

接着是高阶反编译过程：通过高阶反编译将中间表示转换为高级语言表示形式。

进一步的，所述工控黑盒软件采用ELF文件格式。

进一步的，在低阶反编译过程，采用若干不同的静态分析方法对汇编语言进行处理，静态分析方法包括指数分离、指令解码、控制流分析、数据流分析；通过签名的方式删除工控黑盒软件在反编译后包含的静态链接代码；解析经控制流分析得到与硬件平台相关的跳转指令。