技术特征:
1.一种针对工业控制系统的轻量级安全性检测系统,其特征在于,包括:ics系统载入模块:对ics系统进行预处理得到可执行文件;静态分析模块:通过二进制逆向分析框架对可执行文件进行二进制语义重建,输入数据流依赖度度量获得数据流扩散图;动态分析模块:以数据流扩散图为基础,在裁剪控制流的基础上开展定向污点分析;检测报告输出模块:对污点分析的结果进行归一化处理以及可视化展示。2.根据权利要求1所述的针对工业控制系统的轻量级安全性检测系统,其特征在于,在所述ics系统载入模块中,根据特征字符串自动化识别ics系统镜像文件,提取镜像文件中的ics系统执行体。3.根据权利要求1所述的针对工业控制系统的轻量级安全性检测系统,其特征在于,在所述静态分析模块中,识别提取模块:通过启发式方法分析得到执行体二进制的加载基地址,解包还原镜像文件得到代码段、数据段在实体中的位置以及对应的符号文件;面向ics固件的语义重建模块:ics系统执行体通过包括基于符号表的恢复、数据流的模拟仿真、前端服务语义提取、任务消息机制恢复以及人工分析补充恢复实现二进制语义综合;输入数据流依赖性度量模块:通过ghidra的中间代码p-code实现从输入函数开始的粗粒度污点扩散,记录与输入数据形成依赖关系的条件分支和子函数调用参数,形成数据流在ics内部的扩散图,输出每个输入点对应的数据依赖图。4.根据权利要求3所述的针对工业控制系统的轻量级安全性检测系统,其特征在于,输入函数通过语义恢复自动化形成摘要,通过ghidra的中间代码p-code实现从形成摘要后的输入函数开始的粗粒度污点扩散。5.根据权利要求1所述的针对工业控制系统的轻量级安全性检测系统,其特征在于,在所述动态分析模块中,控制流图裁减模块:基于数据流在ics内部的扩散图,将条件分支中影响污点数据流可达敏感函数的路径剪切,同时将参数与输入无关的子函数调用剪切,从而形成污点数据流导向的控制流调用图;定向污点分析模块:基于污点数据流导向的控制流调用图进行从输入函数开始的混合符号执行,最终输出导致污点触发安全漏洞的输入条件、漏洞位置以及执行路径。6.根据权利要求1所述的针对工业控制系统的轻量级安全性检测系统,其特征在于,在所述检测报告输出模块中,对污点分析的结果进行归一化处理和可视化展示,合并各个输入导致的安全漏洞问题,形成不同的类型划分,展示漏洞形成的根本原理。7.一种针对工业控制系统的轻量级安全性检测方法,其特征在于,包括:步骤s1:对ics系统进行预处理得到可执行文件;步骤s2:通过二进制逆向分析框架对可执行文件进行二进制语义重建,输入数据流依赖度度量获得数据流扩散图;步骤s3:以数据流扩散图为基础,在裁剪控制流的基础上开展定向污点分析;步骤s4:对污点分析的结果进行归一化处理以及可视化展示。8.根据权利要求7所述的针对工业控制系统的轻量级安全性检测方法,其特征在于,所
述步骤s1采用:根据特征字符串自动化识别ics系统镜像文件,提取镜像文件中的ics系统执行体。9.根据权利要求7所述的针对工业控制系统的轻量级安全性检测方法,其特征在于,所述步骤s2采用:步骤s2.1:通过启发式方法分析得到执行体二进制的加载基地址,解包还原镜像文件得到代码段、数据段在实体中的位置以及对应的符号文件;步骤s2.2:ics系统执行体通过包括基于符号表的恢复、数据流的模拟仿真、前端服务语义提取、任务消息机制恢复以及人工分析补充恢复实现二进制语义综合;步骤s2.3:通过ghidra的中间代码p-code实现从输入函数开始的粗粒度污点扩散,记录与输入数据形成依赖关系的条件分支和子函数调用参数,形成数据流在ics内部的扩散图,输出每个输入点对应的数据依赖图。10.根据权利要求7所述的针对工业控制系统的轻量级安全性检测方法,其特征在于,所述步骤s3采用:步骤s3.1:基于数据流在ics内部的扩散图,将条件分支中影响污点数据流可达敏感函数的路径剪切,同时将参数与输入无关的子函数调用剪切,从而形成污点数据流导向的控制流调用图;步骤s3.2:基于污点数据流导向的控制流调用图进行从输入函数开始的混合符号执行,最终输出导致污点触发安全漏洞的输入条件、漏洞位置以及执行路径。
技术总结
本发明提供了一种针对工业控制系统的轻量级安全性检测系统及方法,包括:ICS系统载入模块:对ICS系统进行预处理得到可执行文件;静态分析模块:通过二进制逆向分析框架对可执行文件进行二进制语义重建,输入数据流依赖度度量获得数据流扩散图;动态分析模块:以数据流扩散图为基础,在裁剪控制流的基础上开展定向污点分析;检测报告输出模块:对污点分析的结果进行归一化处理以及可视化展示。果进行归一化处理以及可视化展示。果进行归一化处理以及可视化展示。
技术研发人员:陈力波 黄培扬 王轶骏 薛质
受保护的技术使用者:上海交通大学
技术研发日:2022.01.07
技术公布日:2022/4/29