本發(fā)明涉及系統漏洞檢測，尤其涉及一種實時操作系統的智能漏洞挖掘系統及方法。

背景技術：

1、實時操作系統是一種專門設計用于處理實時數據處理和控制任務的操作系統，它們具有嚴格的時間限制，需要在預定的時間內對事件做出快速響應，應用于需要高度精確時間控制和響應的領域，包括但不限于：航空航天、醫(yī)療設備、工業(yè)自動化和控制、通信設備、汽車電子，因此系統的安全對于實時操作系統至關重要。系統漏洞是指在軟件或系統設計、實現或配置中存在的缺陷或弱點，這些缺陷可能被攻擊者利用來進行非法訪問、數據篡改、服務中斷等惡意操作，系統漏洞對實時操作系統的影響不僅包括性能和安全性方面的問題，還可能影響系統的穩(wěn)定性、維護成本和合規(guī)性，因此，及時發(fā)現和修復漏洞對于保障rtos在關鍵應用中的可靠性至關重要。

2、然而目前實時操作系統在漏洞挖掘方面，仍存在一些問題，如：

3、在固件中常常存在未修補的漏洞，易被攻擊者利用進行惡意操作，網絡配置錯誤或動態(tài)行為監(jiān)控不足可能導致安全漏洞被忽視；

4、高并發(fā)操作可能導致任務調度問題，影響系統的實時響應能力，系統對資源的管理和分配可能存在不足，影響整體性能，rtos可能需要支持多種設備和指令集，兼容性問題可能影響系統穩(wěn)定性；

5、啟動項檢測和軟鏈接問題可能導致系統啟動失敗或不穩(wěn)定，混淆代碼使得漏洞分析和修復變得復雜，增加了安全風險。因此本發(fā)明提出了一種實時操作系統的智能漏洞挖掘系統及方法，以解決上述背景技術中提到的問題。

技術實現思路

1、本發(fā)明實時操作系統的智能漏洞挖掘技術重點突破固件仿真分析、智能模糊測試、自動化協議測試、代碼塊匹配測試、相似理論等關鍵技術，形成重點領域實時操作系統安全漏洞檢測能力，子系統基于安全檢測評估環(huán)境，可針對支持freertos、vxworks、嵌入式linux、android、wince、uc/os-ii重點領域實時操作系統開展白盒、黑盒、灰盒測試，實現對開源代碼、程序、固件、協議等的漏洞分析能力；

2、實現牽引性指標：在系統級仿真方面，對以主流實時操作系統平臺(例如freertos、vxworks等)構建的固件實現自動化適配和全系統模擬運行，并實現在脫離硬件支持下能夠完成對固件內90％功能邏輯的仿真復現，而提出的一種實時操作系統的智能漏洞挖掘系統及方法。

3、為了實現上述目的，本發(fā)明采用了如下技術方案：

4、一種實時操作系統的智能漏洞挖掘系統及方法，所述系統包括固件仿真分析模塊、語義識別測試模塊、相似理論測試模塊以及智能模糊測試模塊；

5、所述固件仿真分析模塊包括用戶界面層、核心數據分析層、智能虛擬資源分配層和仿真系統資源支撐層，其中用戶界面層包括用戶控制一臺、仿真頁面、固定分析實用工具、快速指令、固定漏洞和漏洞反饋；核心數據分析層包含對固件文件系統的分析和修復，以及劫持文件、依賴文件、分析追蹤腳本、調試命令的植入；智能虛擬資源分配層通過調度實現對所有計算資源進行分配，使模擬仿真器正確運行，同時開啟對仿真器的進程資源監(jiān)控；仿真系統資源支撐層用于支持整個系統的分布式部署，為實現固件仿真分析功能，將固件仿真分析平臺分為十大技術部分，分別是啟動項檢測、軟鏈接修復、庫函數識別、庫函數劫持、設備類型支持、多指令集支持、網絡配置探測、動態(tài)行為監(jiān)控、啟動類型支持和高并發(fā)支持；

6、所述語義識別模塊從目錄組成特征、文件結構特征、代碼語義代碼塊匹配測試分析特征三個級別入手，由上到下、由外部特征到內部邏輯逐級對比較目標進行判定與篩選，不斷縮小比較范圍、提高相似性判定的效率與準確度；

7、所述相似理論測試模塊是將相似的一對代碼的特征相似向量作為輸入，把它們的相似性度量值作為期望輸出，通過訓練不斷調整各個特征對比對分析結果的影響權值，從而實現從代碼特征向量到比對分析結果的合理映射，建立一個有效的基于bp神經網絡的比對分析模型，利用bp網絡對代碼樣本之間的相似性進行分析；

8、所述智能模糊測試模塊包括二進制程序修補模塊、軟件組件運行仿真模塊和模糊測試模塊，通過修補模塊、仿真運行模塊和模糊測試模塊的相互協作，實現對基礎軟件、軟件組件、協議的多粒度模糊測試，在模糊測試模塊中，為了遍歷程序包含的更多程序路徑，提高發(fā)現漏洞的能力，引入反饋機制，顯著提高其安全性。

9、優(yōu)選地，所述固件仿真分析模塊首先進行固件基礎分析研究，實現固件解包、elf文件分析、操作系統識別、指令集識別、文件系統格式識別、廠商型號識別，通過粗粒度匹配庫函數識別功能，實現固件動態(tài)分析環(huán)境構建，為后續(xù)分析技術提供基礎，基于固件基礎分析中的固件解包、指令集識別等，可進一步實現固件仿真分析，固件仿真分析將研究庫函數識別、啟動項檢測、軟鏈接修復、庫函數劫持、網絡配置探測、硬件參數填充等技術。

10、優(yōu)選地，所述語義識別模塊在文件結構層面對源代碼和二進制代碼進行區(qū)分，對于源代碼從語法樹、聚類方法角度進行相似性判定，對于二進制代碼通過程序結構比較判定相似性，針對二進制代碼采用基于正向推導的相似性判定和基于依賴特征的相似性判定，對于較為特殊的混淆代碼，本部分研究也將實現部分混淆消除技術，消除混淆干擾，提升基于依賴特征的代碼語義比對能力。

11、優(yōu)選地，所述相似理論測試模塊通過以下兩步驟實現：

12、步驟一：基于一對代碼的特征相似向量構造訓練集，利用bp算法訓練得到神經網絡隱層和輸出層各節(jié)點的連接權值和閾值；

13、步驟二：利用已經訓練得到的神經網絡進行代碼樣本進行比對分析，將兩個樣本關于n個特征的相似度組成的n元組x＝(x1,x2,...,xn)就作為神經網絡的輸入向量，輸入到神經網絡中,得到一個輸出值y∈(0,1)，y值越大，則兩個輸入樣本相似的可能性越大。

14、優(yōu)選地，所述智能模糊測試模塊通過靜態(tài)探針的方法，對軟件組件進行文件結構上的修改，插入用于記錄程序運行路徑的代碼，從而監(jiān)控程序運行狀態(tài)，利用模型約束及群智能算法針對執(zhí)行路徑提取得到的執(zhí)行路徑結果，進行有針對性的變異，使測試樣本更具有穿透性，提高漏洞挖掘效率。

15、一種實時操作系統的智能漏洞挖掘系統的挖掘方法，所述相似理論模塊還包括代碼特征的相似度計算方法、基于bp神經網絡的代碼比對方法、閾值選擇與相似度計算方法；

16、其中代碼特征的相似度計算方法是在提取出每個代碼樣本的特征之后，可將其表示為一個定長特征向量，然后采用適當的距離度量計算兩個特征向量之間的相似度，最終得到一個非負的標量，以此來衡量輸入的兩個樣本在此特征空間中的相似度。

17、優(yōu)選地，所述閾值的選擇本文先對源程序進行多種相似性修改，再將程序進行相似性比較，每次相似性檢測結果用相似度si表示，單一次的相似度值沒有任何參考價值，閾值的選擇采用自適應閾值的方法，對多種修改手段形成的程序與源程序進行n次相似度比較，來計算自適應閾值sim。計算式如下：

18、

19、其中smax為n次檢測中得到的相似度最大值，smin為n次檢測中得到的相似度最小值，根據大量實驗得出自適應閾值為83％。

20、優(yōu)選地，所述相似度計算對于節(jié)點定義節(jié)點格式如下：

21、infok∈{infon|n∈{tn}，ccn＝i}

22、節(jié)點hash值為hk，節(jié)點對應代碼起始行為stnx，代碼結束行為ednx。

23、假如hx＝hy，則認為節(jié)點x和節(jié)點y對應的源代碼段為相似源代碼，將(infox,infoy)包含入一個集合，根據stnx中的ednx和stny將重復存儲的元素去除，以避免重復計算相似度，形成相似節(jié)點信息集合sminfo，使用以下算式計算目標源代碼相對于樣本源代碼的相似度sd：

24、

25、其中x為目標語法樹節(jié)點，且(infox，stny)∈sminfo，lc是目標源代碼中的總有效行數(不包括代碼塊外的注釋和空白等)；

26、對于所有(infox，stny)∈sminfo，按照infox中的ndtx統計各種相似數據結構的類型，如函數、結構體、聯合體等等。

27、相比現有技術，本發(fā)明的有益效果為：

28、1、本發(fā)明通過將固件仿真目標分為多個部分(如啟動項檢測、動態(tài)行為監(jiān)控)，該系統能全面覆蓋各種漏洞檢測需求，系統根據并發(fā)能力、啟動類型等性能要求進行優(yōu)化，提高了檢測效率和準確性；

29、2、本發(fā)明通過對源代碼和二進制代碼的語法樹、聚類方法進行相似性判定，提升了漏洞檢測的精準度，利用樹匹配算法檢測軟件結構中的相似部分，有助于發(fā)現深層次的結構性漏洞；

30、3、本發(fā)明通過混淆消除技術，系統能夠處理和分析混淆代碼，減少了混淆對漏洞檢測的干擾，智能模糊測試技術生成高效變異樣本，能有效發(fā)現新漏洞并提高測試效率，包含樣本生成、控制模塊及虛擬平臺等，支持對不同軟件組件的深入測試，提高了漏洞發(fā)現的覆蓋率和準確性。