本发明专利技术公开了一种密码存储漏洞检测方法、终端设备及存储介质,针对嵌入式设备中的密码存储构建了通用的正确存储规则,根据特征定义了不同密码存储漏洞的数据流特性,进而统一识别分析认证过程,并以此来检测分类密码存储问题。在嵌入式设备类型日趋多样化的情况下,采用通用的正确规则和数据流特性,可以无视设备运行系统的差异性,实现了快速地检测出密码存储漏洞的目标。储漏洞的目标。储漏洞的目标。
【技术实现步骤摘要】
密码存储漏洞检测方法、终端设备及存储介质
[0001]本专利技术涉及密码存储漏洞检测技术,特别是一种面向嵌入式设备认证过程的密码存储漏洞检测方法、终端设备及存储介质。
技术介绍
[0002]物联网市场规模快速增长,联网设备数量持续增加。近年来,随着NB
‑
IOT、eMTC、Lora等低功耗广域网商用化进程不断加速,日益增长的物联网平台带来了服务支撑能力的迅速提升,以及边缘计算、人工智能等新技术不断注入,物联网产业迎来了快速增长[1][2]。随着物联网技术的发展,物联网设备受网络攻击的风险也在增加。这些攻击可能会使物联网设备功能失常,甚至会暴露用户的个人信息。因此,保护物联网设备的安全是至关重要的。在物联网嵌入式设备中,密码作为保护物联网设备的基本手段,直接影响到设备敏感文件的安全性,若攻击者获取到合法用户的密码数据,则可以直接控制设备从而带来巨大的安全隐患。目前漏洞检测已经广泛应用于物联网安全方面。
[0003]在手动检测方面,Angr[3]作为一个基于符号执行和模拟执行的二进制框架,常用于物联网嵌入式设备的分析。Angr能对二进制程序进行反汇编并转化为中间语言表示、符号执行、程序插桩、控制流分析、数据相关性分析,但是在此基础上仍需要人工提供安全策略,不能做到完全自动化的检测。在自动化检测方面,大部分的自动化检测工具都是针对单一类型漏洞。Costin等人[4]针对后门类漏洞首次提出大规模自动化地分析嵌入式设备的固件,自动解压并处理固件,使用模糊哈希的方式匹配固件中存在的弱密钥,通过关联分析的方式在四种不同维度查找不同固件镜像之间的相似性。该方案是第一次提出通过固件模块关联的方式发现同源漏洞,但方案比较单一,精确度不够。Firmalice[5]通过程序依赖图和符号执行来检测后门漏洞,提高了在检测固件认证旁路漏洞的自动化程度,减少了大量的人力工作。但Firmalice无法分析复杂的、混淆处理过的固件,所能覆盖的认证旁路漏洞类型也比较有限。Thomas等人[6]提出基于静态数据比对分析的方法检测COTS(Commercial Off
‑
The
‑
Shelf)设备固件中未建档的功能和硬编码的认证后门漏洞。HumIDIFy[7]提出了一种半自动化的方法来检测COTS入式设备固件二进制内的隐藏功能,其使用了一个半监督学习的分类器识别出固件中的二进制以及二进制具有的功能,并将其与预期功能profile比较,以识别出非预期的功能。Mu等[8]采用函数特征提取以及改进的指令统计方法来识别物联网中的密码函数,该研究主要集中在对物联网固件中密码函数的识别,并未针对密码漏洞进行检测分析。穆超等人[9]针对硬编码问题对硬编码字符进行了识别和定位,设计符号执行方法确定硬编码漏洞的触发条件。以上的工作都没有针对密码存储建立通用的存储规则,没有定义统一的数据流特性来检测分类密码存储问题,缺乏自动化工具对密码存储问题进行集中的分析检测。
[0004]目前用于物联网嵌入式设备安全漏洞检测的方法与框架分为手动框架与自动工具。手动框架都存在检测效率低,人工成本较大,缺少自动识别能力的问题。非常经典的手动框架之一Angr是一个二进制代码分析工具,能够自动化完成二进制文件的分析。Angr支
持多处理架构的用于二进制文件分析,提供动态符号执行的能力以及多种静态分析的能力。通过Angr可以根据内存参数以及变量来人工分析检测内存漏洞。通过Angr也可以人工分析嵌入式设备中密码方面的问题,但是人工分析效率低下且准确率较低。其他一些手动框架针对的是其他非密码方面的安全问题,如MRECP[10]针对的是物联网中通信协议存在的安全问题,其关注网络流量数据流的分析,不具备对密码认证过程的正确逻辑判断,缺少自动识别分析能力。目前的自动工具大都是针对单一漏洞,比如Firmalice和Wesel[11]是针对绕过身份验证漏洞,CryptoLint[12]和CRYPTOREX[13]是针对密码误用漏洞,这些自动化工具都没有针对同一单体的多类问题的统一集中分析模型。目前的自动工具都不具备通过密码自动识别分析认证过程来对嵌入式设备中的密码存储漏洞进行自动识别检测的能力。
技术实现思路
[0005]本专利技术所要解决的技术问题是,针对现有技术不足,提供一种面向嵌入式设备认证过程的密码存储漏洞检测方法、终端设备及存储介质,对嵌入式设备中的密码存储漏洞进行自动识别检测,提高了检测的效率,具有较高的泛化性。
[0006]为解决上述技术问题,本专利技术所采用的技术方案是:一种面向嵌入式设备认证过程的密码存储漏洞检测方法,该方法包括:
[0007]在对认证过程进行数据流分析时,若在用户输入密码的数据流路径中,用户输入密码在未进行安全加密前与用户存储密码汇聚,且数据流路径存在认证成功的结果,则判定为存在密码明文存储漏洞;
[0008]在对认证过程进行数据流分析时,若在用户输入密码的数据流路径中,在与存储密码交汇之前的加密是非安全加密且存在认证成功的路径,则判定为存在密码弱加密存储漏洞;
[0009]在对认证过程进行数据流分析时,若与输入密码进行匹配的存储密码的数据流来源并非来自密码存储文件,且该存储密码节点的类型为常量类型,存储密码的数据流路径存在认证成功的路径,则判定为存在密码硬编码存储漏洞。
[0010]本专利技术通过对认证过程中三种漏洞的数据流特征进行定义,并根据此定义进行检测,实现了仅由一个过程分析即可检测多种类型漏洞的目标,提高了检测方法的泛化性,能更好地适应不同设备、不同文件系统的检测。
[0011]进一步的,本专利技术中,对认证过程进行数据流分析之前,还包括:
[0012]S1、将待分析敏感二进制文件候选集输入逆向工具中,经过反汇编生成Pcode IR;
[0013]S2、通过所述Pcode IR生成抽象语法树,通过所述抽象语法树得到敏感二进制文件候选集中的函数调用关系,进而生成代码的控制流图,通过所述控制流图生成数据流图;
[0014]S3、根据密码的数据流特性分析所述数据流图,定位出用户存储密码与用户输入密码,将用户存储密码与用户输入密码进行污点标记,跟踪污点数据的流向,确定数据流交汇点,即识别出认证过程。
[0015]本专利技术根据密码数据流特性来识别用户存储密码和用户密码,并通过反向污点追踪实现了在大量文件中自动且快速地识别认证过程,避免了需要人工分析来识别认证过程,为后续检测缩小了分析区域,提高了检测效率。
[0016]步骤S1中,所述待分析敏感二进制文件候选集获取过程包括:
[0017]1)通过爬虫爬取云上各种厂商的物联网嵌入式设备固件资源;
[0018]2)对爬取的固件资源通过binwalk工具进行解包,并提取文件系统;
[0019]3)遍历文件系统的根文件夹,利用正则表达式匹配筛选出待分析的敏感文件,构造敏感文件候选集,即得到待分析敏感二进制文件候选集。
[0020]本专利技术通过对披露漏洞细节进行分析来划定分析区域,避本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向嵌入式设备认证过程的密码存储漏洞检测方法,其特征在于,该方法包括:在对认证过程进行数据流分析时,若在用户输入密码的数据流路径中,用户输入密码在未进行安全加密前与用户存储密码汇聚,且数据流路径存在认证成功的结果,则判定为存在密码明文存储漏洞;在对认证过程进行数据流分析时,若在用户输入密码的数据流路径中,在与存储密码交汇之前的加密是非安全加密且存在认证成功的路径,则判定为存在密码弱加密存储漏洞;在对认证过程进行数据流分析时,若与输入密码进行匹配的存储密码的数据流来源并非来自密码存储文件,且该存储密码节点的类型为常量类型,存储密码的数据流路径存在认证成功的路径,则判定为存在密码硬编码存储漏洞。2.根据权利要求1所述的面向嵌入式设备认证过程的密码存储漏洞检测方法,其特征在于,对认证过程进行数据流分析之前,还包括:S1、将待分析敏感二进制文件候选集输入逆向工具中,经过反汇编生成Pcode IR;S2、通过所述Pcode IR生成抽象语法树,通过所述抽象语法树得到敏感二进制文件候选集中的函数调用关系,进而生成代码的控制流图,通过所述控制流图生成数据流图;S3、根据密码的数据流特性分析所述数据流图,定位出用户存储密码与用户输入密码,将用户存储密码与用户输入密码进行污点标记,跟踪污点数据的流向,确定数据流交汇点,即识别出认证过程。3.根据权利要求2所述的面向嵌入式设备认证过程的密码存储漏洞检测方法,其特征在于,步骤S1中,所述待分析敏感二进制文件候选集获取过程包括:1)通过爬虫爬取云上各种厂商的物联网嵌入式设备固件资源;2)对爬取的固件资源通过binwalk工具进行解包,并提取文件系统;3)遍历文件系统的根文件夹,利用正则表达式匹配筛选出待分析的敏感文件,构造敏感文件候选集,即得到待分析敏感二进制文件候选集。4.根据权利要求2所述的面向嵌入式设备认证过程的密码存储漏洞检测方法,其特征在于,步骤S3中,所述密码的数据流特性定义如下:用户存储密码的数据流特性定义如下:其中,表示存储密码的数据流来源,File
pw
表...
【专利技术属性】
技术研发人员:胡玉鹏,肖雨婷,黄靖,刘乾桢,刘琴,胡桥,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。