Android车载终端系统漏洞检测系统及方法技术解决方案

本发明的专利技术的实施例提供了一种用于Android车辆终端系统的漏洞检测系统和方法. 由于本发明专利技术的实施例基于漏洞触发过程对指令序列，系统调用信息和设备日志进行取证，因此可以获得较全面的漏洞分析结果. 另外，由于车载终端系统具有针对性强，操作模式简单的特点，因此其性能往往不是很强，漏洞触发过程取证模块通常会在漏洞触发过程中获取大量信息. 本发明的专利技术实施例将通过漏洞触发过程取证模块获得的取证信息传递给独立于车辆终端系统的外部检测设备上的漏洞触发过程分析模块，以进行详细的漏洞分析系统漏洞检测程序，可以同时改善Android车辆终端系统的性能和漏洞分析性能，解决了取证粒度无法平衡与系统开销之间的矛盾.

下载所有详细的技术信息

[技术实施步骤摘要]

Android车载终端系统漏洞检测系统和方法

这项专利技术涉及软件安全性

尤其涉及一种Android车载终端系统的漏洞检测系统和方法.

技术简介

现有的Android系统攻击和取证工具主要包括Rain工具和DroidForensics工具. 其中，Rain实现了可修复的攻击取证，可以跟踪按需流程之间的信息流. 该工具有选择地提供详细的指令级日志，同时最大程度地减少了运行时开销. 使用系统调用级别的记录和回放技术以及按需动态信息流跟踪（DIFT）来满足这些冲突的目标. 在构建逻辑原点图时，Rain将继续监视和记录系统调用事件和其他数据，以供后续重播. 当它在图形中检测到任何异常事件时，它将从事件中执行基于重播的DIFT，以删除所有不需要的依赖项. Rain是一个基于内核的系统. 它可以记录，重播和分析用户级进程的活动，但是由于它信任内核，因此无法监视内核活动. 如果内核损坏，Rain将不再能够创建可靠的原始数据. 同时，由于Rain记录了各种系统调用以支持可重播的执行，因此额外的存储开销太大. DroidForensics是用于通过多层取证记录准确重建Android攻击的工具. 它基于多层取证日志技术，从三个级别捕获重要的Android事件，即在AndroidAPI级别捕获应用程序的高级语义和在Binder级别捕获应用程序. 系统交互级别和系统调用等低级事件记录在系统调用级别. 但是，内核级别的攻击可能会使DroidForensics失效，并且如果该恶意软件使用与DroidForensics相同的系统调用，则会引入虚假的因果关系.

现有的Android系统攻击和取证技术主要从两个方面记录信息，一个是记录系统调用信息，另一个是记录指令序列信息. 为了确保记录准确的系统攻击信息，理想情况下，指令级日志记录所有程序的所有CPU指令的执行情况. 但是，这样的系统也会产生巨大的运行时开销，因此在实际的计算环境中是不切实际的. 由于许多攻击最终都需要使用系统调用来访问敏感的资源和设备，因此实际的系统主要集中在系统调用信息上，该信息具有较低的运行时开销. 但是，它们之间的依赖关系是模棱两可的，仅使用系统调用信息就很难准确地获得攻击的因果关系. . 可以看出，现有的Android系统攻击取证工具仅关注系统调用信息和指令序列信息，无法在取证粒度和系统开销之间的矛盾之间取得平衡，也很难获得内核级攻击的证据. 为了满足较低的运行时开销和细粒度的因果关系信息的需求，Rain只监视感兴趣的系统调用信息，例如: 记录打开，读取，写入文件操作和连接，接收和发送与网络操作相关的系统调用，并执行按需重播攻击，但是这种方法可能会遇到完整性问题，因为不能保证记录系统攻击期间的所有系统事件.

技术实现思路

根据现有技术中的问题，本专利技术的实施例提供了一种用于Android车辆终端系统的漏洞检测系统和方法. 具体地，本专利技术实施例提供以下技术方案: 在第一方面，本专利技术实施例提供了一种用于Android车载终端系统的漏洞检测系统，包括: 漏洞库模块，漏洞触发自动化测试模块，漏洞触发流程取证模块和漏洞触发流程分析模块；其中，漏洞库模块，漏洞触发自动测试模块和漏洞触发过程取证模块设置在要测试的Android车载终端系统上，漏洞触发过程分析模块设置在独立于外部设备的外部检测设备上. Android车载终端系统正在测试中；漏洞库模块用于存储漏洞信息库和漏洞验证脚本库，漏洞信息库存储与车辆终端系统已知漏洞信息相关的信息，漏洞验证脚本库存储与漏洞对应的漏洞验证程序漏洞信息中的信息；漏洞触发自动测试模块，获取漏洞信息和漏洞验证脚本库中的相应漏洞验证程序后，通过adb命令将相应的漏洞验证程序传输到被测Android车载终端系统ROM中，以执行漏洞在Android车载终端系统被测ROM中，验证程序执行漏洞触发的自动测试；漏洞触发过程取证模块用于监视每个漏洞验证程序的执行过程，并在漏洞触发自动测试模块执行漏洞触发自动测试时获取漏洞触发过程. 其中，监视数据包括设备日志，执行过程指令序列和系统调用信息；漏洞触发过程分析模块，用于接收漏洞触发过程取证模块发送的监控数据，并对数据中包含的设备日志，执行过程指令序列和系统调用信息进行分析，以获取触发漏洞的详细信息. 正在测试的Android车载终端系统.

此外，漏洞触发过程分析模块专门用于分析设备日志，以获取系统日志和内核日志，并根据系统日志和内核日志获取漏洞触发特征和漏洞利用特征；序列分析以获得漏洞触发约束条件和漏洞触发因果关系图；分析系统调用信息以获得用户级API调用信息和内核级API调用信息，并确定漏洞特征和用户级API调用信息以及内核级API调用信息漏洞所在的模块. 进一步地，当漏洞触发过程分析模块根据系统日志和内核日志获取漏洞触发特征和漏洞利用特征时，专门用于: 进程爆炸，高频文件读写，套接字通信扫描等. 系统日志以捕获漏洞触发功能；扫描内核日志以获取活动信息和内核状态以获得内核崩溃信息，并基于内核崩溃信息确定漏洞利用特征. 此外，当漏洞触发过程分析模块分析执行过程指令序列以获得漏洞触发约束条件和漏洞触发因果图时，它专门用于: 分析执行过程指令序列并针对不同类型的漏洞制定公式验证程序基于符号执行的形式验证方法，不同的IIbug和IIexploit谓词可分析漏洞触发约束并生成漏洞触发因果图. 此外，当漏洞触发过程分析模块根据用户级API调用信息和内核级API调用信息确定漏洞特征和漏洞所在模块时，专门用于: 建立API调用链根据用户级API调用信息，计算权重漏洞特征值，通过分析调用栈建立API调用森林. 根据内核级API调用信息，通过过滤和跟踪确定漏洞所在的模块，并通过调用堆栈分析确定系统漏洞

此外，第一映射表也存储在漏洞验证脚本库中，漏洞验证程序的返回值与漏洞触发结果之间的对应关系存储在第一映射表中；漏洞触发结果包括漏洞触发成功或失败触发失败；相应地，漏洞触发自动测试模块还用于在漏洞触发自动测试结束后收集漏洞验证程序的运行结果，根据漏洞验证程序的运行结果查询第一映射表，确定是否相应的漏洞已成功触发. 此外，漏洞信息库存储从标准漏洞库收集的漏洞和从现有车辆终端系统中挖掘的漏洞，并存储漏洞编号，漏洞分数和与相应漏洞相对应的漏洞描述信息. 此外，漏洞验证脚本库存储从互联网收集的漏洞验证程序，或者与漏洞信息相对应地独立编写的漏洞验证程序. 进一步地，所述安卓车载终端系统的漏洞检测系统还包括: 车载终端系统漏洞检测结果显示模块系统漏洞检测程序，用于向用户显示漏洞检测报告，所述漏洞检测报告包括漏洞触发结果和漏洞触发因果图和API调用林. 在第二方面，本专利的技术实施例还提供了一种基于漏洞的检测方法，该方法基于第一方面所述的Android车载终端系统的漏洞检测系统，包括: 启动漏洞触发自动测试模块，进行漏洞触发

【技术保护点】

1. 一种用于Android车载终端系统的漏洞检测系统，包括: 漏洞库模块，漏洞触发自动测试模块，漏洞触发流程取证模块和漏洞触发流程分析模块；在被测Android车载终端系统上设置漏洞库模块，漏洞触发自动测试模块和漏洞触发过程取证模块，在与Android车载终端系统无关的系统上设置漏洞触发过程分析模块在外部检测设备上； / n漏洞库模块用于存储漏洞信息库和漏洞验证脚本库，漏洞信息存储与车辆终端系统相关的已知漏洞信息，漏洞验证脚本库与漏洞信息对应的漏洞验证程序漏洞信息库中存储在存储系统中； / n漏洞触发自动测试模块，用于从漏洞信息库和漏洞验证脚本库中获取漏洞信息和信息，经过相应的漏洞验证程序后，将相应的漏洞验证程序传输至Android车载终端系统ROM进行通过adb命令进行测试，以便通过执行要测试的Android车辆终端系统ROM中的漏洞验证程序来执行漏洞触发自动测试； / n漏洞触发过程取证模块用于监视每个漏洞的执行过程在漏洞触发自动测试模块执行漏洞触发自动测试时，在漏洞触发过程中验证程序并获取监视数据；监控数据包括设备日志，执行过程指令序列和系统调用信息. / n漏洞触发过程分析模块用于接收漏洞触发过程取证模块发送的监视数据，并发送给监视数据中包含的设备日志. 1.分析执行过程的指令序列和系统调用信息以获得详细信息被测Android车载终端系统中触发的漏洞的信息. / n

【技术特点摘要】

1. Android车载终端系统的漏洞检测系统，包括: 漏洞库模块，漏洞触发自动测试模块，漏洞触发过程取证模块和漏洞触发过程分析模块；

其中，在受测Android车载终端系统上设置了漏洞库模块，漏洞触发自动测试模块和漏洞触发过程取证模块，并且独立于待处理的Test外部设置了漏洞触发过程分析模块Android汽车终端系统的检测设备；

漏洞库模块用于存储漏洞信息库和漏洞验证脚本库，漏洞信息库存储与车辆终端系统相关的已知漏洞信息，漏洞验证脚本库存储与之对应的漏洞验证程序漏洞信息中的漏洞信息；

漏洞触发自动测试模块用于从漏洞信息库和漏洞验证脚本库中获取漏洞信息和相应的漏洞验证程序，然后通过adb命令Test Android将相应的漏洞验证程序传输到待处理程序通过执行要测试的Android车载终端系统ROM中的漏洞验证程序来执行漏洞触发自动测试的车载终端系统ROM；

漏洞触发流程取证模块，用于监控每个漏洞验证程序的执行过程，并在漏洞触发自动测试模块执行漏洞触发自动测试时，在漏洞触发过程中获取监控数据. ，监视数据包括设备日志，执行过程指令序列和系统调用信息；

漏洞触发过程分析模块，用于接收漏洞触发过程取证模块发送的监控数据，并对监控数据中包含的设备日志，执行过程指令序列和系统调用信息进行分析，以获取测试细节. Android汽车终端系统中触发的漏洞.

2. 2.根据权利要求1所述的用于Android车载终端系统的漏洞检测系统，其特征在于，所述漏洞触发过程分析模块专门用于:

分析设备日志，获取系统日志和内核日志，并根据系统日志和内核日志获取漏洞触发特征和漏洞利用特征；

分析执行过程的指令顺序，获取漏洞触发约束条件和漏洞触发因果关系图；

分析系统调用信息以获得用户级别的API调用信息和内核级别的API调用信息，并根据用户级别的API调用信息和内核级别的API确定漏洞特征和漏洞所在的模块电话信息.

3. 3.根据权利要求2所述的Android车载终端系统的漏洞检测系统，其特征在于，所述漏洞触发过程分析模块根据系统日志和内核日志获取漏洞触发特征和漏洞利用特征，具体用于:

在系统日志上执行进程爆炸，高频文件读写以及Socket通信扫描，以捕获漏洞的触发特征；

在内核日志中扫描活动信息和内核状态以获得内核崩溃信息，并根据内核崩溃信息确定漏洞利用特征.

4. 3.根据权利要求2所述的Android车载终端系统的漏洞检测系统，其特征在于，所述漏洞触发过程分析模块对所述执行过程指令序列进行分析，以获得漏洞触发约束条件和漏洞触发因果关系，具体用于:

分析执行过程的指令顺序，针对不同类型的漏洞验证程序制定不同的IIbug和IIexploit谓词，基于符号执行的形式验证方法，分析漏洞触发约束，并生成...

【专利技术属性】

技术研发人员: 王志勇，季浩然，王欣，吴志敏，李成泽，黄磊，

申请人（专利所有人）: 北京清华亚讯电子信息研究所，

类型: 发明

国家省市: 北京； 11

下载所有详细的技术信息. 我是该专利的所有者

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-243787-1.html