基于物聯網的計算機系統漏洞自動化檢測技術

摘要：隨著物聯網技術的快速發展，設備安全問題日益突出。文章針對物聯網系統漏洞特征的復雜性，提出了一種協同式自動化漏洞檢測框架，該框架有機集成了協議感知型模糊測試、跨架構動態污點分析以及由模糊測試引導的選擇性符號執行技術。該框架通過協議感知型狀態模糊測試實現漏洞挖掘，結合動態污點分析技術追蹤數據流動，并利用符號執行突破深層代碼覆蓋。實驗結果表明，該框架能有效發現多類型高危漏洞，為物聯網設備安全評估提供了可靠的技術支撐。

關鍵詞：物聯網安全；漏洞檢測；混合分析；模糊測試

中圖分類號：TP393" " " 文獻標識碼：A

文章編號：1009-3044（2025）24-0066-03

開放科學（資源服務） 標識碼（OSID）

0 引言

物聯網作為新一代信息技術的重要組成部分，正在深刻改變人類的生產生活方式。然而，物聯網設備普遍存在的資源受限、協議繁雜、安全意識薄弱等問題，使其面臨嚴峻的安全挑戰。傳統的人工審計方法難以應對海量設備的安全評估需求，而單一的自動化檢測技術又無法有效處理物聯網系統特有的軟硬件耦合特性。因此，研究一種能夠綜合利用多種先進技術、實現全方位、深層次漏洞檢測的自動化框架，具有重要的理論價值和實踐意義。

本文的主要貢獻如下：1） 設計并實現了一個多技術融合的自動化漏洞檢測框架，能夠對物聯網固件進行深度分析；2） 提出了一種協議感知型狀態模糊測試機制，有效提升了對有狀態網絡服務的測試效率；3） 將模糊測試、DTA與選擇性符號執行相結合，形成優勢互補的自動化漏洞挖掘閉環。實驗結果證明了該框架的有效性。

1 物聯網系統漏洞特征分析

物聯網（IoT） 系統作為信息物理融合系統的典型代表，其安全邊界模糊、軟硬件耦合緊密，導致其漏洞特征與傳統計算機系統存在顯著差異，呈現出跨層次、高耦合與異構性強的特點。物聯網系統的漏洞可以從終端層、網絡層和云/應用層三個維度進行歸類[1]。其中，終端層漏洞是物聯網安全最基礎也是最薄弱的環節，主要集中在設備固件與嵌入式操作系統中。由于設備資源受限，開發者往往忽略嚴格的安全編碼規范，導致緩沖區溢出、棧溢出等內存安全漏洞頻發。此外，硬編碼在固件中的密鑰、口令以及未被禁用的JTAG、UART等物理調試接口，為攻擊者提供了直接獲取設備控制權的路徑。網絡層漏洞主要源于通信協議的多樣性與不當實現。除TCP/IP協議棧的傳統漏洞外，大量針對低功耗、窄帶寬場景設計的物聯網協議，如MQTT、CoAP、Zigbee等，其自身安全機制尚不完善或被錯誤配置，易遭受中間人攻擊、重放攻擊和拒絕服務攻擊。云/應用層漏洞則與傳統的Web安全漏洞類似，但其危害會直接延伸至物理世界。管理平臺和移動App的Web接口是主要攻擊面，常見的SQL注入、跨站腳本、命令注入和不安全的API授權等漏洞，可能導致攻擊者批量控制設備或竊取海量用戶敏感數據。因此，物聯網系統漏洞的多層次、多樣化形態，對傳統的單一檢測技術提出了嚴峻挑戰，凸顯了構建一套能夠覆蓋“云—管—端”全鏈路的自動化、多維度協同檢測框架的必要性與緊迫性。

2 自動化漏洞檢測技術

針對物聯網系統漏洞的復雜特性，本研究設計并實現了一套自動化漏洞檢測框架。該框架有機融合多種漏洞挖掘技術，旨在實現對物聯網“云—管—端”全鏈路的深度與廣度覆蓋。

2.1 基于模糊測試的漏洞發現機制

模糊測試通過向目標程序注入大量半有效的畸形輸入以觸發程序異常，是自動化挖掘未知漏洞的基石[2]。為應對物聯網固件協議多樣、交互邏輯有狀態的特點，本研究構建了一套基于覆蓋率引導的協議感知型狀態模糊測試機制，其自動化流程運行于通過QEMU全系統模擬技術搭建的虛擬化環境中。

該機制的核心是“協議感知”與“狀態維持”相結合的智能測試用例生成策略。在“協議感知”方面，引擎并非隨機破壞數據，而是依據預定義的協議規約模型進行結構化變異。例如，在對MQTT協議進行變異時，引擎會針對性地將PUBLISH報文的Topic Length字段值修改為一個超大值（如0xFFFF） ，或在Payload中填充%s%n等格式化字符串，以測試特定的漏洞類型。為更清晰地描述協議感知和狀態維持的邏輯流程，該機制的核心算法可表示為以下偽代碼：

Algorithm 1： 協議感知狀態模糊測試算法

Input： 目標服務Target，協議模型Model_p，初始種子Seed_set

Output： 發現的崩潰和異常列表Crashes

1： state ← INITIAL_STATE

2： test_queue ← Seed_set

3： while test_queue不為空 do

4： testcase ← test_queue.dequeue（）

5： if 狀態機允許（state， testcase.protocol_type） then

6： mutated_case ← 根據Model_p變異（testcase）

7： response ← 執行測試（Target， mutated_case）

8： if 檢測到崩潰（response） then

9： Crashes.add（mutated_case， response）

10： state ← 更新狀態機（state， response）

11： if 發現新覆蓋率 then

12： test_queue.enqueue（mutated_case）

13： return Crashes

該算法展示了如何根據當前會話狀態選擇變異策略，以及如何根據設備響應動態更新狀態機。為確保測試的針對性與可復現性，每次模糊測試任務啟動前，系統會加載具體的測試配置文件，如表1所示。

在“狀態維持”方面，機制通過解析設備響應，動態維護一個簡化的服務狀態機。例如，只有在發送合法的CONNECT報文并收到CONNACK成功響應后，狀態機才會從“未連接”遷移至“已連接”，后續的模糊測試也才會集中于SUBSCRIBE、PUBLISH等須認證后才能訪問的功能。這種方法避免了在無效狀態下浪費大量測試資源，能夠顯著提升對核心業務邏輯的測試覆蓋率。

2.2 動態污點分析技術實現

對于命令注入、信息泄露等不直接引發程序崩潰的邏輯漏洞，模糊測試難以有效發現。動態污點分析（Dynamic Taint Analysis，DTA） 技術為此提供關鍵補充。它在程序運行時將來自不可信源的數據標記為“污點”，并跟蹤其在系統內的傳播，若污點數據未經無害化處理就流入危險函數，則判定存在潛在漏洞[3]。

本研究實現的動態污點分析引擎與QEMU模擬環境緊密集成，通過在QEMU的中間表示層進行指令級插樁，實現對ARM、MIPS等不同架構物聯網固件的跨平臺污點跟蹤。該自動化引擎主要包含污點定義、傳播策略和漏洞判定三個核心部分。

1） 物聯網場景的污點源與匯定義：系統預定義了一套符合物聯網特征的Source/Sink規則集。污點源不僅包括標準的網絡接收函數recv（），還特別擴展到處理具體業務邏輯的回調函數，如mqtt_handle_publish_cb函數中的payload參數，以及對/etc/config/network等配置文件的讀取操作。污點匯則不僅關注system（）等命令執行函數，更重點監控直接與物理世界交互的底層操作，如通過ioctl或write函數對/dev/led、/dev/gpio等設備文件的寫操作，以檢測非預期的物理行為[4]。

2） 污點傳播與凈化策略：引擎在指令級別跟蹤數據流動。對于數據傳送指令，污點被直接傳遞；對于算術邏輯運算，結果操作數將繼承所有源操作數的污點；對于一條多操作數的指令，其目標操作數的污點狀態被定義為所有源操作數污點狀態的并集。其傳播規則可概括為：

[Taint（Opdest）←i=1nTaint（Opsrci）] （1）

同時，當污點數據流經一個已知的凈化函數，如strspn進行白名單字符校驗后，其污點標記將被移除，以此降低誤報。

3） 自動化漏洞判定與報告：當被標記為污點的數據最終到達一個污點匯時，系統會自動觸發漏洞判定。

圖1展示了一個典型的命令注入檢測流程：來自網絡套接字的數據①被標記為污點源。該污點數據在內存中經過變量賦值與字符串拼接等操作進行傳播②，最終未經任何過濾檢查，直接流入system函數的參數，構成污點匯③，從而觸發漏洞警報④。自動化報告模塊會生成包含完整污點傳播路徑的詳細報告，清晰展示漏洞成因，為修復工作提供精準的自動化支持。

2.3 符號執行引擎構建

模糊測試與動態污點分析技術均依賴于實際執行的路徑。當漏洞隱藏在由復雜條件約束的深度代碼分支中時，模糊測試器可能因無法生成滿足特定條件的輸入而停滯不前，動態污點分析也因此無法觀察到相應的污點傳播路徑。本研究引入并構建了一個與模糊測試引擎協同工作的選擇性符號執行引擎。符號執行的核心思想是將程序的輸入變量替換為符號值，在執行過程中，程序變量的計算被轉化為對這些符號值的符號表達式運算，并將分支跳轉的條件記錄為路徑約束[5]。

該引擎的核心思路并非對整個固件進行全量符號化，以避免實際應用中不可承受的“路徑爆炸”問題，而是采用一種由模糊測試引導的混合執行模式。其自動化工作流程如下。

1） 自動化觸發與狀態切換：模糊測試器在運行時持續監控代碼覆蓋率。當其在設定的時間窗口內未能探索到新的基本塊時，系統判定fuzzer陷入停滯狀態（stalled state） 。此時，系統自動暫停模糊測試，將當前執行狀態（包括內存、寄存器） 進行快照，并將導致執行停滯的輸入及程序計數器（PC） 位置一并移交給符號執行引擎。

2） 選擇性符號化與約束生成：引擎從接收到的停滯點開始執行，將引發路徑決策的關鍵輸入數據（如來自網絡報文的特定字段） 表達為符號變量。程序執行過程中，對這些符號變量的操作被轉化為符號表達式的運算。每當遇到一個依賴于符號變量的分支指令，引擎便將相應的分支條件記錄為一個路徑約束。一條完整路徑的約束集合可表示為[PC=C1∧C2∧…∧Cn]，其中每個[Cn]為關于符號輸入變量的約束表達式。

3） 約束求解與新輸入生成：為探索未覆蓋的分支，引擎會自動將當前路徑的最后一個約束條件[Cn]取反（?Cn） ，形成一個新的路徑約束集[PC'=C1∧C2∧…∧?Cn]。隨后，引擎調用后端集成的Z3約束求解器對[PC']進行求解。若求解成功，將得到一組可滿足新路徑條件的具體輸入值。

4） 反饋閉環：新生成的具體輸入值被視為高價值種子，自動反饋給模糊測試器的種子隊列。模糊測試器利用這些種子，能夠直接跨越此前的執行障礙，繼續進行廣度優先的探索，從而形成“模糊測試探索廣度、符號執行突破深度”的自動化協作閉環。這種混合方法有效結合了fuzzing的可擴展性和符號執行的路徑探索深度，實現優勢互補的自動化漏洞挖掘效果[6]。

3 系統測試驗證

為系統性評估自動化漏洞檢測框架的實際性能與有效性，本研究將測試環境部署于一臺搭載Ubuntu 20.04操作系統的服務器上，核心組件包括QEMU模擬器、Z3約束求解器以及本文自研的調度與分析引擎。測試對象選取市場上5款不同廠商、不同類型的物聯網設備固件，以確保測試的廣泛性和代表性。

測試過程完全自動化。對于每個固件樣本，系統首先自動執行固件解包、文件系統分析和QEMU模擬環境的搭建。隨后，啟動為期72小時的自動化檢測任務，該任務由協議感知的模糊測試作為主驅動，并與動態污點分析、選擇性符號執行等模塊協同工作，對固件的網絡服務和核心應用進行深度探測。漏洞特征庫為整個過程提供初始的攻擊向量指導和最終的漏洞類型判定。測試結果匯總如表2所示。

測試結果表明，本自動化檢測框架在限定時間內，成功從所有固件樣本中發現了多個安全漏洞，其中包括5個在公開漏洞數據庫中未有記錄的高危漏洞。研究團隊已遵循負責任的披露原則與相關廠商進行聯系。漏洞類型覆蓋了命令注入（CWE-78） 、緩沖區溢出（CWE-120/121） 、硬編碼憑證（CWE-798） 、不當認證（CWE-287） 等物聯網設備中的多種常見高危缺陷。這充分驗證了多技術融合自動化檢測方案能夠有效挖掘固件中潛藏的深層次、多樣化安全漏洞，在真實的物聯網安全評估場景中具備較高的實用價值與技術先進性。

4 結束語

本文設計實現的物聯網漏洞自動化檢測框架，通過有機融合模糊測試、動態污點分析和符號執行等技術，較好地解決了物聯網設備漏洞檢測中的技術難點。實驗驗證表明，該框架能夠有效發現包括此前未公開在內的多種高危漏洞。

然而，本框架仍存在一定局限性。目前對加密通信或需要復雜用戶交互的協議支持尚不完善，符號執行模塊在面對路徑爆炸問題時的效率仍有提升空間。未來工作將重點研究利用強化學習來指導模糊測試的變異策略和能量分配，以期進一步提升漏洞發現的效率和深度。同時，將進一步優化檢測效率，擴展對更多物聯網協議的支持。

參考文獻：

[1] 李懿瓊. 基于卷積神經網絡的計算機系統漏洞自動化檢測技術[J]. 自動化技術與應用， 2025， 44（3）： 160-163.

[2] 錢鵬， 劉振廣， 何欽銘， 等. 智能合約安全漏洞檢測技術研究綜述[J]. 軟件學報， 2022， 33（8）： 3059-3085.

[3] 童俊成， 趙波. 區塊鏈智能合約漏洞檢測與自動化修復綜述[J]. 計算機應用， 2023， 43（3）： 785-793.

[4] 高松. 系統漏洞檢測研究與安全分析[J]. 數字通信世界， 2021（4）： 19-21.

[5] 申桐. 靜態分析下計算機操作系統漏洞檢測方法[J]. 軟件， 2025， 46（4）： 148-150.

[6] 王輝鵬. 基于網絡安全維護的計算機網絡安全技術應用分析[J]. 信息與電腦（理論版） ， 2020， 32（19）： 190-191.

【通聯編輯：唐一東】