近日,华东师范大学软件工程学院成果“BinPRE: Enhancing Field Inference in Binary Analysis Based Protocol Reverse Engineering”被ACM CCS 2024(ACM Conference on Computer and Communications Security)录用。这是首篇以华东师范大学为第一单位录用的长文研究论文(full research paper)。
ACM CCS与IEEE S&P、USENIX Security、NDSS并称为信息安全领域国际四大顶级学术会议,同时也是中国计算机学会推荐的CCF-A类会议。
该论文的指导老师为学院教师苏亭、万成城和孙海英,由学院学生姜嘉仪(2024级博士生,第一作者)、张锡元(2023级硕士生,第二作者)、陈浩仪(2023级硕士生,第四作者)共同完成。华东师范大学是第一且唯一完成单位。
该成果旨在提升协议逆向工程的准确性,以辅助更有效的安全漏洞挖掘。协议是两个通信实体之间进行信息交互的一种规范,协议逆向是在没有源代码的情况下推断协议的规范。因此,对协议规范进行有效、准确的逆向工程是确保网络通信安全的重要手段之一。
现有研究工作通过监控协议实现的执行指令来获得运行时信息。然而,单一的指令内分析限制了协议消息字段的语法推断准确性,有限的启发式语义推断策略导致语义推断完整性受限。该项研究成果引入了两个关键思想来分别应对上述语法和语义推断的两个挑战:(1)提出了一种基于指令的语义相似性分析策略来增强经典的语法推断算法。(2)构建了一个由原子语义检测器组成的库,引入了一种聚类和优化的范式来提高语义推断的充分性和准确性。
论文提出的协议逆向工具BinPRE的技术路线图
该研究工作将上述思想实现为了一个基于二进制分析的协议逆向工具BinPRE。实验结果验证了BinPRE有效性,提高了协议消息字段的语法和语义推断准确性。同时,BinPRE的字段推断结果提高了协议模糊测试的有效性,实现了更高的代码覆盖率(提升了5~29%),在现有工业协议(如Modbus)上发现多个零日安全漏洞,进一步证明了方法有效性。
该项研究工作受到了科技部重点研发计划课题“基于静态分析及主动学习协同的私有协议逆向”的资助,助力提高工业软件安全。