基于電網(wǎng)系統(tǒng)的遠(yuǎn)程代碼執(zhí)行漏洞自動(dòng)化分析與重現(xiàn)技術(shù)

伍紅文 王曉明 周 柯 鄒建明 巫聰云 溫文劍

1(廣西電網(wǎng)有限責(zé)任公司梧州供電局 廣西梧州 543002)

2(廣西電網(wǎng)有限責(zé)任公司電力科學(xué)研究院 南寧 530023)

3(廣西電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心 南寧 530023)

(wu_hw.wzg@gx.csg.cn)

智能電網(wǎng)是一個(gè)融合電力系統(tǒng)、通信網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)以及信息技術(shù)的復(fù)雜大電網(wǎng)系統(tǒng)，是網(wǎng)電空間 (cyberspace)的一個(gè)分支[1].在電網(wǎng)安全的研究中，針對(duì)智能電網(wǎng)系統(tǒng)漏洞的攻防是一個(gè)經(jīng)久不衰的話題.在軟件開發(fā)過(guò)程中，由于開發(fā)者的疏忽或?qū)Φ讓蛹夹g(shù)的理解不夠深刻，都可能導(dǎo)致漏洞的產(chǎn)生，使得服務(wù)器設(shè)備對(duì)于攻擊者而言成為一個(gè)具有極高價(jià)值的攻擊目標(biāo).

1) 研究背景.

電網(wǎng)系統(tǒng)B/S架構(gòu)或C/S架構(gòu)中的用戶端如果被攻擊者控制，其后果是用戶個(gè)人信息被劫持、用戶在網(wǎng)絡(luò)上的身份被偽造或?yàn)E用.然而對(duì)于電網(wǎng)系統(tǒng)服務(wù)器端的設(shè)備或軟件而言，安全漏洞造成的危害更加嚴(yán)重，可能導(dǎo)致服務(wù)器權(quán)限被竊取.另一種可能是由于一臺(tái)服務(wù)器被控制，內(nèi)網(wǎng)被暴露至外網(wǎng)，使得所有用戶數(shù)據(jù)以及企業(yè)內(nèi)部數(shù)據(jù)都處于危機(jī)當(dāng)中.

在對(duì)以上這些目標(biāo)的攻擊中，往往需要采用多種漏洞形式配合的方式.其中2類控制能力最強(qiáng)的漏洞就是任意地址讀寫漏洞和遠(yuǎn)程代碼執(zhí)行漏洞.

根據(jù)攻擊目標(biāo)的不同，遠(yuǎn)程代碼執(zhí)行漏洞的攻擊分為不同的方式，其中一種目標(biāo)為二進(jìn)制目標(biāo)，是直接運(yùn)行在目標(biāo)機(jī)器上的原生服務(wù)，采用傳輸控制協(xié)議(transmission control protocol, TCP)或用戶數(shù)據(jù)報(bào)協(xié)議(user datagram protocol, UDP)通信.如果在已獲取到針對(duì)二進(jìn)制原生服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞的攻擊流量的前提下，能通過(guò)自動(dòng)化的分析重現(xiàn)漏洞過(guò)程，可以快速分析出攻擊流量中用到的漏洞具體位置、成因等信息或是提取出攻擊過(guò)程作為后備武器.

2) 相關(guān)工作.

Avgerinos等人[2]在2014年AEG(automatic exploit generation)一文中提出了自動(dòng)化漏洞利用的概念，將自動(dòng)化漏洞利用定義為自動(dòng)化尋找漏洞存在并針對(duì)安全漏洞生成漏洞利用，其主要針對(duì)在無(wú)攻擊流量前提下的自動(dòng)化漏洞利用.在此基礎(chǔ)上文獻(xiàn)[3-4]提出了基于符號(hào)執(zhí)行等程序分析方法的自動(dòng)化漏洞利用方法.

Bao等人[5]在2017年曾提出一種用于自動(dòng)化對(duì)漏洞利用中的shellcode進(jìn)行移植的方法，這一點(diǎn)與本文研究的將漏洞利用過(guò)程進(jìn)行更換目標(biāo)較為類似，不過(guò)該方法需要擁有漏洞利用過(guò)程，并非對(duì)網(wǎng)絡(luò)攻擊流量進(jìn)行處理.Newsome[6]在2005年提出了對(duì)攻擊流量進(jìn)行動(dòng)態(tài)污點(diǎn)分析的方法，該方法通過(guò)動(dòng)態(tài)污點(diǎn)分析，對(duì)網(wǎng)絡(luò)流量中出現(xiàn)的針對(duì)漏洞的攻擊進(jìn)行了檢測(cè).但該文沒有進(jìn)一步更換目標(biāo)進(jìn)行自動(dòng)化漏洞利用.

本文主要研究在具有網(wǎng)絡(luò)流量前提下的智能電網(wǎng)系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞的分析與重現(xiàn)，在發(fā)現(xiàn)漏洞利用的存在性后需要重現(xiàn)漏洞，與目前存在的工作均有一定區(qū)別.

3) 研究目的.

本文將探究在存在針對(duì)內(nèi)存破壞類型的遠(yuǎn)程代碼執(zhí)行漏洞的TCP攻擊流量的前提下完成對(duì)同一目標(biāo)同一環(huán)境利用過(guò)程的重現(xiàn).在利用過(guò)程未采用暴力破解手段時(shí)，使得漏洞利用過(guò)程可以針對(duì)不同智能電網(wǎng)多次利用.

1 相關(guān)原理與技術(shù)

本節(jié)將介紹內(nèi)存破壞漏洞的幾種主要類型，針對(duì)內(nèi)存破壞漏洞的保護(hù)手段及繞過(guò)方法，為后文討論難點(diǎn)及電網(wǎng)系統(tǒng)設(shè)計(jì)提供必要的背景知識(shí).

1.1 內(nèi)存破壞漏洞

在C，C++等底層語(yǔ)言中，為了對(duì)內(nèi)存分配過(guò)程進(jìn)行精確控制，一般采用手動(dòng)分配方式進(jìn)行內(nèi)存管理.這種內(nèi)存管理方式比垃圾收集器[7]更加高效和精確，程序員能精確地控制分配和釋放的時(shí)間，使系統(tǒng)的整體延時(shí)更低，但也帶來(lái)了一定的問(wèn)題.由于內(nèi)存的分配、使用和釋放都由程序員自行控制，在這個(gè)過(guò)程中，程序員可能會(huì)錯(cuò)誤地使用內(nèi)存，嚴(yán)重時(shí)則可以直接導(dǎo)致攻擊者完全控制目標(biāo)系統(tǒng).上述類型的漏洞被稱為內(nèi)存破壞漏洞或內(nèi)存損壞漏洞[8].

軟件安全的攻擊技術(shù)主要有2類，分別為Web應(yīng)用攻擊技術(shù)和二進(jìn)制攻擊技術(shù).本節(jié)將對(duì)二進(jìn)制安全漏洞類型進(jìn)行簡(jiǎn)要介紹.

1.1.1 緩沖區(qū)溢出漏洞

緩沖區(qū)溢出漏洞是目前最為嚴(yán)重的安全問(wèn)題之一[9]，指在程序員對(duì)內(nèi)存進(jìn)行分配時(shí)，錯(cuò)誤地計(jì)算分配內(nèi)存的大小，在使用內(nèi)存區(qū)域時(shí)使用了超出分配內(nèi)存邊界的內(nèi)存空間，導(dǎo)致使用到的內(nèi)存空間實(shí)際為無(wú)效內(nèi)存.而該無(wú)效內(nèi)存中可能存放有程序中其他位置需要的數(shù)據(jù)結(jié)構(gòu)，導(dǎo)致其數(shù)據(jù)結(jié)構(gòu)被破壞.在執(zhí)行流程被控制后就可以通過(guò)精確的構(gòu)造方法完成任意代碼的執(zhí)行，使得漏洞轉(zhuǎn)化為最為嚴(yán)重的任意代碼執(zhí)行漏洞.

1.1.2 use-after-free漏洞

除緩沖區(qū)溢出漏洞以外，另一種具有極大風(fēng)險(xiǎn)的內(nèi)存破壞漏洞則是use-after-free漏洞[8].這種漏洞會(huì)導(dǎo)致用戶輸入內(nèi)容可能被存放于已釋放內(nèi)存中，根據(jù)堆管理實(shí)現(xiàn)機(jī)制的不同，部分實(shí)現(xiàn)機(jī)制的已釋放內(nèi)存與已分配內(nèi)存存在內(nèi)存空間上的復(fù)用[10].

1.1.3 Double-free漏洞

Double-free漏洞與use-after-free漏洞類似，同樣由于程序員錯(cuò)誤地使用內(nèi)存分配和釋放機(jī)制導(dǎo)致.Double-free漏洞的原理為程序員在內(nèi)存釋放后未對(duì)指針進(jìn)行清空，之后錯(cuò)誤地再次對(duì)該指針進(jìn)行釋放.

1.1.4 格式化字符串漏洞

格式化字符串漏洞[9]是指程序員在使用scanf,printf等C語(yǔ)言中的格式化字符串函數(shù)時(shí)，錯(cuò)誤地將用戶輸入作為格式化字符串進(jìn)行輸入或輸出，使用戶可以控制格式化字符串內(nèi)容.這種情況下，攻擊者就可以通過(guò)傳入構(gòu)造的格式化字符串，使額外數(shù)據(jù)按照傳參規(guī)則被輸出.

1.2 內(nèi)存破壞漏洞緩解技術(shù)與繞過(guò)技術(shù)

內(nèi)存破壞漏洞在早期智能電網(wǎng)系統(tǒng)中極為常見，后來(lái)又陸續(xù)發(fā)展出一些有效的緩解技術(shù)保護(hù)系統(tǒng).

1.2.1 數(shù)據(jù)不可執(zhí)行與繞過(guò)

在漏洞利用過(guò)程中，當(dāng)攻擊者擁有一次性控制目標(biāo)程序執(zhí)行流程的能力時(shí)，為進(jìn)一步控制目標(biāo)程序執(zhí)行多條指令，可采用稱為shellcode的技術(shù)[11].針對(duì)這類攻擊方法的緩解措施被命名為數(shù)據(jù)不可執(zhí)行保護(hù)[12]，該方法可以有效防止shellcode技術(shù)的使用，不過(guò)一種被稱為面向返回地址編程[13]的新型技術(shù)可以繞過(guò)該保護(hù)機(jī)制.

1.2.2 地址空間隨機(jī)化與繞過(guò)

在系統(tǒng)內(nèi)存破壞漏洞利用中，地址空間信息是可以被利用的關(guān)鍵信息.通過(guò)以頁(yè)為單位的隨機(jī)化，既不影響程序原有的運(yùn)行過(guò)程，又使得攻擊者無(wú)法預(yù)測(cè)隨機(jī)后的基地址，從而使得需要預(yù)測(cè)內(nèi)存空間的地址的攻擊無(wú)效[14].針對(duì)這類保護(hù)，攻擊者需要通過(guò)與其他漏洞進(jìn)行配合，利用其他漏洞將目標(biāo)進(jìn)程的地址信息泄露，從而完成漏洞利用過(guò)程.

2 系統(tǒng)設(shè)計(jì)

2.1 漏洞利用重現(xiàn)過(guò)程的挑戰(zhàn)

本文研究的目的是通過(guò)攻擊流量重現(xiàn)漏洞利用，一種最樸素的方法就是直接將攻擊流量重放，完整將攻擊流量再次輸出到另一目標(biāo).然而這種方式在二進(jìn)制內(nèi)存破壞漏洞利用的重現(xiàn)上會(huì)面臨諸多問(wèn)題.

2.1.1 TCP流量記錄不穩(wěn)定性

二進(jìn)制原生服務(wù)常使用C，C++等底層語(yǔ)言編寫，使用TCP協(xié)議網(wǎng)絡(luò)通信.TCP網(wǎng)絡(luò)通信與HTTP等應(yīng)用層協(xié)議相比更為底層，所以在原生服務(wù)上往往通信過(guò)程更加底層，封裝更為簡(jiǎn)陋，甚至缺少封裝.由于缺少如HTTP等應(yīng)用層標(biāo)準(zhǔn)協(xié)議的封裝，流量捕獲一般也是在TCP協(xié)議層級(jí)進(jìn)行捕獲，導(dǎo)致捕獲過(guò)程存在不穩(wěn)定性或重現(xiàn)失敗.

2.1.2 地址空間隨機(jī)化繞過(guò)重現(xiàn)

在攻擊流量的分析過(guò)程中，對(duì)地址空間隨機(jī)化繞過(guò)會(huì)影響漏洞重現(xiàn).繞過(guò)時(shí)如果存在地址空間隨機(jī)化就需要通過(guò)利用漏洞進(jìn)行地址信息泄露.這就需要對(duì)已記錄的遠(yuǎn)程代碼執(zhí)行漏洞的流量中識(shí)別地址空間隨機(jī)化繞過(guò)過(guò)程，以及識(shí)別后重現(xiàn)，從而可以完成多次重現(xiàn)的目標(biāo).

2.2 攻擊流量自動(dòng)分析與重現(xiàn)系統(tǒng)設(shè)計(jì)

系統(tǒng)主要分為3個(gè)部分，如圖1所示.通過(guò)網(wǎng)絡(luò)流量預(yù)處理部分對(duì)系統(tǒng)進(jìn)行整體初始化、環(huán)境搭建和流量清洗處理，為后續(xù)的分析部分提供條件和數(shù)據(jù)輸入，經(jīng)過(guò)配置可以對(duì)其他遠(yuǎn)程服務(wù)重現(xiàn)攻擊流程完成自動(dòng)化漏洞利用重現(xiàn).

2.2.1 網(wǎng)絡(luò)流量的預(yù)處理

系統(tǒng)啟動(dòng)首先會(huì)經(jīng)過(guò)網(wǎng)絡(luò)流量預(yù)處理部分.該部分主要工作為對(duì)已抓取流量進(jìn)行格式解析并清洗流量以及服務(wù)準(zhǔn)備.在現(xiàn)代流量抓取軟件中，常用PCAPNG[15]作為流量抓取記錄格式.流量清洗主要工作為將已解析以及按流結(jié)構(gòu)進(jìn)行處理后的流量初步按照端口號(hào)和根據(jù)部分篩選規(guī)則進(jìn)行清洗，提高流量的處理效率.

服務(wù)準(zhǔn)備部分包括目標(biāo)服務(wù)準(zhǔn)備和影子服務(wù)準(zhǔn)備.目標(biāo)服務(wù)指在分析過(guò)程中，本地預(yù)備的與原攻擊流量的遠(yuǎn)程環(huán)境相同的目標(biāo)靶機(jī)環(huán)境.影子服務(wù)是通過(guò)配置與受攻擊系統(tǒng)盡量相同的環(huán)境，使本地運(yùn)行與受攻擊環(huán)境幾乎相同的環(huán)境，但是需保留一定的控制權(quán)限.目標(biāo)服務(wù)與影子服務(wù)的對(duì)比如圖2所示：

圖2 目標(biāo)服務(wù)(靶機(jī))與影子服務(wù)對(duì)比

2.2.2 網(wǎng)絡(luò)流量自動(dòng)化分析

流量分析部分為本系統(tǒng)的核心模塊，其主要工作為利用影子服務(wù)對(duì)已記錄流量進(jìn)行分析從而提取流量?jī)?nèi)的地址信息，恢復(fù)已記錄流量的地址空間信息.由于地址空間隨機(jī)化攻擊的繞過(guò)本質(zhì)上是部分恢復(fù)遠(yuǎn)程服務(wù)地址空間信息，在繞過(guò)過(guò)程中需要進(jìn)行地址信息泄露攻擊，獲取到目標(biāo)進(jìn)程地址空間的信息，所以通過(guò)一定的分析，可以推斷出攻擊載荷中的地址信息.

流量同步處理主要方法為按照已記錄流量的收發(fā)情況，在影子服務(wù)上同步操作.根據(jù)已記錄流量中的發(fā)送長(zhǎng)度和接收次數(shù)同步發(fā)送和接收，發(fā)送和接收到的具體數(shù)據(jù)進(jìn)一步處理.這一部分需要對(duì)包結(jié)構(gòu)進(jìn)行處理，對(duì)TCP流中由于不穩(wěn)定產(chǎn)生的包拆分情況進(jìn)行合并，合并過(guò)程在發(fā)送端和接收端稍有不同.

流量補(bǔ)齊階段是針對(duì)發(fā)送或是接收過(guò)程中，影子服務(wù)和已記錄流量中數(shù)據(jù)長(zhǎng)度不同處理的.由于接收過(guò)程中高位地址為空字節(jié)導(dǎo)致長(zhǎng)度不一致的情況，可以通過(guò)對(duì)地址信息進(jìn)行處理使長(zhǎng)度一致.流量補(bǔ)齊的模型被設(shè)置為通過(guò)補(bǔ)充空字節(jié)使2部分網(wǎng)絡(luò)流量之間的差距最小，這個(gè)模型可采用動(dòng)態(tài)規(guī)劃的算法解決.如圖3所示，通過(guò)補(bǔ)充紅色部分的空字節(jié)，讓2部分流量趨于一致，使得后續(xù)分析過(guò)程中不會(huì)由于地址字節(jié)不全導(dǎo)致字節(jié)錯(cuò)位.

圖3 流量補(bǔ)齊示例

地址提取階段是在發(fā)送或是接收過(guò)程中嘗試提取數(shù)據(jù)中的地址數(shù)據(jù).過(guò)程如圖4所示，如果該數(shù)據(jù)能夠確認(rèn)位于影子服務(wù)的地址空間中，按照同步處理的方法，可以將該部分?jǐn)?shù)據(jù)對(duì)應(yīng)到原服務(wù)數(shù)據(jù)中，從而確認(rèn)原服務(wù)中的地址數(shù)據(jù)位置.

圖4 地址提取過(guò)程

在地址提取階段成功提取到影子服務(wù)接收到的流量中的地址位置之后，就可以進(jìn)入映射恢復(fù)階段.如圖5所示，雖然這個(gè)階段無(wú)法恢復(fù)全部的內(nèi)存映射信息，但可以恢復(fù)出在發(fā)送中需要的所有內(nèi)存映射信息.

圖5 映射恢復(fù)過(guò)程

在映射恢復(fù)之后，為保證發(fā)送流量的正確性，需要修正即將發(fā)送流量中用到的地址信息，使利用過(guò)程繼續(xù)進(jìn)行下去.修正方法為采用與地址提取階段相同的滑動(dòng)窗口方式，如圖6所示，可以得到適用于當(dāng)前影子服務(wù)的地址完成修正步驟.

圖6 地址修正過(guò)程

在流量分析模塊中，通過(guò)流量同步處理的方式，接收和發(fā)送步驟分別映射恢復(fù)和地址修正，通過(guò)循環(huán)發(fā)送和接收流程，完成已記錄流量中所有內(nèi)存映射信息的恢復(fù)，為后續(xù)漏洞利用過(guò)程提供必要信息.

2.2.3 自動(dòng)化漏洞利用重現(xiàn)

在分析流量分析模塊時(shí)，已經(jīng)記錄了接收過(guò)程中恢復(fù)映射的地址位置和偏移量及發(fā)送時(shí)的地址位置，記錄過(guò)程如圖7所示.此時(shí)在自動(dòng)化利用過(guò)程中，可以通過(guò)對(duì)所有記錄逐條處理，根據(jù)每條發(fā)送和接收類型的不同分別完成不同的步驟.發(fā)送記錄類型執(zhí)行地址修正以及發(fā)送流程，接收記錄執(zhí)行接收、計(jì)算映射基址以及記錄映射的流程，此時(shí)只需要對(duì)所有記錄進(jìn)行循環(huán)處理就可以完成自動(dòng)化的漏洞重現(xiàn)過(guò)程.

圖7 記錄處理

3 實(shí)驗(yàn)結(jié)果及分析

3.1 實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)在表1所示的環(huán)境下進(jìn)行.

表1 實(shí)驗(yàn)環(huán)境

3.2 實(shí)驗(yàn)方法

在實(shí)驗(yàn)中，預(yù)計(jì)使用強(qiáng)網(wǎng)杯CTF中的二進(jìn)制題目以及CVE-2013-2028和CVE-2010-4221漏洞樣本作為目標(biāo).強(qiáng)網(wǎng)杯CTF中的二進(jìn)制題目所涉及漏洞具有相對(duì)容易利用的特性，可以較為容易地模擬真實(shí)環(huán)境中危害最大的一類漏洞出現(xiàn)時(shí)的情況.

實(shí)驗(yàn)方法主要為首先對(duì)目標(biāo)環(huán)境進(jìn)行測(cè)試，確認(rèn)樣本存在遠(yuǎn)程代碼執(zhí)行漏洞，之后，通過(guò)已構(gòu)造好的漏洞利用對(duì)目標(biāo)樣本遠(yuǎn)程代碼執(zhí)行攻擊，在攻擊過(guò)程中，將攻擊流量通過(guò)tcpdump[16]記錄，這是一種網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來(lái)提供分析的方式，以此來(lái)獲取遠(yuǎn)程代碼執(zhí)行攻擊的流量.

之后使用本文研究的系統(tǒng)，輸入漏洞樣本和已獲取的遠(yuǎn)程代碼執(zhí)行攻擊漏洞的流量，通過(guò)觀察系統(tǒng)結(jié)果可確認(rèn)是否漏洞利用已經(jīng)成功，可通過(guò)漏洞利用情況判斷本文方法的具體效果.為保證實(shí)驗(yàn)環(huán)境的一致性，Docker應(yīng)用容器引擎被用來(lái)提供一致的二進(jìn)制穩(wěn)定執(zhí)行環(huán)境，實(shí)驗(yàn)均運(yùn)行于ubuntu 16.04的Docker基礎(chǔ)鏡像下.

3.3 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)使用3個(gè)強(qiáng)網(wǎng)杯CTF題目的二進(jìn)制文件以及CVE-2013-2028，CVE-2010-4221的帶有漏洞的樣本二進(jìn)制文件作為測(cè)試對(duì)象.在ubuntu16.04環(huán)境下這5個(gè)測(cè)試項(xiàng)目均可以成功完成自動(dòng)化漏洞利用重現(xiàn)過(guò)程，實(shí)驗(yàn)結(jié)果如表2所示：

表2 測(cè)試結(jié)果

3.4 實(shí)驗(yàn)結(jié)果分析

在實(shí)驗(yàn)中，2個(gè)真實(shí)CVE漏洞利用過(guò)程主要采用面向返回地址編程的攻擊方式，首先通過(guò)該方式對(duì)地址空間進(jìn)行信息泄露攻擊.利用過(guò)程中的read和write部分可能造成連續(xù)性問(wèn)題而影響漏洞利用過(guò)程，另外其地址空間隨機(jī)化繞過(guò)部分可以很好地對(duì)系統(tǒng)進(jìn)行測(cè)試.經(jīng)過(guò)測(cè)試后，系統(tǒng)在該情況下可以穩(wěn)定地執(zhí)行漏洞利用過(guò)程.

在強(qiáng)網(wǎng)杯CTF賽題中，由于其漏洞本身更具理論性，利用過(guò)程也更加精確，因此3個(gè)題目利用正常且穩(wěn)定，可以對(duì)空字節(jié)的情況恰當(dāng)處理.在重現(xiàn)過(guò)程中需要保證與利用過(guò)程的高度一致性，否則無(wú)法完成漏洞利用過(guò)程.

經(jīng)過(guò)實(shí)驗(yàn)可以證明，在實(shí)驗(yàn)假設(shè)前提下系統(tǒng)運(yùn)行穩(wěn)定，對(duì)擁有二進(jìn)制內(nèi)存破壞類型遠(yuǎn)程代碼執(zhí)行漏洞攻擊流量的情況下自動(dòng)化分析，并穩(wěn)定地自動(dòng)化利用重現(xiàn).

4 結(jié) 論

本文通過(guò)對(duì)二進(jìn)制遠(yuǎn)程代碼執(zhí)行類漏洞進(jìn)行研究，設(shè)計(jì)并實(shí)現(xiàn)了基于流量的自動(dòng)化分析與利用智能電網(wǎng)系統(tǒng).該系統(tǒng)在原流量利用過(guò)程中，繞過(guò)手段為二進(jìn)制形式的情況下，可以成功完成對(duì)原生服務(wù)攻擊流量的分析和再次利用，并完成對(duì)攻擊過(guò)程的重現(xiàn).通過(guò)使用該系統(tǒng)，智能電網(wǎng)安全專員可以快速對(duì)針對(duì)原生服務(wù)的遠(yuǎn)程代碼執(zhí)行漏洞調(diào)查，從而防止同類漏洞的再次攻擊；也可以提取出漏洞攻擊利用樣本探測(cè)攻擊的相似性，便于揭露攻擊過(guò)程.

未來(lái)工作可對(duì)泄露信息格式進(jìn)一步研究，利用啟發(fā)式方法等對(duì)泄露形式抽象處理，使本文系統(tǒng)得到進(jìn)一步增強(qiáng)，以應(yīng)用于更廣泛的基于智能電網(wǎng)系統(tǒng)的遠(yuǎn)程代碼執(zhí)行漏洞利用過(guò)程流量的自動(dòng)化分析.