一種跨架構的嵌入式設備固件未修補漏洞檢測方法及系統，首先采集新版本和舊版本的固件，選取兩個對應的新舊版本程序二進制文件作為分析對象，將兩個二進制文件提升到LLVM IR，基于LLVM IR展開分析，即對兩個版本固件的中間語言代碼進行函數級別的構造相似性分析，識別出構造相似函數；然后對非構造相似函數進行函數語義相似性分析，識別出語義相似函數；最后對得到的語義相似函數進行差異分析，將差異分析的結果與差異模板進行匹配，完成未修補漏洞檢測。本發明通過使用本系統可以快速檢測識別閉源嵌入式設備固件中由第三方庫引入的未修補漏洞，并且支持ARM、MIPS、IA?32架構。

技術領域

本發明涉及的是一種信息安全領域的技術，具體是一種跨架構的嵌入式設備固件未修補漏洞檢測方法及系統。

背景技術

由于更新時間滯后，目前很多嵌入式設備使用的還是舊版本固件，這導致一些已經被官方修補的漏洞還存在于嵌入式設備中。并且大部分固件的閉源特性，導致了這些未修補的漏洞更難以被發現。因此對這些漏洞進行檢測具有很重大的安全意義。

相比于傳統平臺，嵌入式設備的固件漏洞檢測存在運行和模擬困難的問題，通過傳統的漏洞檢測方法遷移到嵌入式設備上，會存在不可用或者效率低下的問題。現有的固件漏洞檢測方法之一是依賴于動態執行或者設備模擬，通過動態分析將固件的執行部分到實際硬件上，該技術雖然較為精確，但必須提前獲得設備的物理硬件，在用于大規模分析時會存在設備資源的限制以及負擔；另有利用靜態分析技術對含有操作系統的嵌入式設備的固件進行解包分析，從而確定文件內部可能存在漏洞的代碼或二進制文件，但該技術在大規模的固件鏡像分析時，容易導致產生大量的假陽性誤報或假陰性。

本發明針對嵌入式設備固件中存在的未修補漏洞檢測進行了定制，解決的技術問題是高效檢測嵌入式設備固件中是否存在未修補漏洞。

發明內容

本發明針對現有技術存在的上述不足，提出一種跨架構的嵌入式設備固件未修補漏洞檢測方法及系統，通過使用本系統可以快速檢測識別閉源嵌入式設備固件中由第三方庫引入的未修補漏洞，并且支持ARM、MIPS、IA-32架構。

本發明是通過以下技術方案實現的：

本發明首先采集新版本和舊版本的固件，選取兩個對應的新舊版本程序二進制文件作為分析對象，將兩個二進制文件分別提升到LLVM IR，基于LLVM IR展開分析，即對兩個版本固件的中間語言代碼進行函數級別的構造相似性分析，識別出構造相似函數；然后對非構造相似函數進行函數語義相似性分析，識別出語義相似函數；最后對得到的語義相似函數進行差異分析，將差異分析的結果與差異模板進行匹配，完成未修補漏洞檢測。

所述的提升是指：將二進制程序通過代碼提升(Lifting)轉換為中間語言表示(LLVM IR)。

所述的函數級別的構造相似性分析是指：分析兩個目標中間語言在函數級別上的構造相似性，過程內的控制流圖相似性。

所述的函數語義相似性分析是指：進行函數級別的符號執行，對返回值符號表達式、內部函數調用參數的符號表達式進行相似性分析。

所述的差異分析是指：進行基本塊級別的語義相似性分析，去除識別出來的語義相似基本塊，得到差異基本塊即差異分析的結果。

所述的匹配是指：將差異基本塊與未修補漏洞差異模板進行包括結構相似性分析以及語義相似性分析的定制化匹配。

本發明涉及一種實現上述方法的系統，包括：預處理單元、非構造相似函數識別單元、語義相似函數識別單元、差異分析單元以及差異模板匹配單元，其中：預處理單元與非構造相似函數識別單元相連并傳輸中間語言表示，非構造相似函數識別單元與語義相似函數識別單元相連并傳輸去掉構造相似函數后的非構造相似函數集合，語義相似函數識別單元與差異分析單元相連并傳輸篩選后的非構造相似但是語義相似的函數對，差異分析單元與差異模板匹配單元相連，并傳輸分析得到的差異基本塊。