[發(fā)明專利]基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法及系統(tǒng)有效
| 申請(qǐng)?zhí)枺?/td> | 202210086936.5 | 申請(qǐng)日: | 2022-01-25 |
| 公開(公告)號(hào): | CN114500043B | 公開(公告)日: | 2022-08-26 |
| 發(fā)明(設(shè)計(jì))人: | 楊明;魯帥;張恒;穆超;王鑫;陳振婭;徐梅 | 申請(qǐng)(專利權(quán))人: | 山東省計(jì)算中心(國(guó)家超級(jí)計(jì)算濟(jì)南中心);江蘇海洋大學(xué) |
| 主分類號(hào): | H04L9/40 | 分類號(hào): | H04L9/40;H04L67/12 |
| 代理公司: | 北京遠(yuǎn)大卓悅知識(shí)產(chǎn)權(quán)代理有限公司 11369 | 代理人: | 卞靜靜 |
| 地址: | 250014 山*** | 國(guó)省代碼: | 山東;37 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 同源性 分析 聯(lián)網(wǎng) 漏洞 檢測(cè) 方法 系統(tǒng) | ||
1.基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,包括:
建立函數(shù)漏洞庫(kù),所述函數(shù)漏洞庫(kù)至少包括漏洞及對(duì)應(yīng)的可執(zhí)行文件的名字、可執(zhí)行文件的指令架構(gòu)、可執(zhí)行文件中的函數(shù)集合、可執(zhí)行文件中的漏洞函數(shù)名、漏洞函數(shù)的指令集合;
提取待檢測(cè)固件的可執(zhí)行文件集合以及對(duì)應(yīng)的指令架構(gòu),將在所述函數(shù)漏洞庫(kù)中存在同名同架構(gòu)的可執(zhí)行文件作為待檢測(cè)可執(zhí)行文件;
對(duì)待檢測(cè)可執(zhí)行文件進(jìn)行反匯編,獲取待檢測(cè)可執(zhí)行文件的函數(shù)集合,將在所述函數(shù)漏洞庫(kù)中存在同名的函數(shù)作為待檢測(cè)函數(shù);
對(duì)待檢測(cè)函數(shù)的二進(jìn)制文件進(jìn)行反匯編,提取待檢測(cè)函數(shù)的匯編代碼,將匯編代碼按照基本塊進(jìn)行劃分,依次按行提取基本塊內(nèi)的匯編指令,形成待檢測(cè)函數(shù)指令集合,計(jì)算待檢測(cè)函數(shù)指令集合與漏洞函數(shù)的指令集合的相似度,如果相似度大于預(yù)設(shè)的相似度閾值,則認(rèn)為待檢測(cè)函數(shù)為漏洞函數(shù)的同源函數(shù);
相似度
其中,k代表函數(shù)的基本塊數(shù),代表待檢測(cè)函數(shù)的第i個(gè)基本塊的指令集合,代表漏洞函數(shù)的第i個(gè)基本塊的指令集合,|·|代表集合中元素的個(gè)數(shù)。
2.如權(quán)利要求1所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,在將匯編代碼按照基本塊進(jìn)行劃分之前,對(duì)匯編代碼中的寄存器、立即數(shù)、地址、函數(shù)名和基本塊名進(jìn)行標(biāo)準(zhǔn)化。
3.如權(quán)利要求2所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,對(duì)匯編代碼中的寄存器、立即數(shù)、地址、函數(shù)名和基本塊名進(jìn)行標(biāo)準(zhǔn)化,具體包括:操作數(shù)為立即數(shù)的指令進(jìn)行標(biāo)準(zhǔn)化,把立即數(shù)統(tǒng)一替換為immdata;操作數(shù)為寄存器的指令進(jìn)行標(biāo)準(zhǔn)化,寄存器分為兩種情況:普通寄存器和指針寄存器,普通寄存器做操作數(shù)時(shí)轉(zhuǎn)換為:general_reg,指針寄存器做操作數(shù)時(shí)轉(zhuǎn)換為:pointer_reg;操作數(shù)為內(nèi)存引用時(shí)進(jìn)行標(biāo)準(zhǔn)化處理,將內(nèi)存引用轉(zhuǎn)換為o_mem;操作數(shù)為基址寄存器加間址寄存器時(shí),將操作數(shù)轉(zhuǎn)換為o_phrase;操作數(shù)為一個(gè)寄存器加數(shù)字偏移時(shí),將操作數(shù)轉(zhuǎn)換為o_displ;根據(jù)調(diào)用指令的類型,對(duì)調(diào)用指令的跳轉(zhuǎn)地址進(jìn)行標(biāo)準(zhǔn)化處理,如果跳轉(zhuǎn)地址是函數(shù)名,則把跳轉(zhuǎn)地址轉(zhuǎn)換為func;如果跳轉(zhuǎn)地址是一個(gè)基本塊名,則把跳轉(zhuǎn)地址統(tǒng)一為bb。
4.如權(quán)利要求1所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,若在所述函數(shù)漏洞庫(kù)中不存在同名的函數(shù),則將差異函數(shù)集合中的函數(shù)作為待檢測(cè)函數(shù);
差異函數(shù)集合Fc=Fa-Fa∩Fb,F(xiàn)a代表待測(cè)可執(zhí)行文件的函數(shù)集合,F(xiàn)b代表函數(shù)漏洞庫(kù)中的可執(zhí)行文件中的函數(shù)集合,F(xiàn)a∩Fb代表Fa和Fb中的同名函數(shù)。
5.如權(quán)利要求1所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,所述函數(shù)漏洞庫(kù)還包括漏洞對(duì)應(yīng)的可執(zhí)行文件的hash值;
計(jì)算待檢測(cè)可執(zhí)行文件的hash值,若所述函數(shù)漏洞庫(kù)中存在相同hash值,則表明待檢測(cè)可執(zhí)行文件存在同源漏洞。
6.如權(quán)利要求5所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,若所述函數(shù)漏洞庫(kù)中不存在相同hash值,則對(duì)待檢測(cè)可執(zhí)行文件進(jìn)行反匯編,獲取待測(cè)可執(zhí)行文件的函數(shù)集合。
7.如權(quán)利要求5所述的基于同源性分析的物聯(lián)網(wǎng)固件漏洞檢測(cè)方法,其特征在于,獲取各廠家公布的漏洞的物聯(lián)網(wǎng)設(shè)備固件以及漏洞描述詳情,提取物聯(lián)網(wǎng)設(shè)備固件的系統(tǒng)文件,提取系統(tǒng)文件的可執(zhí)行文件,進(jìn)而獲取可執(zhí)行文件的名字、可執(zhí)行文件的指令架構(gòu)、可執(zhí)行文件的hash值、可執(zhí)行文件中的函數(shù)集合、可執(zhí)行文件中的漏洞函數(shù)名、漏洞函數(shù)的指令集合,建立所述函數(shù)漏洞庫(kù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于山東省計(jì)算中心(國(guó)家超級(jí)計(jì)算濟(jì)南中心);江蘇海洋大學(xué),未經(jīng)山東省計(jì)算中心(國(guó)家超級(jí)計(jì)算濟(jì)南中心);江蘇海洋大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210086936.5/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 物聯(lián)網(wǎng)信息融合方法、物聯(lián)網(wǎng)終端設(shè)備和物聯(lián)網(wǎng)平臺(tái)
- 物聯(lián)網(wǎng)系統(tǒng)、物聯(lián)網(wǎng)服務(wù)提供及監(jiān)控方法
- 物聯(lián)網(wǎng)設(shè)備及其聯(lián)網(wǎng)配置方法、智能終端及物聯(lián)網(wǎng)系統(tǒng)
- 一種物聯(lián)網(wǎng)用戶設(shè)備接入系統(tǒng)及接入方法
- 一種資源獲取方法和裝置
- 一種視聯(lián)網(wǎng)數(shù)據(jù)的發(fā)送方法及系統(tǒng)
- 一種基于視聯(lián)網(wǎng)的通信連接建立方法及系統(tǒng)
- 一種基于視聯(lián)網(wǎng)的通信連接建立方法及系統(tǒng)
- 一種視聯(lián)網(wǎng)信息的處理方法及裝置
- 一種訪問視聯(lián)網(wǎng)終端的方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)
