本發明公開了基于同源性分析的物聯網固件漏洞檢測方法，包括：建立函數漏洞庫；提取待檢測固件的可執行文件集合以及對應的指令架構，將在函數漏洞庫中存在同名同架構的可執行文件作為待檢測可執行文件；對待檢測可執行文件進行反匯編，獲取待檢測可執行文件的函數集合，將在函數漏洞庫中存在同名的函數作為待檢測函數；對待檢測函數的二進制文件進行反匯編，提取待檢測函數的匯編代碼，形成待檢測函數指令集合，計算待檢測函數指令集合與漏洞函數的指令集合的相似度。本發明還提供了基于同源性分析的物聯網固件漏洞檢測系統。本發明能夠更加高效、精確地檢測固件中存在的同源性漏洞。

技術領域

本發明涉及固件安全相關技術領域。更具體地說，本發明涉及一種基于同源性分析的物聯網固件漏洞檢測方法及系統。

背景技術

21世紀以來，隨著物聯網技術的廣泛應用，物聯網產品層出不窮，多種多樣，隨處可見，例如手機、智能音箱、智能攝像頭、家用路由器等都是常用的物聯網設備。越來越多的物聯網產品被投入到生活中使用，安全隱患問題日益突出。固件是指寫入到存儲設備中的電可擦除只讀存儲器EEPROM或FLASH芯片中的可執行程序，通俗的理解就是固件是物聯網設備的“驅動程序”，是工作在最底層的，固化在硬件上的軟件，因此固件也就決定著物聯網設備的功能和性能。由于固件經常被暴露出各種安全漏洞，引發安全事件，因此固件漏洞檢測技術已經成為安全研究人員分析物聯網設備安全性能的主要方向之一。

物聯網設備的制造過程研產分離，導致不同固件可能包含相同的第三方組件，進而導致相同設備不同版本甚至不同設備的固件中包含大量相同的已知漏洞。由于物聯網設備屬于商業產品，廠家往往不會公開設備源代碼，不同廠家編譯源碼所選擇的指令集架構、編譯器以及優化選項也不盡相同，最終廠家將編譯的二進制文件發布在官網或第三方平臺上，導致安全分析人員難以獲取源代碼，只能從二進制代碼入手。固件同源性漏洞檢測是指利用已知漏洞檢測其他固件中可能存在的同源漏洞。目前根據已知漏洞進行固件漏洞檢測技術分為兩種：一種是基于二進制文件層面的，通過兩個二進制的特征來判斷同源性。另一種是基于函數層面的，通過兩個函數的特征來判斷同源性。但是，現有技術的檢測效率、準確率還存在改進空間。

發明內容

本發明的一個目的是提供一種基于同源性分析的物聯網固件漏洞檢測方法及系統，能夠更加高效、精確地檢測固件中存在的漏洞。

為了實現本發明的這些目的和其它優點，根據本發明的一個方面，本發明提供了基于同源性分析的物聯網固件漏洞檢測方法，包括：建立函數漏洞庫，所述函數漏洞庫至少包括漏洞及對應的可執行文件的名字、可執行文件的指令架構、可執行文件中的函數集合、可執行文件中的漏洞函數名、漏洞函數的指令集合；提取待檢測固件的可執行文件集合以及對應的指令架構，將在所述函數漏洞庫中存在同名同架構的可執行文件作為待檢測可執行文件；對待檢測可執行文件進行反匯編，獲取待檢測可執行文件的函數集合，將在所述函數漏洞庫中存在同名的函數作為待檢測函數；對待檢測函數的二進制文件進行反匯編，提取待檢測函數的匯編代碼，將匯編代碼按照基本塊進行劃分，依次按行提取基本塊內的匯編指令，形成待檢測函數指令集合，計算待檢測函數指令集合與漏洞函數的指令集合的相似度，如果相似度大于預設的相似度閾值，則認為待檢測函數為漏洞函數的同源函數。

進一步地，相似度其中，k代表函數的基本塊數，代表待檢測函數的第i個基本塊的指令集合，代表漏洞函數的第i個基本塊的指令集合，|·|代表集合中元素的個數。

進一步地，在將匯編代碼按照基本塊進行劃分之前，對匯編代碼中的寄存器、立即數、地址、函數名和基本塊名進行標準化。