CN111310178B - 跨平台场景下的固件漏洞检测方法及系统 - Google Patents
跨平台场景下的固件漏洞检测方法及系统 Download PDFInfo
- Publication number
- CN111310178B CN111310178B CN202010063869.6A CN202010063869A CN111310178B CN 111310178 B CN111310178 B CN 111310178B CN 202010063869 A CN202010063869 A CN 202010063869A CN 111310178 B CN111310178 B CN 111310178B
- Authority
- CN
- China
- Prior art keywords
- function
- vulnerability
- functions
- candidate
- firmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 52
- 230000006870 function Effects 0.000 claims abstract description 265
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000012216 screening Methods 0.000 claims abstract description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 20
- 238000000605 extraction Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 4
- 238000012163 sequencing technique Methods 0.000 claims 1
- 230000007547 defect Effects 0.000 description 5
- 239000000284 extract Substances 0.000 description 2
- 239000010410 layer Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/53—Decompilation; Disassembly
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种跨平台场景下的固件漏洞检测方法,该方法包括以下步骤:S1、获取二进制固件文件;S2、对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;S3、提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;S4、将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;S5、提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的相似度并排序,得到最终的检测结果。本发明为函数级别的固件漏洞检测提供了一个快速、有效的方法。
Description
技术领域
本发明属于固件安全领域,具体涉及一种新的能应用于跨平台场景下的固件漏洞检测方法及系统。
背景技术
固件存放在ROM/FLASH存储器中,只读代码和数据。它承担着物联网设备所需完成的绝大部分功能,连接了上层应用以及底层的硬件。和传统的软件一样,物联网设备中的固件同样可能具有缺陷,并且这种缺陷是无法完全避免的,针对物联网设备的攻击很多都是从固件中存在的漏洞进行着手。固件代码中的安全缺陷具有隐蔽性强、难以检测、不易清除、破坏性强等特点,已成为威胁信息系统安全的重要因素之一。
广泛的代码复用导致大量的固件含有由相同的源码编译而来的内容,一旦这些源码(例如第三方开源库)被暴露存在重大漏洞,受影响的设备将不计其数。因而利用披露出的已知漏洞在固件库中进行检索,从而发现受影响的设备的需求变得尤为重要。
另外,由于不同设备往往会采用不同的CPU架构(平台),为了让固件在这些不同平台的设备上运行,设备厂商会将固件的源代码针对这些不同的平台分别进行编译。而这个编译过程会导致经相同源码编译得到的固件在很多方面存在差异,因此给漏洞检测带来了很大的困难。
基于跨平台场景的固件漏洞检测技术近些年得以发展,传统的检测方法在准确率上尽管达到了一定的效果,但是由于采用了例如神经网络等机器学习方案来构建固件库或漏洞库,在整体检测效率上存在一些缺点。另外其他一些检测方案在部分跨平台关联模式场景下还面临着检测准确率不高的问题。因此在跨平台场景下的固件漏洞检测技术研究中,漏洞检测准确率以及检测效率方面仍然存在一定的改进空间。
发明内容
本发明要解决的技术问题在于针对现有技术中的上述缺陷,提供一种新的跨平台场景下的固件漏洞检测方法及系统。
本发明解决其技术问题所采用的技术方案是:
提供一种跨平台场景下的固件漏洞检测方法,该方法包括以下步骤:
S1、获取二进制固件文件;
S2、对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
S3、提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
S4、将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
S5、提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的相似度并排序,得到最终的检测结果。
接上述技术方案,ASCII码格式字符串包括代码注释字符串、字符串常量,提取方式包括使用正则式匹配或采用第三方工具提取。
接上述技术方案,具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序。
接上述技术方案,步骤S4具体使用MinHASH算法进行特征标签之间的相似性检测。
接上述技术方案,步骤S4具体对函数特征标签进行哈希化处理并载入MinHASHLSH Forest或者MinHASH LSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
接上述技术方案,所述函数数值特征包括函数基本块个数、函数被调用次数、重定向指令个数、逻辑指令个数、局部变量大小、指令总个数、转移指令个数、控制流图边的条数、调用函数次数。
本发明还提供了一种跨平台场景下的固件漏洞检测系统,该系统包括:
文件获取模块,用于获取二进制固件文件;
反汇编模块,用于对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
字符串提取模块,用于提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
候选函数筛选模块,用于将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
相似度排序模块,用于提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的相似度并排序,得到最终的检测结果。
接上述技术方案,所述相似度排序模块具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序。
接上述技术方案,所述候选函数筛选模块具体对函数特征标签进行哈希化处理并载入MinHASH LSH Forest或者MinHASH LSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
本发明还提供一种计算机存储介质,其内存储有可被处理器执行的计算机程序,该计算机程序执行如上述技术方案所述的跨平台场景下的固件漏洞检测方法。
本发明产生的有益效果是:本发明通过对二进制固件文件进行反汇编,找到所有可执行文件中的各个函数及其交叉引用函数,通过将其中的ASCII码格式字符串和漏洞函数的相比较,找到与漏洞函数相似的候选函数,最后比较候选函数以及漏洞函数的数值特征值,计算相似度并排序,得到最终的检测结果。本发明既能解决跨平台场景下的函数级别的漏洞检测问题,亦在漏洞检测效率和检测准确率上较同类方法有所提高,尤其是在检测效率方面,能够实现大规模的同源漏洞函数快速检索。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例跨平台场景下的固件漏洞检测方法流程图;
图2是本发明另一实施例跨平台场景下的固件漏洞检测方法流程图;
图3是本发明实施例实施例跨平台场景下的固件漏洞检测系统结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
跨平台场景下的固件在指令集、函数偏移量、函数调用等上都存在较大差异,因而提取出与平台无关能代表函数的特征标签是实现跨平台漏洞检测的关键。经研究发现,相同的一份源代码编译到不同平台后,其所包含的字符串不会发生较大变化。更具体地,不同平台的相同函数往往会包含相同的字符串内容,并且这些字符串的分布还与函数交叉引用关系中的函数有关。因此本发明利用这一发现,将函数及其交叉引用函数中的字符串作为固件函数的特征标签,用以固件函数相似性比较的依据。
本发明提出利用函数及其交叉引用关系的字符串作为函数特征标签,并使用如MinHASH等算法实现漏洞函数和待检测函数之间的相似度比较,最后结合函数数值特征值来优化候选集顺序,为函数级别的固件漏洞检测提供了一个快速、有效的方法。
如图1所示,本发明实施例的跨平台场景下的固件漏洞检测方法,该方法包括以下步骤:
S101、获取二进制固件文件;
S102、对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
S103、提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
S104、将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
S105、提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的相似度并排序,得到最终的检测结果。
接上述技术方案,ASCII码格式字符串包括代码注释字符串、字符串常量,提取方式包括使用正则式匹配或采用第三方工具提取。
接上述技术方案,具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序。
接上述技术方案,步骤S104具体使用MinHASH算法进行特征标签之间的相似性检测。
接上述技术方案,步骤S104具体对函数特征标签进行哈希化处理并载入MinHASHLSH Forest或者MinHASH LSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
接上述技术方案,所述函数数值特征包括函数基本块个数、函数被调用次数、重定向指令个数、逻辑指令个数、局部变量大小、指令总个数、转移指令个数、控制流图边的条数、调用函数次数。
本发明的一个较佳实施例中,如图2所示,跨平台场景下的固件漏洞检测方法包括以下步骤:
S201,收集不同平台场景下的固件,获取二进制固件文件。
二进制固件包括但不限于路由器固件、智能电视固件、智能摄像头固件、智能门锁固件等,获取方式可来自于官网下载、从设备固件存储器中提取、抓包固件升级过程等。
S202,对固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用关系。
对固件文件进行解包可依赖多种第三方解包工具,在本发明的实施例中使用Binwalk来进行解包。固件解包后,固件中的全部文件会显示出来,包括配置文件、可执行文件、图像文件等等。本发明查找的主要是可执行文件中的漏洞,因而需将解包后的固件中的二进制文件进行提取。另外本发明是在函数级别进行漏洞查找,因而需对可执行文件进行反汇编。这里同样可使用多种反汇编工具,本实施例使用成熟的IDA pro作为反汇编工具。反汇编操作后,本发明借助编写好的IDAPython脚本来提取二进制文件中各个函数的上下单层交叉引用关系。
S203,提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签。
本步骤提取的函数及其交叉引用函数中的字符串主要包括但不限于ASCII码格式存在的代码注释字符串、字符串常量等,提取方式包括但不限于使用正则式匹配或采用第三方工具提取。
S204,对步骤3所生成的函数特征标签进行哈希化处理并载入MinHASH LSHForest/MinHASH LSH。对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest/MinHASH LSH中进行查询。
S205,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
另外也可以使用其他文本相似性比较算法,例如SimHASH、词向量、词嵌入等等,来进行函数特征标签相似度的计算。
针对漏洞查找的场景本发明分为两种情况讨论。第一种是针对单个固件中漏洞的查找,如果某种漏洞存在于该固件中,那么该固件中对应的漏洞函数一般只有一个。因此在使用MinHASH算法进行检索时,可采用MinHASH LSH Forest算法来加速检索提高效率。原因在于MinHASH LSH Forest算法在计算漏洞函数与待检测函数的特征标签相似度后,给出的结果是相似度最高的K个函数,那么与漏洞函数相同的函数就较大概率存在于这K个函数中,K值的设定是为了缩小候选集个数,提供更有参考意义的检测结果。
第二种情况是对海量的固件进行某个已知漏洞的查找。此种情况下由于对大量固件中受影响的漏洞函数个数未知,因而若限定K个候选函数个数可能会导致漏报的情况发生。本发明针对此种情况采用MinHASH LSH算法来加速检索,原因是该算法是根据提前设定的函数间相似度阈值来反馈结果。例如设定漏洞函数与待检测函数的特征标签相似度阈值为0.7,那么与漏洞函数相似度大于或等于0.7的待检测函数则被判断为可疑函数。这种策略能够解决受影响漏洞函数个数未知的情况,适用于大规模的固件检测场景。
S206,提取候选函数以及漏洞函数的数值特征值;
S207,使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离;另外也可以使用基于马氏距离、曼哈顿距离的kNN算法或者余弦相似度等向量相似度度量方法,来计算候选函数与漏洞函数数值特征值之间的相似度。
S208,依照候选函数与漏洞函数的距离从小到大排列,得到最终的检测结果,即与漏洞函数近似的可疑函数。
由于平台的差异性,来自相同源码的不同平台的函数中所包含的字符串可能会有所区别,二者共有的字符串可能会分布在函数的交叉引用函数中,这可能会导致候选函数集中真正匹配的函数排名靠后。因而本发明结合已被证实有效的函数数值特征来对上阶段得到的候选函数进行排序,将真正匹配的函数排名提升。本发明实施例使用kNN算法来计算候选函数与漏洞函数数值特征的相似程度,依据欧几里得距离从小到大对候选函数进行排序,进而得到最终的检测结果。
上述实施例结合了固件函数的语法以及语义信息,提出了利用函数及其交叉引用函数的字符串作为特征标签、MinHASH算法实现检索的方案。同时通过结合常规的函数数值特征进行候选集排序,最终使得整体方案在检测效率、检测准确率方面,较相似的检测方案有所提高。
如图3所示,本发明实施例跨平台场景下的固件漏洞检测系统包括:
文件获取模块301,用于获取二进制固件文件;
反汇编模块302,用于对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
字符串提取模块303,用于提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
候选函数筛选模块304,用于将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
相似度排序模块305,用于提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的相似度并排序,得到最终的检测结果。
优选地,相似度排序模块305具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序。
优选地,候选函数筛选模块304具体对函数特征标签进行哈希化处理并载入MinHASH LSH Forest或者MinHASH LSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
本发明实施例跨平台场景下的固件漏洞检测系统主要为了实现上述实施例本发明实施例跨平台场景下的固件漏洞检测方法,其各个模块的功能与方法一一对应,在此不赘述。
本发明还保护计算机存储介质,其内存储有可被处理器执行的计算机程序,该计算机程序执行上述各个实施例中的跨平台场景下的固件漏洞检测方法。具体的计算机程序实现步骤与方法对应,在此不赘述。
综上所述,本发明既能解决跨平台场景下的函数级别漏洞检测问题,亦在漏洞检测效率和检测准确率上较同类方法有所提高,尤其是在检测效率方面,能够实现大规模的同源漏洞函数快速检索。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (7)
1.一种跨平台场景下的固件漏洞检测方法,其特征在于,该方法包括以下步骤:
S1、获取二进制固件文件;
S2、对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
S3、提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
S4、将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
S5、提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的距离并排序,得到最终的检测结果;
步骤S5中,具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序;所述数值特征值包括函数基本块个数、函数被调用次数、重定向指令个数、逻辑指令个数、局部变量大小、指令总个数、转移指令个数、控制流图边的条数、调用函数次数。
2.根据权利要求1所述的方法,其特征在于,ASCII码格式字符串包括代码注释字符串、字符串常量,提取方式包括使用正则式匹配或采用第三方工具提取。
3.根据权利要求1所述的方法,其特征在于,步骤S4具体使用MinHASH算法进行特征标签之间的相似性检测。
4.根据权利要求1所述的方法,其特征在于,步骤S4具体对函数特征标签进行哈希化处理并载入MinHASH LSH Forest或者MinHASH LSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSH Forest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
5.一种跨平台场景下的固件漏洞检测系统,其特征在于,该系统包括:
文件获取模块,用于获取二进制固件文件;
反汇编模块,用于对二进制固件文件进行解包并对其所包含的可执行文件进行反汇编操作,提取所有可执行文件中各个函数及其交叉引用函数;所述交叉引用函数为函数代码交叉引用或者数据交叉引用所涉及到的函数;
字符串提取模块,用于提取每个函数及其交叉引用函数中所包含的ASCII码格式字符串,作为每个函数的特征标签;
候选函数筛选模块,用于将函数特征标签与已知漏洞函数的函数特征标签进行比较,筛选出与漏洞函数相似的候选函数;
相似度排序模块,用于提取候选函数以及漏洞函数的数值特征值,根据所述数值特征值计算各个候选函数与漏洞函数的距离并排序,得到最终的检测结果;具体使用kNN算法计算各个候选函数与漏洞函数数值特征值的欧几里得距离,并根据欧几里得距离进行相似度排序;所述数值特征值包括函数基本块个数、函数被调用次数、重定向指令个数、逻辑指令个数、局部变量大小、指令总个数、转移指令个数、控制流图边的条数、调用函数次数。
6.根据权利要求5所述的跨平台场景下的固件漏洞检测系统,其特征在于,所述候选函数筛选模块具体对函数特征标签进行哈希化处理并载入MinHASH LSH Forest或者MinHASHLSH,并对漏洞函数使用相同方式生成特征标签并进行内容哈希化,之后在MinHASH LSHForest或者MinHASH LSH中进行查询,通过设置特定的Top值或阈值,最终得到与漏洞相似的的候选函数。
7.一种计算机存储介质,其特征在于,其内存储有可被处理器执行的计算机程序,该计算机程序执行如权利要求1-4中任一项所述的跨平台场景下的固件漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010063869.6A CN111310178B (zh) | 2020-01-20 | 2020-01-20 | 跨平台场景下的固件漏洞检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010063869.6A CN111310178B (zh) | 2020-01-20 | 2020-01-20 | 跨平台场景下的固件漏洞检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111310178A CN111310178A (zh) | 2020-06-19 |
| CN111310178B true CN111310178B (zh) | 2024-01-23 |
Family
ID=71148377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010063869.6A Active CN111310178B (zh) | 2020-01-20 | 2020-01-20 | 跨平台场景下的固件漏洞检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111310178B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112084146A (zh) * | 2020-09-08 | 2020-12-15 | 国网上海市电力公司 | 基于多维特征的固件同源性检测方法 |
| US11507661B2 (en) * | 2021-03-05 | 2022-11-22 | Dell Products L.P. | Detection of indicators of attack |
| CN113626820B (zh) * | 2021-06-25 | 2023-06-27 | 中国科学院信息工程研究所 | 针对网络设备的已知漏洞定位方法及装置 |
| CN113987517B (zh) * | 2021-11-03 | 2024-07-23 | 北京天融信网络安全技术有限公司 | 基于物联网固件的漏洞挖掘方法、装置、设备及存储介质 |
| WO2024021874A1 (zh) * | 2022-07-25 | 2024-02-01 | 华为云计算技术有限公司 | 漏洞分析方法、装置、设备及计算机可读存储介质 |
| CN116561768B (zh) * | 2023-05-19 | 2024-05-28 | 国家计算机网络与信息安全管理中心 | 设备固件漏洞检测方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229563A (zh) * | 2016-03-25 | 2017-10-03 | 中国科学院信息工程研究所 | 一种跨架构的二进制程序漏洞函数关联方法 |
| CN107977305A (zh) * | 2016-10-24 | 2018-05-01 | 百度在线网络技术(北京)有限公司 | 用于检测应用的方法和装置 |
| WO2018101575A1 (ko) * | 2016-11-29 | 2018-06-07 | 한국전력공사 | 바이너리 코드 기반 임베디드 소프트웨어 취약점 분석 장치 및 그 방법 |
| WO2018230194A1 (ja) * | 2017-06-14 | 2018-12-20 | 日本電信電話株式会社 | 特定支援装置、特定支援方法及び特定支援プログラム |
| CN109067800A (zh) * | 2018-09-29 | 2018-12-21 | 南京明博互联网安全创新研究院有限公司 | 一种固件漏洞的跨平台关联检测方法 |
| CN110362966A (zh) * | 2019-07-11 | 2019-10-22 | 华东师范大学 | 一种基于模糊哈希的跨平台固件同源性安全检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
| US10972494B2 (en) * | 2016-10-10 | 2021-04-06 | BugCrowd, Inc. | Vulnerability detection in IT assets by utilizing crowdsourcing techniques |
-
2020
- 2020-01-20 CN CN202010063869.6A patent/CN111310178B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229563A (zh) * | 2016-03-25 | 2017-10-03 | 中国科学院信息工程研究所 | 一种跨架构的二进制程序漏洞函数关联方法 |
| CN107977305A (zh) * | 2016-10-24 | 2018-05-01 | 百度在线网络技术(北京)有限公司 | 用于检测应用的方法和装置 |
| WO2018101575A1 (ko) * | 2016-11-29 | 2018-06-07 | 한국전력공사 | 바이너리 코드 기반 임베디드 소프트웨어 취약점 분석 장치 및 그 방법 |
| WO2018230194A1 (ja) * | 2017-06-14 | 2018-12-20 | 日本電信電話株式会社 | 特定支援装置、特定支援方法及び特定支援プログラム |
| CN109067800A (zh) * | 2018-09-29 | 2018-12-21 | 南京明博互联网安全创新研究院有限公司 | 一种固件漏洞的跨平台关联检测方法 |
| CN110362966A (zh) * | 2019-07-11 | 2019-10-22 | 华东师范大学 | 一种基于模糊哈希的跨平台固件同源性安全检测方法 |
Non-Patent Citations (4)
| Title |
|---|
| 基于源码与二进制文件的漏洞挖掘技术;傅涛;;软件(07);全文 * |
| 常青 ; 刘中金 ; 王猛涛 ; 陈昱 ; 石志强 ; 孙利民 ; .VDNS:一种跨平台的固件漏洞关联算法.计算机研究与发展.2016,(10),全文. * |
| 忽朝俭 ; 薛一波 ; 赵粮 ; 李舟军 ; .无文件系统嵌入式固件后门检测.通信学报.2013,第34卷(第8期),全文. * |
| 文伟平 ; 吴兴丽 ; 蒋建春 ; .软件安全漏洞挖掘的研究思路及发展趋势.信息网络安全.2009,(10),第1-3页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111310178A (zh) | 2020-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111310178B (zh) | 跨平台场景下的固件漏洞检测方法及系统 | |
| WO2015101097A1 (zh) | 特征提取的方法及装置 | |
| TWI720932B (zh) | 用於藉由分析已知及/或未知網路安全威脅的形態來偵測資料異常的系統和方法 | |
| US11783029B2 (en) | Methods and apparatus to improve feature engineering efficiency with metadata unit operations | |
| RU2420791C1 (ru) | Метод отнесения ранее неизвестного файла к коллекции файлов в зависимости от степени схожести | |
| US11048798B2 (en) | Method for detecting libraries in program binaries | |
| CN108985057B (zh) | 一种webshell检测方法及相关设备 | |
| CN113901474B (zh) | 一种基于函数级代码相似性的漏洞检测方法 | |
| CN111723371B (zh) | 构建恶意文件的检测模型以及检测恶意文件的方法 | |
| CN111930610B (zh) | 软件同源性检测方法、装置、设备及存储介质 | |
| CN117940894A (zh) | 用于检测代码克隆的系统和方法 | |
| CN111090859B (zh) | 一种基于图编辑距离的恶意软件检测方法 | |
| CN107577943B (zh) | 基于机器学习的样本预测方法、装置及服务器 | |
| Li et al. | Cross-architecture Intemet-of-Things malware detection based on graph neural network | |
| US11487876B1 (en) | Robust whitelisting of legitimate files using similarity score and suspiciousness score | |
| CN114266046A (zh) | 网络病毒的识别方法、装置、计算机设备及存储介质 | |
| CN114386511A (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 | |
| CN114995880B (zh) | 一种基于SimHash的二进制代码相似性比对方法 | |
| WO2023072002A1 (zh) | 开源组件包的安全检测方法及装置 | |
| CN111475812B (zh) | 一种基于数据可执行特征的网页后门检测方法与系统 | |
| CN114510717A (zh) | 一种elf文件的检测方法、装置、存储介质 | |
| CN113946365A (zh) | 页面识别方法、装置、计算机设备和存储介质 | |
| CN115904486A (zh) | 一种代码相似度检测方法及装置 | |
| CN114816518A (zh) | 基于simhash的源代码中开源成分筛选识别方法及系统 | |
| CN112163217A (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |