CN111611591A - 一种固件漏洞的检测方法、装置、存储介质及电子设备 - Google Patents
一种固件漏洞的检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN111611591A CN111611591A CN202010442572.0A CN202010442572A CN111611591A CN 111611591 A CN111611591 A CN 111611591A CN 202010442572 A CN202010442572 A CN 202010442572A CN 111611591 A CN111611591 A CN 111611591A
- Authority
- CN
- China
- Prior art keywords
- firmware
- vulnerability
- module
- file system
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 72
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000012545 processing Methods 0.000 claims abstract description 16
- 230000006837 decompression Effects 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 241001377938 Yara Species 0.000 claims description 7
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 238000013515 script Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 239000002609 medium Substances 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000000605 extraction Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000012120 mounting media Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
本发明公开了一种固件漏洞的检测方法、装置、存储介质及电子设备。该方法包括:响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。通过执行本技术方案,可以有效的对嵌入式终端的固件漏洞进行检测,从而提高嵌入式终端运行安全性的效果。
Description
技术领域
本发明涉及工控安全技术领域,尤其涉及一种固件漏洞的检测方法、装置、存储介质及电子设备。
背景技术
随着科学技术的不断发展,嵌入式终端的应用越来越广泛。嵌入式终端的安全已经成为人们关注的重要问题。固件是指存放在ROM/FLASH存储器中的只读代码和数据,以灵活多样的存在方式,方便了用户对嵌入式电子设备和系统的使用。嵌入式固件,既连接了上层应用,又与底层硬件连接,因此固件具有极高的权限。固件可直接连接底层硬件等特性决定了其漏洞的严重性。嵌入式电子设备固件中主要包含着操作系统与一些应用程序等文件,其中一些缺陷和漏洞就会不可避免的存在,这使得嵌入式电子设备隐藏的恶意功能大多数存在于电子设备固件的操作系统中,因此固件漏洞也具有极大的危害。
嵌入式终端电子设备的安全可靠是电力系统安全稳定的运行的基础。智能电网、工业互联网等业务系统中存在大量基于单片机或嵌入式操作系统的电子设备,例如配电终端、输变电在线状态监测终端等。这些嵌入式终端具有一定的处理能力,支持网络接入和访问,而且部分系统的终端电子设备部署在开放环境或用户侧,缺少物理访问控制或控制不足,导致电子设备更容易被攻击者直接接触,同时随着越来越多的嵌入式终端固件被暴漏出弱口令、后门等缺陷,导致嵌入式终端面临着巨大的风险。目前,嵌入式终端面临种类多、系统平台多、功能差异大的情况,由于嵌入式终端电子设备系统的封闭性,软、硬件的多样性与差异化,仅有固件二进制代码作为分析的基础。因此,亟需开展固件漏洞挖掘工作,以确保嵌入式终端安全可靠运行。
发明内容
本发明提供一种固件漏洞的检测方法、装置、存储介质及电子设备,可以有效的对嵌入式终端的固件漏洞进行检测,从而提高嵌入式终端运行安全性的效果。
第一方面,本发明提供了一种固件漏洞的检测方法,该方法包括:
响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
进一步的,所述预设模块化定义的固件漏洞规则库的构建过程包括:
从预设漏洞库中搜集固件漏洞信息、固件版本升级修改的文件信息以及黑客攻击脚本中的一种或多种;
采用xml语言或JSON语言得到固件漏洞的形式化语言描述;
采用YARA规则构建固件漏洞检测插件库,以得到预设模块化定义的固件漏洞规则库。
进一步的,所述预设模块化定义的固件漏洞规则库的构建过程包括:
通过固件爬虫,获取固件官网的发布漏洞信息;或,将解压出的固件文件系统,通过漏洞的预设挖掘和验证手段,提取固件漏洞的特征信息;
对所述固件漏洞的特征信息进行处理,得到形式化语言描述,以构建预设模块化定义的固件漏洞规则库。
进一步的,通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息,包括:
采用YARA规则和/或meta规则,对固件文件系统匹配预设模块化定义的固件漏洞规则库中的插件特征,以对固件文件系统的证书泄漏、固件弱口令、固件后门、固件组件漏洞、缓冲区溢出以及命令执行漏洞中的至少一种进行漏洞检测,以得到漏洞信息。
进一步的,根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统,包括:
采用Magic签名知识库确定目标固件的固件类型;以及识别待检测模块的特征标记;
采用模块间关系特征库对所述待检测模块的特征标记进行验证,若验证通过,则定位待检测模块,以完成目标固件的解压处理,得到待检测模块和由定位的待检测模块构成的文件系统。
进一步的,在得到目标固件的待检测模块和文件系统之后,所述方法还包括:
对目标固件的文件系统进行过滤处理,得到所述目标固件的文件系统的二进制文件;
对所述二进制文件进行信息识别,得到二进制文件的深度解析结果。
进一步的,所述深度解析结果包括操作系统提取、通信协议、CPU架构、系统及Web组件以及加密算法中的一种或者多种。
第二方面,本发明提供了一种固件漏洞的检测装置,该装置包括:
目标固件确定模块,用于响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
目标固件解压模块,用于根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
漏洞信息检测模块,用于通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
漏洞检测结果展示模块,用于对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
第三方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例所述的固件漏洞的检测方法。
第四方面,本发明提供了一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,所述处理器执行所述计算机程序时实现如本发明所述的固件漏洞的检测方法。
本发明所提供的技术方案,响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。通过采用本方案,可以有效的对嵌入式终端的固件漏洞进行检测,从而提高嵌入式终端运行安全性的效果。
附图说明
构成本申请的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本申请实施例提供的固件漏洞的检测方法的流程图;
图2是本申请实施例提供的固件漏洞检测框架示意图;
图3是本申请实施例提供的固件漏洞的检测装置的结构示意图;
图4是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
以下详细说明均是示例性的说明,旨在对本发明提供进一步的详细说明。除非另有指明,本发明所采用的所有技术术语与本申请所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式,而并非意图限制根据本发明的示例性实施方式。
图1是本申请实施例提供的固件漏洞的检测方法的流程图,本实施例可适用于固件漏洞检测的情况,该方法可以由本申请实施例所提供的固件漏洞的检测装置执行,该装置可以由软件和/或硬件的方式来实现,并可集成于用于激光云台摄像机等电子设备中。
如图1所示,所述固件漏洞的检测方法包括:
S110、响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的。
其中固件漏洞检测触发事件,可以是操作人员发起相应的固件漏洞检测操作,而形成的触发事件,还可以是在固件漏洞检测的界面中接收到上传的固件,则可以认为是一种触发事件。
在检测到触发事件之后,可以优先确定目标固件。其中目标固件是按照预设方式进行上传的。在本方案中,具体的,可以通过浏览器直接上传固件,或通过固件下载URL作为输入进行上传。还可以通过文件传输等形式进行上传操作。
S120、根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统。
确定目标固件之后,优先确定目标固件的固件类型。因为不同的固件类型所需要使用到的固件漏洞检测手段可能存在不同,而且可以根据分类处理来提高固件漏洞检测的准确性。确定固件类型之后,可以对目标固件进行解压处理,得到目标固件的待检测模块,以及由待检测模块按照其逻辑关系构成的文件系统。其中每一个待检测模块可以完成相应业务或者功能的执行,因此按照模块进行区分,可以提高固件检测结果的准确性。
在本实施例中,可选的,根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统,包括:
采用Magic签名知识库确定目标固件的固件类型;以及识别待检测模块的特征标记;
采用模块间关系特征库对所述待检测模块的特征标记进行验证,若验证通过,则定位待检测模块,以完成目标固件的解压处理,得到待检测模块和由定位的待检测模块构成的文件系统。
其中,Magic签名与固件类型是一一对应的,还跟该类固件的模块地址有关,能够用于固件类型和固件中的模块识别。
本方案中,对固件封装方式进行逆向、递归地解压出内部所有文件。同时针对固件文件系统格式进行解压,针对某一固件,首先结合Magic签名知识库对固件映像的各个模块进行特征标记和识别,然后依据模块间的关系特征库对所识别的模块进行验证测试和确认,如果验证通过则对模块实施定位,实现模块的解压和还原;如果没有验证通过,则返回重新进行特征识别,直至通过为止,最终实现对固件的文件系统进行解压。
在一种可行的实施例中,可选的,在得到目标固件的待检测模块和文件系统之后,所述方法还包括:
对目标固件的文件系统进行过滤处理,得到所述目标固件的文件系统的二进制文件;
对所述二进制文件进行信息识别,得到二进制文件的深度解析结果。
在上述各技术方案的基础上,可选的,所述深度解析结果包括操作系统提取、通信协议、CPU架构、系统及Web组件以及加密算法中的一种或者多种。
固件文件系统格式分析,针对某一固件解压后,可以对固件的文件系统进行深度分析,可以过滤并获取可反汇编的二进制文件,然后针对二进制文件进行信息识别、深度分析,如操作系统提取、通信协议、CPU架构、系统及Web组件、加密算法等。
S130、通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息。
其中,预设模块化定义的固件漏洞规则库可以是预先构建的,在此处,可以直接采用预先构建的预设模块化定义的固件漏洞规则库对文件系统进行漏洞检测。具体的,可以优先匹配漏洞插件,匹配方式可以是根据文件系统中各个模块的信息来确定的。通过匹配的插件,对文件系统进行漏洞检测,得到漏洞检测的结果。
在本实施例中,可选的,所述预设模块化定义的固件漏洞规则库的构建过程包括:
从预设漏洞库中搜集固件漏洞信息、固件版本升级修改的文件信息以及黑客攻击脚本中的一种或多种;
采用xml语言或JSON语言得到固件漏洞的形式化语言描述;
采用YARA规则构建固件漏洞检测插件库,以得到预设模块化定义的固件漏洞规则库。
该方法主要是通过搜集固件漏洞信息,如CVE漏洞库(Common Vulnerabilities&Exposures,通用漏洞披露)、CNVD漏洞库(China National Vulnerability Database,国家信息安全漏洞共享平台)等、固件版本升级修改的文件信息以及黑客攻击脚本等,采用基于xml或JSON等语言形成固件漏洞的形式化语言描述,在此基础上采用YARA规则形成固件漏洞检测插件库。
在本实施例中,可选的,所述预设模块化定义的固件漏洞规则库的构建过程包括:
通过固件爬虫,获取固件官网的发布漏洞信息;或,将解压出的固件文件系统,通过漏洞的预设挖掘和验证手段,提取固件漏洞的特征信息;
对所述固件漏洞的特征信息进行处理,得到形式化语言描述,以构建预设模块化定义的固件漏洞规则库。
本技术方案中,还可通过固件爬虫,爬去固件官网的发布漏洞信息,或将解压出的固件文件系统,通过漏洞的人工挖掘和验证等技术手段,提取固件的漏洞特征信息,形成形式化语言描述,构建固件漏洞检测插件库。
上述两种预设模块化定义的固件漏洞规则库的构建过程,都能够提取大量的数据信息作为构建依据,从而可以提高预设模块化定义的固件漏洞规则库在使用过程中的准确性,以及确保预设模块化定义的固件漏洞规则库的适用范围足够大。
S140、对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
可以对检测出的固件漏洞,及检测使用的漏洞插件进行展现和描述,便于辅助安全人员对固件漏洞进行验证和确认。
固件系统本身是一个复杂而庞大的系统,完成的漏洞挖掘和检测,将花费大量的人力、物力及时间。本方案中提出的基于插件定义和形式化语言规则匹配的固件漏洞检测方法,可动态选择固件漏洞检测中的插件,从而降低特定固件、特定场景下无意义的固件漏洞特征扫描,实现定制化扫描,如针对固件第三方组件,着重进行后门扫描、弱口令扫描和密钥泄漏扫描;对研发人员自身的代码,则着重对命令执行、缓冲区溢出等研发场景下容易出现的固件漏洞进行扫描,在一定程度上,可大大提高固件漏洞检测效率,同时降低固件漏洞检测的时间复杂度。
本申请实施例所提供的技术方案,响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。通过采用本方案,可以有效的对嵌入式终端的固件漏洞进行检测,从而提高嵌入式终端运行安全性的效果。
在上述各技术方案的基础上,可选的,通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息,包括:
采用YARA规则和/或meta规则,对固件文件系统匹配预设模块化定义的固件漏洞规则库中的插件特征,以对固件文件系统的证书泄漏、固件弱口令、固件后门、固件组件漏洞、缓冲区溢出以及命令执行漏洞中的至少一种进行漏洞检测,以得到漏洞信息。
图2是本申请实施例提供的固件漏洞检测框架示意图。如图2所示,可以基于固件对比分析请求,对固件ID队列,采用固件对比调度器进行调度处理。其中,上传多个固件进行分析,一个固件分析需要10-30分钟,所以一般是多个固件一起分析,这样就会出现排队情况,会上传很多个待分析固件,每个固件有一个ID。固件对比调度器首先进行分析,例如,采用固件分析插件库中的插件1,插件2,插件3,插件4,等等,进行固件分析,以支撑固件对比插件库中的文件内容对比插件,文件头对比插件以及软件对比插件,最终得到输出结果。以对比结果队列的形式得到固件对比分析结果。
本方案针对嵌入式终端固件漏洞的形式化分析描述和插件式定义固件漏洞的方法,提出模块化定义固件漏洞规则匹配插件,能够实现固件漏洞检测规则库的实时更新和远程调用。
本方案提出的嵌入式终端固件漏洞深度分析与检测方法,可建设企业级嵌入式终端固件漏洞库管理系统,以支撑企业固件研发人员、测试人员、企业运维人员及安全应急人员相关工作。
图3是本申请实施例提供的固件漏洞的检测装置的结构示意图。如图3所示,所述固件漏洞的检测装置包括:
目标固件确定模块310,用于响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
目标固件解压模块320,用于根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
漏洞信息检测模块330,用于通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
漏洞检测结果展示模块340,用于对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。
本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种固件漏洞的检测方法,该方法包括:
响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
存储介质——任何的各种类型的存储器电子设备或存储电子设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDR RAM、SRAM、EDO RAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到计算机系统。第二计算机系统可以提供程序指令给计算机用于执行。术语“存储介质”可以包括可以驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的固件漏洞的检测操作,还可以执行本申请任意实施例所提供的固件漏洞的检测方法中的相关操作。
本申请实施例提供了一种电子设备,该电子设备中可集成本申请实施例提供的固件漏洞的检测装置。图4是本申请实施例提供的一种电子设备的结构示意图。如图4所示,本实施例提供了一种电子设备400,其包括:一个或多个处理器420;存储装置410,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器420执行,使得所述一个或多个处理器420实现本申请实施例所提供的固件漏洞的检测方法,该方法包括:
响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
当然,本领域技术人员可以理解,处理器420还实现本申请任意实施例所提供的固件漏洞的检测方法的技术方案。
图4显示的电子设备400仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,该电子设备400包括处理器420、存储装置410、输入装置430和输出装置440;电子设备中处理器420的数量可以是一个或多个,图4中以一个处理器420为例;电子设备中的处理器420、存储装置410、输入装置430和输出装置440可以通过总线或其他方式连接,图4中以通过总线450连接为例。
存储装置410作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块单元,如本申请实施例中的固件漏洞的检测方法对应的程序指令。
存储装置410可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置410可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置410可进一步包括相对于处理器420远程设置的存储器,这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字、字符信息或语音信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏、扬声器等电子设备。
本申请实施例提供的电子设备,可以达到提升白平衡校正的精度与场景适应性目的。
上述实施例中提供的固件漏洞的检测装置、存储介质及电子设备可执行本申请任意实施例所提供的固件漏洞的检测方法,具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的固件漏洞的检测方法。
由技术常识可知,本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此,上述公开的实施方案,就各方面而言,都只是举例说明,并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。
Claims (10)
1.一种固件漏洞的检测方法,其特征在于,包括:
响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
2.根据权利要求1所述的方法,其特征在于,所述预设模块化定义的固件漏洞规则库的构建过程包括:
从预设漏洞库中搜集固件漏洞信息、固件版本升级修改的文件信息以及黑客攻击脚本中的一种或多种;
采用xml语言或JSON语言得到固件漏洞的形式化语言描述;
采用YARA规则构建固件漏洞检测插件库,以得到预设模块化定义的固件漏洞规则库。
3.根据权利要求1所述的方法,其特征在于,所述预设模块化定义的固件漏洞规则库的构建过程包括:
通过固件爬虫,获取固件官网的发布漏洞信息;或,将解压出的固件文件系统,通过漏洞的预设挖掘和验证手段,提取固件漏洞的特征信息;
对所述固件漏洞的特征信息进行处理,得到形式化语言描述,以构建预设模块化定义的固件漏洞规则库。
4.根据权利要求1所述的方法,其特征在于,通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息,包括:
采用YARA规则和/或meta规则,对固件文件系统匹配预设模块化定义的固件漏洞规则库中的插件特征,以对固件文件系统的证书泄漏、固件弱口令、固件后门、固件组件漏洞、缓冲区溢出以及命令执行漏洞中的至少一种进行漏洞检测,以得到漏洞信息。
5.根据权利要求1所述的方法,其特征在于,根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统,包括:
采用Magic签名知识库确定目标固件的固件类型;以及识别待检测模块的特征标记;
采用模块间关系特征库对所述待检测模块的特征标记进行验证,若验证通过,则定位待检测模块,以完成目标固件的解压处理,得到待检测模块和由定位的待检测模块构成的文件系统。
6.根据权利要求1所述的方法,其特征在于,在得到目标固件的待检测模块和文件系统之后,所述方法还包括:
对目标固件的文件系统进行过滤处理,得到所述目标固件的文件系统的二进制文件;
对所述二进制文件进行信息识别,得到二进制文件的深度解析结果。
7.根据权利要求6所述的方法,其特征在于,所述深度解析结果包括操作系统提取、通信协议、CPU架构、系统及Web组件以及加密算法中的一种或者多种。
8.一种固件漏洞的检测装置,其特征在于,包括:
目标固件确定模块,用于响应于固件漏洞检测触发事件,确定目标固件;其中,所述目标固件是按照预设方式进行上传的;
目标固件解压模块,用于根据所述目标固件的固件类型,对所述目标固件进行解压处理,得到目标固件的待检测模块和文件系统;
漏洞信息检测模块,用于通过预设模块化定义的固件漏洞规则库匹配漏洞插件和所述文件系统,以对所述待检测模块和所述文件系统进行漏洞检测,得到漏洞信息;
漏洞检测结果展示模块,用于对所述漏洞信息,以及检测使用的漏洞插件进行结果展示。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的固件漏洞的检测方法。
10.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的固件漏洞的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010442572.0A CN111611591B (zh) | 2020-05-22 | 2020-05-22 | 一种固件漏洞的检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010442572.0A CN111611591B (zh) | 2020-05-22 | 2020-05-22 | 一种固件漏洞的检测方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111611591A true CN111611591A (zh) | 2020-09-01 |
| CN111611591B CN111611591B (zh) | 2024-05-07 |
Family
ID=72199556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010442572.0A Active CN111611591B (zh) | 2020-05-22 | 2020-05-22 | 一种固件漏洞的检测方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111611591B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112699379A (zh) * | 2020-12-31 | 2021-04-23 | 上海戎磐网络科技有限公司 | 一种基于软件基因的固件漏洞扫描系统和方法 |
| CN112738094A (zh) * | 2020-12-29 | 2021-04-30 | 国网山东省电力公司滨州供电公司 | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 |
| CN112818357A (zh) * | 2021-03-11 | 2021-05-18 | 北京顶象技术有限公司 | 一种自动化的批量IoT固件风险评估方法和系统 |
| CN112988607A (zh) * | 2021-05-11 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 一种应用程序的组件检测方法、装置和存储介质 |
| CN113312220A (zh) * | 2021-05-26 | 2021-08-27 | 国家计算机网络与信息安全管理中心 | 一种固件隐患检测方法、装置及电子设备 |
| CN113382006A (zh) * | 2021-06-15 | 2021-09-10 | 中国信息通信研究院 | 物联网终端安全与风险评估评测方法 |
| CN113515457A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种物联网设备固件安全性检测方法及装置 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN116561770A (zh) * | 2023-05-19 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050241000A1 (en) * | 2002-10-22 | 2005-10-27 | Kiyoto Kawauchi | Security hole diagnostic system |
| CN104239801A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 0day漏洞的识别方法以及装置 |
| US20190138732A1 (en) * | 2017-11-06 | 2019-05-09 | M-Secure Co., Ltd. | Server and method for checking vulnerability of mobile application |
| CN109886016A (zh) * | 2018-12-27 | 2019-06-14 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
| CN110222510A (zh) * | 2019-06-13 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 一种漏洞检测方法、装置及计算机系统 |
| CN110912890A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种面向内网的新型漏洞攻击检测系统 |
| CN110941832A (zh) * | 2019-11-28 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种嵌入式物联网设备固件漏洞挖掘方法、装置及设备 |
-
2020
- 2020-05-22 CN CN202010442572.0A patent/CN111611591B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050241000A1 (en) * | 2002-10-22 | 2005-10-27 | Kiyoto Kawauchi | Security hole diagnostic system |
| CN104239801A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 0day漏洞的识别方法以及装置 |
| US20190138732A1 (en) * | 2017-11-06 | 2019-05-09 | M-Secure Co., Ltd. | Server and method for checking vulnerability of mobile application |
| CN109886016A (zh) * | 2018-12-27 | 2019-06-14 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
| CN110222510A (zh) * | 2019-06-13 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 一种漏洞检测方法、装置及计算机系统 |
| CN110912890A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种面向内网的新型漏洞攻击检测系统 |
| CN110941832A (zh) * | 2019-11-28 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种嵌入式物联网设备固件漏洞挖掘方法、装置及设备 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738094A (zh) * | 2020-12-29 | 2021-04-30 | 国网山东省电力公司滨州供电公司 | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 |
| CN112699379A (zh) * | 2020-12-31 | 2021-04-23 | 上海戎磐网络科技有限公司 | 一种基于软件基因的固件漏洞扫描系统和方法 |
| CN112818357A (zh) * | 2021-03-11 | 2021-05-18 | 北京顶象技术有限公司 | 一种自动化的批量IoT固件风险评估方法和系统 |
| CN112988607A (zh) * | 2021-05-11 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 一种应用程序的组件检测方法、装置和存储介质 |
| CN113312220A (zh) * | 2021-05-26 | 2021-08-27 | 国家计算机网络与信息安全管理中心 | 一种固件隐患检测方法、装置及电子设备 |
| CN113382006A (zh) * | 2021-06-15 | 2021-09-10 | 中国信息通信研究院 | 物联网终端安全与风险评估评测方法 |
| CN113382006B (zh) * | 2021-06-15 | 2022-12-16 | 中国信息通信研究院 | 物联网终端安全与风险评估评测方法 |
| CN113515457A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种物联网设备固件安全性检测方法及装置 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN115033881B (zh) * | 2022-08-12 | 2022-12-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN116561770A (zh) * | 2023-05-19 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
| CN116561770B (zh) * | 2023-05-19 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111611591B (zh) | 2024-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111611591A (zh) | 一种固件漏洞的检测方法、装置、存储介质及电子设备 | |
| CN106828362B (zh) | 汽车信息的安全测试方法及装置 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN110795732A (zh) | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 | |
| WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN112818352B (zh) | 数据库的检测方法及装置、存储介质及电子装置 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
| CN107122664B (zh) | 安全防护方法及装置 | |
| He et al. | Toward hybrid static-dynamic detection of vulnerabilities in IoT firmware | |
| KR20160090566A (ko) | 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법 | |
| CN113434400A (zh) | 测试用例的执行方法、装置、计算机设备及存储介质 | |
| CN109960937B (zh) | 一种漏洞演练环境的构建方法及系统 | |
| CN111767548A (zh) | 一种漏洞捕获方法、装置、设备及存储介质 | |
| CN111949548A (zh) | 一种自动化越权渗透测试方法和存储设备 | |
| CN116303069A (zh) | 一种车载终端的测试方法、装置、上位机、系统及介质 | |
| KR101382549B1 (ko) | 모바일 환경에서 sns 콘텐츠의 사전 검증 방법 | |
| CN111049828A (zh) | 网络攻击检测及响应方法及系统 | |
| CN113849817B (zh) | 一种JavaScript原型链污染漏洞的检测方法及装置 | |
| CN113901459B (zh) | 固件内部二进制程序脆弱性发现方法及装置 | |
| CN115857912A (zh) | 一种nasl插件的生成方法及系统 | |
| CN112688947B (zh) | 基于互联网的网络通信信息智能监测方法及系统 | |
| CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |