CN114780960A - 一种安全检测方法和装置 - Google Patents
一种安全检测方法和装置 Download PDFInfo
- Publication number
- CN114780960A CN114780960A CN202110005308.5A CN202110005308A CN114780960A CN 114780960 A CN114780960 A CN 114780960A CN 202110005308 A CN202110005308 A CN 202110005308A CN 114780960 A CN114780960 A CN 114780960A
- Authority
- CN
- China
- Prior art keywords
- firmware
- target
- similarity
- party library
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 123
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000013139 quantization Methods 0.000 claims description 15
- 238000012549 training Methods 0.000 claims description 14
- 238000010586 diagram Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 239000011159 matrix material Substances 0.000 claims description 5
- 230000002596 correlated effect Effects 0.000 claims 2
- 230000000875 corresponding effect Effects 0.000 claims 2
- 230000008569 process Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y20/00—Information sensed or collected by the things
- G16Y20/20—Information sensed or collected by the things relating to the thing itself
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/10—Detection; Monitoring
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种安全检测方法和装置,其中,方法包括:获取目标固件,并提取固件特征,其中,固件特征包括目标固件调用的第三方库信息;基于固件特征,将目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度;基于固件特征,将目标固件调用的第三方库与预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;基于第一相似度对第二相似度进行调整,以得到目标相似度,并在目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,漏洞提示信息用于提示目标固件调用的第三方库具有与目标第三方库对应的漏洞。本发明实施例提供的安全检测方法的适用范围广且可靠性高。
Description
技术领域
本发明涉及物联网信息安全技术领域,尤其涉及一种安全检测方法和装置。
背景技术
随着嵌入式物联网设备的应用越来越广泛,该嵌入式物联网设备中的固件的安全性,对于物联网的安全性具有至关重要。
在相关技术中,可以采用安全检测技术对固件的安全性进行检测,以查找固件存在的漏洞,从而便于用户及时发现和加固该漏洞,例如:采用特征匹配、二进制差量检测、模糊哈希或者第三方库检测等安全检测技术,对固件的安全性进行检测。
但是,相关技术中的安全检测技术往往需要基于固件版本、厂商、接口函数等固件信息来检测固件漏洞,但是,相关技术中的固件信息难以获取,且获取到的固件信息往往与固件的实际功能并不匹配,从而造成固件安全检测技术的适用性和可靠性差。
发明内容
本发明实施例提供一种安全检测方法和装置,能够解决相关技术中的固件安全检测技术存在的适用性和可靠性差的问题。
为解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种安全检测方法,所述方法包括:
获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;
基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;
基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;
基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
第二方面,本发明实施例提供了一种安全检测装置,所述装置包括:
获取模块,用于获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;
匹配模块,用于基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;
检测模块,用于基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;
输出模块,用于基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
第三方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的安全检测方法中的步骤。
本发明实施例中,获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。这样,本发明实施例中,通过从固件中提取固件特征的方式获取到的固件特征与固件的实际功能良好的匹配,且能够适用于提取多种架构或者多种代码格式的固件的特征,从而使基于该固件特征与目标第三方库的匹配结果,确定出目标固件的漏洞信息的适用性和可靠性提高。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种安全检测方法的流程图;
图2是能够应用本发明实施例提供的安全检测方法的嵌入式设备固件的结构示意图;
图3是本发明实施例提供的一种安全检测方法的数据交互示意图;
图4是本发明实施例提供的一种安全检测装置的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
鉴于嵌入式设备在制造过程中研产分离等原因,导致不同的固件可能包含相同的漏洞,例如:相同设备的不同版本的固件,甚至不同设备的固件中可以存在大量相同的漏洞,例如:缓冲区溢出和越界漏洞、远程命令注入漏洞等。
在相关技术中,为了提升固件的安全性,采用多种固件安全检测技术以检测固件的安全性,例如:特征匹配、二进制差量检测、模糊哈希、第三方库检测等。但是,相关技术中的固件安全检测技术,存在以下缺陷:
第一方面,采用特征匹配方法需要预先获取固件的版本、厂商、接口函数等固件信息,以基于该固件信息来检测固件漏洞。但在实际应用中,固件信息很难获取,且即使获取到固件信息,该固件信息也可能与实际功能不匹配。因此,相关技术中的特征匹配方法受原生数据影响较大,且在实际应用中,固件信息中的数值等是根据应用场景而产生变化的,因此,不同应用环境下的固件信息很容易造成不同的检测结果,从而使相关技术中的特征匹配方法容易出现漏检或者误检的情况。
第二方面,二进制差量分析或特定代码格式分解等方法中,仅对某一特定类型的固件的检测效果好,但是对不同架构或不同代码格式的固件检测效果不好,因此,其适用范围很小。
第三方面,模糊哈希只是对内容进行分割的分片哈希计算相似度,例如:硬盘数据执行保护(ssddep)程序,而对其他固件并不适用。
第四方面,上述特征匹配、二进制差量检测、模糊哈希方法,都需要基于足够的训练及检测样本进行训练得到,因此,不能够应用于某些训练样本缺乏的应用场景。例如:物联网设备中的固件,由于物联网设备在目前属于新兴产物,因此,该物联网设备的安全事件频发,但是,对于物联网设备固件的安全检测的研究不足,因此,可用于研究的样本有限,造成上述特征匹配、二进制差量检测、模糊哈希方法不适用于检测物联网设备中的固件的安全性。
第五方面,在第三方库检测方法中,通过从固件中提取第三方库信息,然后检测该第三方库与已公开漏洞库中的第三方库之间相似性,进而检测该固件是否包含类似漏洞。但由于工程时效性或开发者对第三方库稳定性偏好等原因,将会在已公开漏洞库中设置多个新旧版本混用的第三方库的情况,此时,将会造成不同版本的第三方库之间进行匹配,而不同版本之间的第三方库之间的数据等具有差异,从而将使得第三方库检测方法的误判率高。
本发明实施例提供的安全检测方法中,根据固件调用的第三方库存在的漏洞绝大部分是已公开的漏洞的特性,将待检测固件调用的第三方库与漏洞库中存在已公开漏洞的第三方库进行匹配,这样,当两者之间的相似度较高时,便可以确定固件调用的第三方库与漏洞库中与其相似的第三方库存在相同的漏洞;同时,为了便于将固件调用的第三方库与漏洞库中存在已公开漏洞的第三方库进行匹配,预先对固件的固件特征进行提取,其能够使提取出的固件特征与漏洞库中存在已公开漏洞的第三方库的预设漏洞信息数据库具有相同的数据格式,从而能够进行相互匹配,这样,便实现了将多种架构或代码格式的固件提取相同数据格式的固件特征,从而能够适用于多种架构或代码格式的固件。
在实施中,本发明实施例能够应用于检测安装于嵌入式物联网设备中的固件,或者其他设备或者系统中的固件,以确定该固件是否存在已公开的漏洞。
请参阅图1,是本发明实施例提供的一种安全检测方法的流程图,如图1所示,该安全检测方法可以包括以下步骤:
步骤101、获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息。
在具体实施中,本发明实施例提供的安全检测方法能够由第三方服务器执行,此时,上述获取目标固件可以理解为:接收用户上传的待检测固件(即目标固件),这样,可以避免在安装待检测固件的设备上执行上述安全检测方法,且能够采用第三方服务器检测多个设备中的固件。
这样,通过在服务器端执行上述安全检测方法,是的检测过程不受物联网设备的计算性能及容量的约束,并且能定期或者实施的更新漏洞库中的漏洞信息,以使作为匹配基础的漏洞信息更加准确,进而使输出的漏洞提示信息更加准确。
另外,上述第三方库信息可以理解为第三方库的版本信息、名称、参数信息、关键文件等。且除了上述第三方库信息之外,上述固件特征还可以包括以下至少一项:所述目标固件的固件版本信息、固件大小、供应商、产品型号、包含密码文件名称、包含秘钥文件名称、系统架构、IP地址。
当然,根据固件类型的不同,上述固件特征还可以包括其他信息,在此不再赘述。
以如图2所示嵌入式设备固件的结构为例,在应用中,嵌入式设备固件主要包括固件头(即Header)、引导程序(即Bootloader)、操作系统内核(即Kennel)和文件系统等部分,其中,第三方库可以采用文件系统中的文件进行调用。在嵌入式系统中,第三方库主要包括共享库以及通用工具集。常用的共享库有glibc(C运行库)和uClibc(C标准库),两者以动态链接库形式保存在“/lib”目录下,文件名常为“libc.so”和“ld-uClibc.so”,所有通过交叉编译编写的动态链接程序都会在运行时使用他们。常用的开源工具有:集合了嵌入式系统常用命令的轻量工具集BusyBox、用作Web服务器的小型工具Boa,Httpd等。在提取固件特征的过程中,可以从对应的文件中提取需要的固件特征,例如:glibc,可通过man-k glibc获取其版本号,其他共享库及通用工具集可利用类似的方法得到当前版本号、名称及关键文件信息。
步骤102、基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息。
在实施中,上述预设漏洞信息数据库中的数据格式能够适用于与上述固件特征进行匹配,在实施中,可以预先将预设漏洞库(例如:漏洞披露(Common Vulnerabilities andExposures,CVE))中的漏洞信息分别转化为与所述固件特征匹配的数据格式,以得到该预设漏洞信息数据库。以该预设漏洞库为CVE漏洞库为例,该CVE漏洞库中可以包括各种第三方库中存在的大量已公开漏洞的漏洞信息,鉴于CVE漏洞库中的漏洞信息夹杂了大量的无用信息,且CVE漏洞库中的漏洞信息对应的第三方库的新旧版本混用,因此,不便于直接将CVE漏洞库中的第三方库与上述固件特征进行匹配。
本步骤中,对CVE漏洞库进行数据结构化处理,以利用CVE漏洞库中公布的漏洞信息建立预设漏洞信息数据库,使该预设漏洞信息数据库中包括大量具有已公开漏洞的第三方库信息,且该具有已公开漏洞的第三方库信息可用于与所述目标固件的固件特征进行匹配,例如:预设漏洞信息数据库中包括具有已公开漏洞的第三方库的名称、版本、文件、函数、函数代码等信息。
这样,将所述固件特征与预设漏洞信息数据库中的每一个具有已公开漏洞的第三方库(简称为:目标第三方库)进行匹配,便可以得到目标固件分别与每一个目标第三方库之间的相似度,此时,上述第一相似度可以是目标固件分别与每一个目标第三方库之间的相似度中,取最大值的一个相似度,或者取大于预设值的至少一个相似度。
作为一种可选的实施方式,所述基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,包括:
确定所述第三方库信息与预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度;
其中,所述预设漏洞信息数据库基于预设漏洞库建立,所述预设漏洞库中包括至少两个已公开漏洞的目标第三方库,所述预设漏洞信息数据库中的漏洞信息数据与所述目标第三方库对应。
在实施中,上述预设漏洞信息数据库中的漏洞信息数据与所述目标第三方库对应,可以理解为:预设漏洞信息数据库中包括具有已公开漏洞的第三方库一一对应的漏洞信息数据,且该漏洞信息数据的数据格式可以与所述固件特征中的数据格式相同,从而便于将两者进行匹配。
本实施方式中,通过确定所述第三方库信息与预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度,可以确定所述预设漏洞信息数据库中与所述固件特征最相似的一个,即确定预设漏洞库中与所述目标固件最相似的一个目标第三方库。
进一步地,所述确定所述第三方库信息与所述预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度,包括:
确定所述目标固件所调用的第三方库的参数信息,与所述预设漏洞信息数据库中的目标第三方库的参数信息之间的参数差异值;
对所述目标固件所调用的第三方库的流程图和所述目标第三方库的流程图,进行矩阵图相似性检测,以得到流程图相似性;
基于所述参数差异值和所述流程图相似性,确定相似度量化值,并取所述相似度量化值的最大值为所述第一相似度,其中,所述相似度量化值与所述参数差异负相关,且与所述流程图相似性正相关。
在具体实施中,上述目标固件所调用的第三方库的流程图和目标第三方库的流程图,分别可以采用visustin、AutoFlowchart、Crystal等工具生成流程图,并获得流程图的节点信息、文本信息、连线信息等,以将该信息保存在文件中,然后用现有技术中的矩阵图相似性检测,以判别目标固件所调用的第三方库的流程图和目标第三方库的流程图之间的相似性。
另外,上述参数差异值可以通过目标固件所调用的第三方库的函数文件,与目标第三方库的函数文件进行相似度匹配得到,其具体可以包括:参数个数差异值和参数数值差异值;
所述参数个数差异值可以通过以下公式计算得到:
S1k=|1-tp/tk|
其中,所述tp表示所述目标固件所调用的第三方库中包括的参数个数;
所述tk表示所述预设漏洞信息数据库中的目标第三方库Tk与所述目标固件所调用的第三方库匹配,且所述目标第三方库Tk包括tk个参数;
所述S1k越接近0,表示所述目标固件所调用的第三方库与第三方库Tk越相似;
所述参数数值差异值可以通过以下公式计算得到:
S2k=|1-tqk/tk|
其中,所述tqk表示所述目标固件所调用的第三方库中的参数与所述目标第三方库Tk中的参数具有不同取值的参数个数;
所述S2k越接近0,表示所述目标固件所调用的第三方库与第三方库Tk越相似。
另外,上述基于所述参数差异值和流程图相似性,确定相似度量化值,可以包括:
基于以下公式,计算得到相似度量化值:
Tks=min(λ1S1k+λ2S2k+λ3(1-S3k))
其中,Tks表示所述相似度量化值,所述S3k表示所述流程图相似性的取值,所述λ1、λ2和λ3分别为常数。
需要说明的是,除了上述公式以外,根据固件特征中包括的数据类型的不同、应用场景的不同等,也可以通过其他过程确定目标固件所调用的第三方库与目标第三方库之间的参数差异,在此并不具体限定。
本实施方式中,基于所述参数差异值和所述流程图相似性,确定第一相似度,可以基于目标固件所调用的第三方库与目标第三方库之间的参数差异,以及目标固件所调用的第三方库与目标第三方库之间的流程相似度,判断两者之间的相似度,以使得出的相似度更加精确,且确定两者之间的相似度的过程更加简便。
步骤103、基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度。
需要说明的是,上述固件同源性检测技术与现有技术中的固件同源性检测技术(例如:字符串常量匹配、模糊哈希、常用的机器学习算法等)相似,不同之处在于:现有技术中,需要基于第三方库信息进行固件同源性检测,从而存在不同版本的第三方库之间进行匹配的问题;而本发明实施例中,基于固件特征进行固件同源性检测,在此不再赘述。
在实施中,与步骤102中得出的第一相似度对应的目标第三方库,可以是具有多个版本的目标第三方库,则本步骤中,具体可以是将所述目标固件调用的第三方库与通过步骤102得出的多个版本的目标第三方库进行匹配,并基于第二相似度确定与目标固件所调用的第三方库最相似的一个版本,且如果该最相似的一个版本存在某些漏洞,则可以确定目标固件调用的第三方库存在相同的漏洞,且很可能并未对此漏洞进行修复。
本实施方式,可以避免将所述目标固件调用的第三方库与所述预设漏洞库中的全部目标第三方库进行固件同源性检测。
作为一种可选的实施方式,所述基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库,进行固件同源性检测,包括:
将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至预设同源性检测算法模型,以得出第二相似度;
将所述第一相似度作为显性参数,对所述第二相似度进行调整,以得出目标相似度。
在一种可选的实施方式中,上述将所述第一相似度作为显性参数,具体可以是:将所述第一相似度作为上述预设同源性检测算法模型的显性参数,从而通过该预设同源性检测算法模型对第二相似度进行调整,即上述将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至预设同源性检测算法模型,以得出第二相似度,可以理解为:将所述第一相似度作为预设同源性检测算法模型的显性参数,并将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至该预设同源性检测算法模型,该预设同源性检测算法模型的输出结果即为上述目标相似度。
本实施方式中,可以采用第一相似度对预设同源性检测算法模型进行改进,以修正原有算法模型得出的第二相似度,能够提高单纯采用传统同源性检测算法的检测结果的准确率。
当然,在其他实施方式中,还可以在预设同源性检测算法模型得出所述第二相似度之后,采用其他调整算法,以基于所述第一相似度对所述第二相似度进行调整,例如:对第一相似度与第二相似度进行加权求和处理等,在此不作具体限定。
作为一种可选的实施方式,在所述提取所述目标固件的固件特征之后,所述方法还包括:
对所述固件特征进行数字转化处理,以将所述固件特征转化为数字型的标准数据集;
基于所述标准数据集和所述目标固件最相似的目标第三方库训练得到所述预设同源性检测算法模型。
在实施中,基于固件特征转化为数字型的标准数据集,上述目标第三方库也可以是数字型的数据。
在实施中,上述训练预设同源性检测算法模型的过程为一个迭代的过程,直至训练出的预设同源性检测算法模型的准确率高于预设准确率(例如:80%或90%等)时,停止迭代,并将最终的迭代结果作为所述预设同源性检测算法模型。
本实施方式中,将固件特征中的字符型数据转化为数字型的标准数据集,相较于对字符型数据进行匹配,对转化后的数字型数据进行匹配的方式,可以简化匹配过程的复杂程度。
步骤104、基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
在实施中,上述基于所述第一相似度对所述第二相似度进行调整,可以理解为:引入上述第一相似度参数,作为固件同源性检测算法中的显性参数来修正原有的固件同源性检测算法模型,以提高原有的固件同源性检测算法模型的准确率。
本发明实施例中,获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。这样,本发明实施例中,通过从固件中提取固件特征的方式获取到的固件特征与固件的实际功能良好的匹配,且能够适用于提取多种架构或者多种代码格式的固件的特征,从而使基于该固件特征与目标第三方库的匹配结果,确定出目标固件的漏洞信息的适用性和可靠性提高。
下面以如图3所示数据交互示意图为例,对本发明实施例提供的安全检测方法进行举例说明:
如图3所示,在实施中,先对待检测的固件样本(检测固件)进行预处理,该预处理阶段,包括以下步骤:
步骤3011、固件解析;
本步骤中,对固件样本进行固件解析,例如:解压或者解码等,以便于提取固件样本中的数据;
步骤3012、特征抽取。
本步骤中,对解析后的固件进行特征抽取,以得到该固件样本的固件特征。
步骤3013、字符型数据转化为数字型数据,以得到标准数据集。
需要说明的是,在实际应用中,仅对同源检测算法模型进行训练的过程中需要执行步骤3013;当同源检测算法模型训练完毕后,可以直接基于步骤3012得出的固件特征,进入第三方漏洞库相似度量化阶段。
在第三方漏洞库相似度量化阶段,包括以下步骤:
步骤3021、基于CVE创建第三方漏洞库。
本步骤中创建的第三方漏洞库中,包括具有已公开漏洞的目标第三方库的信息,且该目标第三方库的信息可以与固件样本的固件特征具有相同的数据格式,以便于将两者进行匹配。
步骤3022、第三方漏洞库查询。
本步骤中,用于从第三方漏洞库中查询与固件样本的固件特征匹配的目标第三方库。在实施中,与固件样本的固件特征匹配的目标第三方库,可以与固件特征中的第三方库具有相同的名称或者相同的版本等。
步骤3023、相似度量化。
在实施中,上述相似度量化,可以理解为,计算固件样本的固件特征与步骤3022中查询到的目标第三方库之间的第一相似度,该第一相似度与如图1所示方法实施例中的第一相似度具有相同含义,在此不再赘述。
需要说明的是,在步骤3022中查询到的目标第三方库为具有多个不同版本的目标第三方库的情况下,本步骤中可以将固件样本的固件特征与每一个版本的目标第三方库分别进行匹配,以得到多个相似度,然后取该多个相似度中的最大值作为上述第一相似度。
最后,基于上述第三方漏洞库相似度量化阶段中得出的第一相似度,进入固件同源性检测阶段,该固件同源性检测阶段,包括以下步骤:
步骤3031、获取常用检测算法。
上述常用检测算法可以是现有技术中的同源性检测算法,例如:字符串常量匹配、模糊哈希、常用的机器学习算法等,在此并不具体限定。
步骤3032、改进的检测算法。
本步骤中,利用上述第三方漏洞库相似度量化阶段中得出的第一相似度对步骤3031中的常用检测算法进行改进,例如:将第一相似度作为常用检测算法中的显性参数等,以得到改进后的检测算法。
步骤3033、训练或测试。
需要说明的是,当本步骤应用于对同源检测算法模型进行训练的过程中,用于利用通过步骤3013得到的标准数据集,对步骤3032得到的改进后的检测算法进行训练;当同源检测算法模型训练完成后,本步骤用于获取步骤3032得到的改进后的检测算法输出的结果,以基于该结果确定固件样本的漏洞信息。例如:在改进后的检测算法输出固件样本的固件特征与目标第三方库的相似度大于相似度阈值的情况下,确定该固件样本调用的第三方库具有与目标第三方库相同的漏洞。
由图3可知,相较于现有技术,本发明实施例具有以下优点:第一方面,本发明实施例无需像现有技术中那样单独获取固件的固件信息,以基于该固件信息进行固件同源性检测,从而避免了难以获取固件信息的问题;第二方面,本发明实施例中,通过从固件中提取固件特征的方式,能够适用于提取多种架构或者多种代码格式的固件的固件特征,从而具有广泛的适用范围;第三方面,本发明实施例中,还通过适用第一相似度对同源性检测结果进行调整,以基于调整后的目标相似度判断目标固件的漏洞信息,其准确性相较于现有技术中直接基于固件同源性检测结果判断目标固件的漏洞信息的方式,具有更高的可靠性。
请参阅图4,是本发明实施例提供的一种安全检测装置的结构图,如图4所示,安全检测装置400包括:
获取模块401,用于获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;
匹配模块402,用于基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;
检测模块403,用于基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;
输出模块404,用于基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
可选的,所述匹配模块402,具体用于:
确定所述第三方库信息与预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度;
其中,所述预设漏洞信息数据库基于预设漏洞库建立,所述预设漏洞库中包括至少两个已公开漏洞的目标第三方库,所述预设漏洞信息数据库中的漏洞信息数据与所述目标第三方库对应。
可选的,所述固件特征还包括如下至少一项:
所述目标固件的固件版本信息、固件大小、供应商、产品型号、包含密码文件名称、包含秘钥文件名称、系统架构、IP地址。
可选的,所述匹配模块402,包括:
第一确定单元,用于确定所述目标固件所调用的第三方库的参数信息,与所述预设漏洞信息数据库中的目标第三方库的参数信息之间的参数差异值;
检测单元,用于对所述目标固件所调用的第三方库的流程图和所述目标第三方库的流程图,进行矩阵图相似性检测,以得到流程图相似性;
第二确定单元,用于基于所述参数差异值和所述流程图相似性,确定相似度量化值,并取所述相似度量化值的最大值为所述第一相似度,其中,所述相似度量化值与所述参数差异负相关,且与所述流程图相似性正相关。
可选的,所述检测模块403,包括:
输入单元,用于将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至预设同源性检测算法模型,以得出第二相似度;
调整单元,用于将所述第一相似度作为显性参数,对所述第二相似度进行调整,以得出目标相似度。
可选的,安全检测装置400还包括:
数字转化模块,用于对所述固件特征进行数字转化处理,以将所述固件特征转化为数字型的标准数据集;
训练模块,用于基于所述标准数据集和所述目标固件最相似的目标第三方库训练得到所述预设同源性检测算法模型。
本发明实施例提供的安全检测装置400,能够执行如图1所示安全检测方法实施例中的各个过程,或如图3所示数据交互过程,且能够取得相同的有益效果,为避免重复,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述图1所示安全检测方法实施例中的各个过程,或实现如图3所示数据交互过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述的计算机可读存储介质,如ROM、RAM、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (13)
1.一种安全检测方法,其特征在于,所述方法包括:
获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;
基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;
基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;
基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
2.根据权利要求1所述的方法,其特征在于,所述基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,包括:
确定所述第三方库信息与预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度;
其中,所述预设漏洞信息数据库基于预设漏洞库建立,所述预设漏洞库中包括至少两个已公开漏洞的目标第三方库,所述预设漏洞信息数据库中的漏洞信息数据与所述目标第三方库对应。
3.根据权利要求2所述的方法,其特征在于,所述固件特征还包括如下至少一项:
所述目标固件的固件版本信息、固件大小、供应商、产品型号、包含密码文件名称、包含秘钥文件名称、系统架构、IP地址。
4.根据权利要求3所述的方法,其特征在于,所述确定所述第三方库信息与所述预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度,包括:
确定所述目标固件所调用的第三方库的参数信息,与所述预设漏洞信息数据库中的目标第三方库的参数信息之间的参数差异值;
对所述目标固件所调用的第三方库的流程图和所述目标第三方库的流程图,进行矩阵图相似性检测,以得到流程图相似性;
基于所述参数差异值和所述流程图相似性,确定相似度量化值,并取所述相似度量化值的最大值为所述第一相似度,其中,所述相似度量化值与所述参数差异负相关,且与所述流程图相似性正相关。
5.根据权利要求1所述的方法,其特征在于,所述基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库,进行固件同源性检测,包括:
将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至预设同源性检测算法模型,以得出第二相似度;
将所述第一相似度作为显性参数,对所述第二相似度进行调整,以得出目标相似度。
6.根据权利要求5所述的方法,其特征在于,在所述提取所述目标固件的固件特征之后,所述方法还包括:
对所述固件特征进行数字转化处理,以将所述固件特征转化为数字型的标准数据集;
基于所述标准数据集和所述目标固件最相似的目标第三方库训练得到所述预设同源性检测算法模型。
7.一种安全检测装置,其特征在于,所述装置包括:
获取模块,用于获取目标固件,并提取所述目标固件的固件特征,其中,所述固件特征包括所述目标固件调用的第三方库信息;
匹配模块,用于基于所述固件特征,将所述目标固件调用的第三方库与预设漏洞信息数据库中的目标第三方库进行匹配,以得到第一相似度,其中,所述预设漏洞信息数据库包括预设漏洞库中具有已公开漏洞的目标第三方库的信息;
检测模块,用于基于所述固件特征,将所述目标固件调用的第三方库与所述预设漏洞库中的目标第三方库进行固件同源性检测,以得到第二相似度;
输出模块,用于基于所述第一相似度对所述第二相似度进行调整,以得到目标相似度,并在所述目标相似度大于或者等于相似度阈值的情况下,输出漏洞提示信息,其中,所述漏洞提示信息用于提示所述目标固件调用的第三方库具有与所述目标第三方库对应的漏洞。
8.根据权利要求7所述的装置,其特征在于,所述匹配模块,具体用于:
确定所述第三方库信息与预设漏洞信息数据库中每一个漏洞信息数据的相似度的最大值,为第一相似度;
其中,所述预设漏洞信息数据库基于预设漏洞库建立,所述预设漏洞库中包括至少两个已公开漏洞的目标第三方库,所述预设漏洞信息数据库中的漏洞信息数据与所述目标第三方库对应。
9.根据权利要求8所述的装置,其特征在于,所述固件特征还包括如下至少一项:
所述目标固件的固件版本信息、固件大小、供应商、产品型号、包含密码文件名称、包含秘钥文件名称、系统架构、IP地址。
10.根据权利要求9所述的装置,其特征在于,所述匹配模块,包括:
第一确定单元,用于确定所述目标固件所调用的第三方库的参数信息,与所述预设漏洞信息数据库中的目标第三方库的参数信息之间的参数差异值;
检测单元,用于对所述目标固件所调用的第三方库的流程图和所述目标第三方库的流程图,进行矩阵图相似性检测,以得到流程图相似性;
第二确定单元,用于基于所述参数差异值和所述流程图相似性,确定相似度量化值,并取所述相似度量化值的最大值为所述第一相似度,其中,所述相似度量化值与所述参数差异负相关,且与所述流程图相似性正相关。
11.根据权利要求7所述的装置,其特征在于,所述检测模块,包括:
输入单元,用于将所述目标固件的固件特征与所述目标第三方库的漏洞信息数据,输入至预设同源性检测算法模型,以得出第二相似度;
调整单元,用于将所述第一相似度作为显性参数,对所述第二相似度进行调整,以得出目标相似度。
12.根据权利要求11所述的装置,其特征在于,还包括:
数字转化模块,用于对所述固件特征进行数字转化处理,以将所述固件特征转化为数字型的标准数据集;
训练模块,用于基于所述标准数据集和所述目标固件最相似的目标第三方库训练得到所述预设同源性检测算法模型。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的安全检测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110005308.5A CN114780960A (zh) | 2021-01-05 | 2021-01-05 | 一种安全检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110005308.5A CN114780960A (zh) | 2021-01-05 | 2021-01-05 | 一种安全检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114780960A true CN114780960A (zh) | 2022-07-22 |
Family
ID=82407628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110005308.5A Pending CN114780960A (zh) | 2021-01-05 | 2021-01-05 | 一种安全检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114780960A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115496129A (zh) * | 2022-08-29 | 2022-12-20 | 超聚变数字技术有限公司 | 一种软件匹配方法及装置 |
| US20220414220A1 (en) * | 2021-03-05 | 2022-12-29 | Dell Products L.P. | Detection of indicators of attack |
| CN116561770A (zh) * | 2023-05-19 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
| CN116846540A (zh) * | 2023-05-19 | 2023-10-03 | 国家计算机网络与信息安全管理中心 | 设备厂商推测方法、设备、存储介质及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763928A (zh) * | 2018-05-03 | 2018-11-06 | 北京邮电大学 | 一种开源软件漏洞分析方法、装置和存储介质 |
| CN109063055A (zh) * | 2018-07-19 | 2018-12-21 | 中国科学院信息工程研究所 | 同源二进制文件检索方法和装置 |
| CN110941832A (zh) * | 2019-11-28 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种嵌入式物联网设备固件漏洞挖掘方法、装置及设备 |
-
2021
- 2021-01-05 CN CN202110005308.5A patent/CN114780960A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763928A (zh) * | 2018-05-03 | 2018-11-06 | 北京邮电大学 | 一种开源软件漏洞分析方法、装置和存储介质 |
| CN109063055A (zh) * | 2018-07-19 | 2018-12-21 | 中国科学院信息工程研究所 | 同源二进制文件检索方法和装置 |
| CN110941832A (zh) * | 2019-11-28 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种嵌入式物联网设备固件漏洞挖掘方法、装置及设备 |
Non-Patent Citations (3)
| Title |
|---|
| SHOUGUO YANG 等: "Asteria: Deep Learning-based AST-Encoding for Cross-platform Binary Code Similarity Detection", 2021 51ST ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS (DSN), 6 August 2021 (2021-08-06) * |
| WENJING WANG 等: "Research on Known Vulnerability Detection Method Based on Firmware Analysis", JOURNAL OF CYBER SECURITY, vol. 4, no. 1, 1 June 2022 (2022-06-01), pages 1 - 15 * |
| 李登;尹青;林键;吕雪峰;: "基于同源性分析的嵌入式设备固件漏洞检测", 计算机工程, no. 01, 20 April 2016 (2016-04-20), pages 72 - 78 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220414220A1 (en) * | 2021-03-05 | 2022-12-29 | Dell Products L.P. | Detection of indicators of attack |
| CN115496129A (zh) * | 2022-08-29 | 2022-12-20 | 超聚变数字技术有限公司 | 一种软件匹配方法及装置 |
| CN115496129B (zh) * | 2022-08-29 | 2024-03-19 | 超聚变数字技术有限公司 | 一种软件匹配方法及装置 |
| CN116561770A (zh) * | 2023-05-19 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
| CN116846540A (zh) * | 2023-05-19 | 2023-10-03 | 国家计算机网络与信息安全管理中心 | 设备厂商推测方法、设备、存储介质及装置 |
| CN116561770B (zh) * | 2023-05-19 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 设备固件安全验证方法、装置、设备及存储介质 |
| CN116846540B (zh) * | 2023-05-19 | 2024-03-08 | 国家计算机网络与信息安全管理中心 | 设备厂商推测方法、设备、存储介质及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114780960A (zh) | 一种安全检测方法和装置 | |
| CN110569214B (zh) | 用于日志文件的索引构建方法、装置及电子设备 | |
| CN108563952B (zh) | 文件的病毒检测方法、装置及存储介质 | |
| CN109635569B (zh) | 一种漏洞检测方法及装置 | |
| CN106909811B (zh) | 用户标识处理的方法和装置 | |
| CN109992969B (zh) | 一种恶意文件检测方法、装置及检测平台 | |
| US20190297092A1 (en) | Access classification device, access classification method, and recording medium | |
| CN111159413A (zh) | 日志聚类方法、装置、设备及存储介质 | |
| CN110912908B (zh) | 网络协议异常检测方法、装置、计算机设备和存储介质 | |
| CN106156098B (zh) | 一种纠错对挖掘方法及系统 | |
| CN110046155B (zh) | 特征数据库的更新、数据特征的确定方法、装置及设备 | |
| CN111159115A (zh) | 相似文件检测方法、装置、设备及存储介质 | |
| CN113961768A (zh) | 敏感词检测方法、装置、计算机设备和存储介质 | |
| CN118069920B (zh) | 一种面向海量多网络协议终端设备接入的数据采集系统 | |
| CN107786529B (zh) | 网站的检测方法、装置及系统 | |
| CN116055165A (zh) | 一种恶意流量数据检测方法及系统 | |
| CN114266046A (zh) | 网络病毒的识别方法、装置、计算机设备及存储介质 | |
| CN112800194B (zh) | 一种接口变更识别方法、装置、设备及存储介质 | |
| CN117081801A (zh) | 网站的内容管理系统的指纹识别方法、装置及介质 | |
| CN116033048B (zh) | 物联网的多协议解析方法、电子设备和存储介质 | |
| CN111061637A (zh) | 接口测试方法、接口测试装置及存储介质 | |
| CN116414976A (zh) | 文档检测方法、装置及电子设备 | |
| CN112597498A (zh) | 一种webshell的检测方法、系统、装置及可读存储介质 | |
| CN113301180A (zh) | 对象标识符解析方法、装置、设备及存储介质 | |
| CN115718696B (zh) | 源码密码学误用检测方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |