WO2023241529A1

WO2023241529A1 - 漏洞信息处理方法、服务装置和漏洞检测模块

Info

Publication number: WO2023241529A1
Application number: PCT/CN2023/099764
Authority: WO
Inventors: 刘瑞超; 周昊
Original assignee: 阿里云计算有限公司
Priority date: 2022-06-17
Filing date: 2023-06-12
Publication date: 2023-12-21
Also published as: CN114969762A

Abstract

本申请提出一种漏洞信息处理方法、服务装置和漏洞检测模块。技术方案如下：确定物联网设备包含的第一组件；在第一漏洞库中查找第一组件对应的漏洞触发信息；其中，漏洞触发信息用于触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞。根据本申请实施例，可以提升漏洞检测结果的准确度。

Description

漏洞信息处理方法、服务装置和漏洞检测模块

本申请要求于2022年06月17日提交中国专利局、申请号为202210691626.6、申请名称为“漏洞信息处理方法、服务装置和漏洞检测模块”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及物联网领域，尤其涉及一种漏洞信息处理方法、服务装置和漏洞检测模块。

背景技术

随着IoT(Internet of Things，物联网)业务的蓬勃发展，IoT设备的安全问题也不断暴露出来，IoT设备漏洞作为IoT攻击的一个重要的突破口，成为IoT安全领域重点关注的内容之一。由于IoT设备中会引入开源组件，所以IoT设备中组件的漏洞检测是IoT设备漏洞检测的重点内容。而IoT设备开发存在碎片化的特点，多系统架构、多编译工具、为节省空间裁减软件等因素，导致IoT设备中组件的漏洞检测结果准确度较低。

发明内容

本申请实施例提供一种漏洞信息处理方法、服务装置和漏洞检测模块，以解决相关技术存在的问题，技术方案如下：

第一方面，本申请实施例提供了一种漏洞信息处理方法，包括：

确定物联网设备包含的第一组件；

在第一漏洞库中查找第一组件对应的漏洞触发信息；其中，漏洞触发信息用于触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞。

第二方面，本申请实施例提供了一种漏洞信息处理方法，包括：

确定物联网设备包含的第一组件；

向服务装置发送第一组件的标识信息，以获取服务装置在第一漏洞库中查找的与第一组件对应的漏洞触发信息；

基于漏洞触发信息触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞。

第三方面，本申请实施例提供一种服务装置，包括存储器、处理器及存储在存储器上的计算机程序，处理器在执行计算机程序时实现本申请任一实施例提供的方法。

第四方面，本申请实施例提供一种漏洞检测模块，用于设置于物联网设备中，该漏洞检测模块包括存储器、处理器及存储在存储器上的计算机程序，处理器在执行计算机程序时实现本申请任一实施例提供的方法。

第五方面，本申请实施例提供一种物联网设备，包括本申请任一实施例提供的漏洞检测模块。

第六方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，计算机程序被处理器执行时实现本申请任一实施例提供的方法。

根据本申请实施例，可以预先构建用于存储组件的漏洞触发信息的第一漏洞库，针对物联网设备包含的第一组件，通过在第一漏洞库中查找对应的漏洞触发信息，以利用第一组件对应的漏洞触发信息触发第一组件调用漏洞函数来确定组件是否真实存在漏洞，避免因IoT设备的碎片化场景特点导致漏洞误检，从而提升了漏洞检测结果的准确度。

上述概述仅仅是为了说明书的目的，并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外，通过参考附图和以下的详细描述，本申请进一步的方面、实施方式和特征将会是容易明白的。

附图说明

在附图中，除非另外规定，否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解，这些附图仅描绘了根据本申请公开的一些实施方式，而不应将其视为是对本申请范围的限制。

图1为本申请实施例一个示例性的应用场景的示意图；

图2为根据本申请一实施例的漏洞信息处理方法的流程图；

图3为根据本申请另一实施例的漏洞信息处理方法的流程图；

图4为根据本申请又一实施例的漏洞信息处理方法的流程图；

图5为本申请应用示例中漏洞信息的处理系统的结构框图；

图6为本申请应用示例中IoT设备漏洞运维框架的结构框图；

图7为本申请应用示例中IoT设备组件特征运维框架的结构框图；

图8为本申请应用示例中IoT设备组件数据采集与组件识别框架的结构框图；

图9为本申请应用示例中IoT设备漏洞识别框架的结构框图；

图10为用于实现本申请实施例的方法的电子设备的结构框图。

具体实施方式

在下文中，仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样，在不脱离本申请的精神或范围的情况下，可通过各种不同方式修改所描述的实施例。因此，附图和描述被认为本质上是示例性的而非限制性的。

为便于理解本申请实施例的技术方案，首先介绍可用于实现本申请实施例的漏洞信息处理方法的应用场景。

图1示出了一个示例性的应用场景的示意图。如图1所示，在该应用场景中，部署用于漏洞检测的服务装置。该服务装置可以访问公共漏洞库，以获取公共漏洞库中披露的信息安全漏洞。例如，该公共漏洞库可以包括CVE(Common Vulnerabilities & Exposures，通用漏洞披露)，其类似于一个字典表，为广泛认同的信息安全漏洞提供公共的名称，以供用户或相关服务查询。基于从公共漏洞库中获取的信息，漏洞服务装置可以分析出各漏洞涉及的物联网设备组件。在一些场景中，该服务装置还可以访问源代码库，以获取物联网设备组件的源代码。如此，该服务装置可以针对漏洞涉及的物联网设备组件，进一步分析得到对应的漏洞触发信息，例如漏洞涉及的函数、引发漏洞的函数参数、基于该漏洞导致该函数参数对应的返回值等。基于上述一种或多种信息，服务装置可以构建专用漏洞库，以利用专用漏洞库进行更准确的漏洞检测。

如图1所示，在一些应用场景中，通过访问源代码库，服务装置还可以构建组件特征库。例如，服务装置可以基于从源代码库获取的物联网设备组件的源代码，编译得到物联网设备组件的二进制文件，从而通过对二进制文件进行分析，得到物联网设备组件的识别特征。在本申请的一些实施例中，提出采用与设备系统、架构无关的识别特征，在一些场景中，还可以对这些识别特征进行优化，以克服物联网碎片化场景中多运行系统、多架构、编译条件多样、软件裁剪的特点对组件识别带来的影响。基于上述识别特征，服务装置可以构建组件特征库，以便于利用组件特征库识别出物联网设备中的相关组件。

如图1所示，在物联网设备中可以配置漏洞检测模块，用于与服务装置交互，完成漏洞检测。示例性地，该漏洞检测模块可以访问组件特征库，以利用组件特征库中与漏洞相关的组件的识别特征，识别出物联网设备中的相关组件。进一步地，漏洞检测模块可以将相关组件的信息发送至服务装置，以使服务装置返回专用漏洞库中的与该组件对应的信息。漏洞检测模块可利用这些信息准确确定漏洞是否真实存在。

为了能够更加详尽地了解本申请实施例的特点与技术内容，下面结合附图对本申请实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本申请实施例。

图2示出根据本申请一实施例的漏洞信息处理方法的流程图。如图2所示，该方法可以包括：

S210、确定物联网设备包含的第一组件；

S220、在第一漏洞库中查找第一组件对应的漏洞触发信息；其中，漏洞触发信息用于触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞。

可选地，上述步骤可以由图1所示的服务装置执行。示例性地，服务装置可以通过与物联网设备中的漏洞检测模块交互，确定物联网设备包含的第一组件，例如通过接收物联网设备发送的组件信息，基于该组件信息确定物联网设备包含的第一组件。服务装置在第一漏洞库中查找第一组件对应的漏洞触发信息之后，还可以向漏洞检测模块发送该漏洞触发信息，以利用漏洞检测模块触发第一组件调用漏洞函数，确定第一组件是否存在漏洞。该漏洞检测模块可以是物联网设备中集成编译到设备固件中的功能模块，也可以是与物联网设备互相独立并可装配到物联网设备上的功能模块。可以理解，由于漏洞检测模块为物联网设备提供安全方面的功能，因此，漏洞检测模块也可以理解为物联网设备中的安全代理模块。可以看到，服务装置中用于实现上述步骤S210和S220的程序模块与物联网设备中的漏洞检测模块构成一个IoT设备漏洞识别框架，该框架通过调用漏洞函数判断漏洞是否真实存在。

可选地，上述步骤还可以由物联网设备中的漏洞检测模块执行。例如漏洞检测模块可以自行确定第一组件，并访问第一漏洞库查找对应的漏洞触发信息，以调用漏洞函数。

可选地，在本申请实施例中的组件，可以包括物联网设备中的开源组件。

可选地，第一漏洞库用于存储与多个组件分别对应的多个漏洞触发信息。该多个组件可以包括存在漏洞风险的组件。示例性地，该第一漏洞库可以是如图1所示的专用漏洞库，其中的组件信息和漏洞触发信息是基于公共漏洞库和源代码库得到的。

可选地，第一漏洞库具体可以用于存储于多个组件分别对应的漏洞的描述信息，并存储各漏洞对应的漏洞触发信息。基于此，在上述步骤S220中，可以先在第一漏洞库中查找第一组件对应的漏洞的描述信息，再基于该漏洞的描述信息得到对应的漏洞触发信息。

可选地，第一组件可以包括物联网设备中的任一组件，也可以包括物联网设备中特定的组件，例如存在漏洞风险的组件。

例如，物联网设备中的漏洞检测模块可以周期性地对物联网设备中的任一组件进行漏洞检测，将该组件的标识信息例如名称、版本号等发送至服务装置，服务装置查找第一漏洞库中是否存在该组件的相关信息。若不存在，则认为该组件不存在漏洞；若存在，则将该组件的漏洞触发信息返回漏洞检测模块，以使漏洞检测模块触发该组件调用漏洞函数，根据漏洞函数的返回结果确定漏洞是否真实存在。

又例如，物联网设备中的漏洞检测模块可以通过访问预先构建的组件特征库，例如基于漏洞涉及的组件的源代码构建的组件特征库，通过将物联网设备中的组件的识别特征与组件特征库中的各组件的识别特征进行比对，确定物联网设备中是否包含组件特征库中的某个组件，该组件即物联网设备中存在漏洞风险的组件。若包含，则将该组件的标识信息发送至服务装置，服务装置查找第一漏洞库中该组件的漏洞触发信息，并将该组件的漏洞触发信息返回漏洞检测模块，以使漏洞检测模块触发该组件调用漏洞函数，根据漏洞函数的返回结果确定漏洞是否真实存在。

可选地，上述漏洞函数包括组件中与漏洞相关的函数，可以通过对组件的源代码以及公用漏洞库提供的漏洞信息例如漏洞补丁等进行分析而确定。

可选地，上述漏洞触发信息可以包括该漏洞函数、用于触发该漏洞函数的函数参数以及预设返回值。其中，该函数参数可以是通过对组件的源代码以及公用漏洞库提供的漏洞信息进行分析而确定的引发漏洞的函数参数。该预设返回值可以是基于上述函数参数和漏洞导致的函数返回值，可以通过对组件的源代码以及公用漏洞库提供的漏洞信息进行分析而确定。如果该预设返回值与实际应用中基于上述函数参数调用漏洞函数得到的返回值相同，则可以认为第一组件存在漏洞；如果该预设返回值与实际应用中基于上述函数参数调用漏洞函数得到的返回值不同，则可以认为组件不存在漏洞。也就是说，函数参数用于在第一组件中调用漏洞函数，以得到漏洞函数的返回值。预设返回值用于与漏洞函数的返回值进行比对，以确定第一组件是否存在漏洞。

可以看到，根据上述方法，可以预先构建用于存储组件的漏洞触发信息的第一漏洞库，针对物联网设备包含的第一组件，通过在第一漏洞库中查找对应的漏洞触发信息，以利用第一组件对应的漏洞触发信息触发第一组件调用漏洞函数来确定组件是否真实存在漏洞，避免因IoT设备的碎片化场景特点导致漏洞误检，从而提升了漏洞检测结果的准确度。

可选地，本申请实施例还提供上述第一漏洞库的运维方式。具体地，上述方法还可以包括：

在第二漏洞库中读取漏洞信息，确定与漏洞相关的第二组件；

基于漏洞信息以及第二组件的源代码，确定第二组件的漏洞触发信息；

将第二组件的标识信息与漏洞触发信息存储于第一漏洞库中。

上述步骤可以由服务装置执行，或者由包含服务装置的IoT设备漏洞运维框架执行。该框架对接第二漏洞库和源代码库，并输出信息存储于第一漏洞库。

其中，第二漏洞库可以是公共漏洞库，例如CVE，包括NVD(National Vulnerability Database，美国国家通用漏洞库)、CNNVD(China National Vulnerability Database of Information，中国国家信息安全漏洞库)、CNVD(China National Vulnerability Database，国家信息安全漏洞共享平台)等。

第二漏洞库中的漏洞信息，可以包括存在漏洞风险的组件、组件的版本信息、漏洞补丁等。在一些场景中，漏洞信息还可以包括对漏洞的具体描述、引发漏洞的原因等。

在本申请实施例中，第二组件为基于第二漏洞库中的漏洞信息确定的与漏洞相关的组件。在确定第二组件后，可以从源代码库中获取第二组件的源代码，并基于漏洞信息例如漏洞补丁、引发漏洞的原因等信息以及源代码进行分析，从而确定第二组件的漏洞触发信息，包括第二组件中的漏洞函数以及引发漏洞的函数参数、预设返回值等。将上述漏洞触发信息存储于第一漏洞库，则当物联网设备需要排查漏洞风险时，可以通过访问第一漏洞库找到相关组件的漏洞触发信息，以确定在物联网设备的组件是否真实存在漏洞。

如前述说明，在本申请的一些实施例中，还提出采用与设备系统、架构无关的识别特征，识别物联网设备中的组件，以克服物联网碎片化场景中多运行系统、多架构、编译条件多样、软件裁剪的特点对组件识别带来的影响。示例性地，图3示出了根据本申请另一实施例的漏洞信息处理方法，该方法可以由图1所示的服务装置执行，或者由包含服务装置的IoT组件特征运维框架执行，但不仅限于此。该方法包括：

S310、在第一漏洞库中读取第三组件的标识信息，基于标识信息获取与第三组件的多个版本分别对应的多个源代码；

S320、基于多个源代码，得到多个二进制文件；

S330、对多个二进制文件分别进行解析，得到与多个二进制文件分别对应的多个不变量集合；

S340、基于多个不变量集合，得到第三组件的至少一个组件识别特征；其中，至少一个组件识别特征用于识别物联网设备是否包含第三组件。

示例性地，上述第三组件可以包括第一漏洞库中的任一组件，例如，第三组件可以表示第一漏洞库中的每一个组件。可以看到，上述实施例给出了确定第三组件的至少一个组件识别特征的步骤。基于各组件的识别特征，可以构建和维护组件特征库，从而使得物联网设备中的漏洞检测模块可以通过访问组件特征库，识别物联网设备中的组件。

在上述方法中，可以通过访问源代码库获取与第三组件的多个版本分别对应的多个源代码。其中，该源代码库可以是开源社区仓库，也可以是本地源代码库。示例性地，可以根据第一漏洞库提供的与漏洞相关的组件列表，周期性地访问开源社区仓库，拉取第一漏洞库中的各组件的源代码，构建出本地源代码库。进一步地，可以基于源代码和主流的系统架构编译出对应的二进制文件，可选地，还可以构建二进制文件仓库以存储二进制文件。

示例性地，对二进制文件进行解析得到的不变量集合，可以包括一个或多个不变量。在本申请实施例中，不变量可以指从源代码编译至二进制文件的过程中始终存在的字段信息。由于物联网具有多架构、多系统等碎片化特点，而不同的CPU架构、操作系统、编译优化选项会导致即使是同一个源代码，最终编译生成的二进制文件之间也具有较大的差异，因此，基于不变量集合得到组件的组件识别特征，可以提升识别准确度。示例性地，不变量集合可以包括常量字符串、常量数值、函数列表、函数参数列表等。

根据上述方法，针对第三组件的多个版本中的每个版本，会依次确定对应的源代码、二进制文件、不变量集合，从而得到多个版本对应的多个不变量集合。实际应用中，可以通过对多个不变量集合进行计算，以对不变量进行筛选、优化，得到最终的组件识别特征。具体地，基于多个不变量集合得到组件识别特征，有多种可选的实施方式。以下提供几个示例，可以理解，本领域技术人员可以选择其中一个或多个示例的方式得到第三组件的组件识别特征。

示例1：

步骤S340、基于多个不变量集合，得到第三组件的至少一个组件识别特征，包括：基于多个不变量集合的交集，得到第三组件的第一组件识别特征。

由于不变量集合的交集，体现了第三组件的多个版本共有的不变量，因此基于该交集能够得到准确的组件识别特征。

可选地，可以直接多个不变量集合的交集作为上述第一组件识别特征，也可以对该交集进行预定处理后作为上述第一组件识别特征。例如，在多个不变量集合的交集中剔除组件覆盖度大于第一阈值的不变量，得到第三组件的第一组件识别特征。

其中，可以通过对从多个组件的二进制文件中解析到的不变量进行统计，得到某个不变量的组件覆盖度。具体地，组件覆盖度用于表征包含该不变量的组件的数量相对所有组件的数量的占比。例如，可以针对不变量在二进制文件库中各文件中的出现次数进行统计，得到组件覆盖度。

根据上述示例，在上述交集中剔除组件覆盖度大于第一阈值的不变量，从而避免了不具有个性化特征的不变量对识别效果的影响，可以进一步提升识别准确度。

示例2：

步骤S340、基于多个不变量集合，得到第三组件的至少一个组件识别特征，包括：基于多个不变量集合之间的相似度，得到第三组件的第二组件识别特征。

示例性地，可以直接采用第三组件的多个版本对应的多个不变量集合之间的相似度，作为第三组件的一个组件识别特征，并存储于组件特征库中。

其中，多个不变量集合之间的相似度，表征第三组件的多个版本之间的相似度，可以包括多个不变量集合两两之间的相似度，也可以包括多组不变量集合之间的相似度，其中，每组不变量组合包括两个不变量集合，且每组不变量集合可以基于预设规则从上述多个不变量集合中选取。

采用同一组件的不同版本的不变量集合之间的相似度作为组件识别特征，可以方便存储和加快组件识别速度。

示例3：

步骤S340、基于多个不变量集合，得到第三组件的至少一个组件识别特征，包括：基于多个不变量集合中的特定字符串，构建正则表达式，将正则表达式作为第三组件的第三组件识别特征。

在一些组件中，其二进制文件中的特定字符串包含了该组件的名称和版本信息，基于这些特定字符串可以构建出直接识别组件的正则表达式，这些正则表达式可作为一种识别特征，提高组件的识别率和识别速度。

在本申请的一些实施例中，还提出利用上述不变量集合，对组件版本进行识别。具体地，上述漏洞信息处理方法还可以包括：

基于多个不变量集合，得到多个版本中的第一版本的至少一个版本识别特征；其中，至少一个版本识别特征用于在物联网设备包含第三组件的情况下，识别第三组件的版本。

其中，第一版本可以是第三组件的任一版本，或者，第一版本可以代表第三组件中的每个版本，即针对每个版本，均可以利用上述组件的多个不变量集合，得到至少一个版本识别特征。

基于多个不变量集合得到版本识别特征，有多种可选的实施方式。以下提供几个示例，可以理解，本领域技术人员可以选择其中一个或多个示例的方式得到第三组件的第一版本的组件识别特征。

示例4：基于多个不变量集合，得到多个版本中的第一版本的至少一个版本识别特征，包括：确定多个不变量集合中的第一不变量集合与多个不变量集合中的其他不变量集合之间的差集，基于该差集，得到第一版本的第一版本识别特征。

其中，第一不变量集合为多个不变量集合中与第一版本对应的不变量集合。

示例性地，上述其他不变量集合可以包括多个不变量集合中除第一不变量集合以外的所有不变量集合；或者，包括第一版本的前N个版本对应的不变量集合，N为大于或等于 1的整数。例如，第一不变量集合与其他不变量集合之间的差集，可以包括第一不变量集合与其他所有不变量集合整体之间的差集，该差集仅包含第一不变量集合所特有的不变量，因此，基于该差集可以准确识别第一不变量集合所对应的第一版本。又例如，第一不变量集合与其他不变量集合之间的差集，可以包括第一版本的前一个版本对应的不变量集合。由于在技术更新迭代的过程中，往往是在前一版本的基础上增加算法函数，因此，基于前一版本对应的不变量集合计算上述差集，可以提高效率。

可选地，可以直接将该差集作为第一版本的版本识别特征，也可以对该差集进行预定处理得到第一版本的版本识别特征。例如，基于该差集，得到第一版本的第一版本识别特征，包括：在差集中剔除出现频次大于第二阈值的不变量，得到第一版本的第一版本识别特征。

其中，可以通过对从多个组件的二进制文件中解析到的不变量进行统计，得到某个不变量的出现频次。具体地，出现频次用于表征该不变量在所有组件中的出现次数。例如，可以针对不变量在二进制文件库中各文件中的出现次数进行统计，得到该出现频次。其中，不变量在同一组件的不同版本中出现多次，在出现频次中可以只记为一次。

根据上述示例，在上述差集中剔除出现频次大于第一阈值的不变量，从而避免了不具有个性化特征的不变量对识别效果的影响，可以进一步提升识别准确度。

示例5：基于多个不变量集合，得到多个版本中的第一版本的至少一个版本识别特征，包括：基于第一不变量集合与其他不变量集合之间的相似度，得到第一版本的第二版本识别特征。

示例性地，可以直接采用第一版本对应的第一不变量集合与其他不变量集合之间的相似度，作为第一版本的一个版本识别特征，并存储于组件特征库中。

其中，第一不变量集合与其他不变量集合之间的相似度，可以包括第一不变量集合与其他每个不变量集合之间的相似度。示例性地，该相似度可以基于向量表示，向量中的每个元素对应于一个不变量集合，每个元素表征第一不变量集合与元素对应的不变量集合之间的相似度。

采用不变量集合之间的相似度作为版本识别特征，可以方便存储和加快组件识别速度。

示例6：基于多个不变量集合，得到多个版本中的第一版本的至少一个版本识别特征，包括：基于第一不变量集合中的特定字符串，构建正则表达式，将正则表达式作为第一版本的第三版本识别特征。

在一些组件中，其二进制文件中的特定字符串包含了组件的版本信息，基于这些特定字符串可以构建出直接识别版本的正则表达式，这些正则表达式可作为一种识别特征，提高组件版本的识别率和识别速度。

通过以上说明，可以针对第一漏洞库中的各组件，均获得其对应的组件识别特征以及版本识别特征，从而可便于物联网设备中的漏洞检测模块基于这些识别特征与物联网设备中的组件的识别特征进行比对，识别物联网设备中的组件以及版本。

示例性地，图4示出了根据本申请另一实施例的漏洞信息处理方法，该方法可以由物联网设备中的漏洞检测模块执行，但不仅限于此。该方法可以包括：

S410、确定物联网设备包含的第一组件；

S420、向服务装置发送第一组件的标识信息，以获取服务装置在第一漏洞库中查找的与第一组件对应的漏洞触发信息；

S430、基于漏洞触发信息触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞。

上述方法中的技术细节可以参考前述实施例实现，在此不一一进行赘述。

可选地，漏洞触发信息可以包括：漏洞函数、用于触发漏洞函数的函数参数以及预设返回值。相应地，步骤S430、基于漏洞触发信息触发第一组件调用漏洞函数，以确定第一组件是否存在漏洞，可以包括：

基于该函数参数触发第一组件调用漏洞函数，得到漏洞函数的返回值；

对漏洞函数的返回值与预设返回值进行比对，以确定第一组件是否存在漏洞。

其中，若漏洞函数的返回值与预设返回值一致，则确定第一组件存在漏洞；若漏洞函数的返回值与预设返回值不一致，则确定第一组件不存在漏洞。

可选地，在步骤S430之前，可以先对第一组件是否包含该漏洞函数进行判断，若第一组件不包含该漏洞函数，则可以直接确定第一组件不存在该漏洞。若第一组件包含该漏洞参数才执行上述步骤S430进行进一步判断。

可选地，上述步骤S410，确定物联网设备包含的第一组件，可以包括：

获取物联网设备的组件二进制文件对应的识别特征；

基于识别特征，确定物联网设备包含的第一组件和/或第一组件的版本。

具体地，在获取物联网设备本身的组件二进制文件对应的识别特征后，可以通过访问组件特征库，对组件二进制文件对应的识别特征和多个组件的识别特征进行比对或计算，识别出物联网设备包含的组件。这里，识别特征可以包括组件识别特征和/或版本识别特征，相应地，识别得到的信息可以包括组件和/或组件版本。

示例性地，获取物联网设备的组件二进制文件对应的识别特征，包括：

获取物联网设备的组件二进制文件的标识信息；

基于组件二进制文件的标识信息，从云端下载组件二进制文件对应的识别特征。

这里，组件二进制文件对应的标识信息，可以包括二进制文件的名称和/或路径。该组件二进制文件可以包括一个组件的多个版本的二进制文件。相应地，基于组件二进制文件的标识信息，可以从云端下载多个版本的二进制文件对应的识别特征。该识别特征可以包括组件二进制文件对应的组件识别特征和/或每个版本的版本识别特征，或者，从该识别特征可以解析出组件二进制文件对应的组件识别特征和/或每个版本的版本识别特征，从而利用组件识别特征识别出物联网设备中的组件，再利用版本识别特征识别出组件的具体版本。

示例性地，上述基于识别特征，确定物联网设备包含的第一组件和/或第一组件的版本，包括：

基于物联网设备的组件二进制文件对应的至少一个组件识别特征，以及预先存储的多个组件中每个组件的至少一个组件识别特征，在多个组件中确定出物联网设备包含的第一组件。

其中，上述至少一个组件识别特征可以参考前述示例1-3实现。具体地，可以针对每个组件识别特征分别预设一个条件，当上述多个组件中的第i个组件的每个组件识别特征均满足条件的情况下，可以确定物联网设备包含该第i个组件，即第i个组件为第一组件。其中，i为大于或等于1的整数。

对于包含至少一个不变量的第一组件识别特征，可以利用设备对应的第一组件识别特征和第i个组件的第一组件识别特征的交集，与第i个组件的第一组件识别特征进行比较，若交集中的元素数量相对第i个组件的第一组件识别特征的元素数量的占比大于第三阈值，则认为满足条件。

对于包含相似度值的第二组件识别特征，可以利用设备对应的第二组件识别特征和第i个组件的第二组件识别特征的差值，与第四阈值进行比较，若该差值小于第四阈值，则认为满足条件。

对于包含正则表达式的第三组件识别特征，可以直接或间接确定组件二进制文件中是否包含特定字符串，若包含，则认为满足条件。

类似地，在物联网设备包含第一组件的情况下，上述基于识别特征，确定物联网设备包含的第一组件和/或第一组件的版本，包括：

基于物联网设备的组件二进制文件对应的至少一个版本识别特征，以及第一组件的每个版本的至少一个版本识别特征，确定物联网设备中的第一组件的版本。

其中，上述至少一个版本识别特征可以参考前述示例1-4实现。具体地，可以针对每个版本识别特征分别预设一个条件，当上述多个版本中的第j个版本的每个版本识别特征均满足条件的情况下，可以确定物联网设备中的第一组件的版本为第j个版本。其中，j为大于或等于1的整数。

对于包含至少一个不变量的第一版本识别特征，可以利用设备对应的第一版本识别特征和第j个版本的第一版本识别特征的交集，与第j个版本的第一版本识别特征进行比较，若交集中的元素数量相对第j个版本的第一版本识别特征的元素数量的占比大于第三阈值，则认为满足条件。

对于包含相似度值的第二版本识别特征，可以利用设备对应的第二版本识别特征和第j个版本的第二版本识别特征的差值，与第四阈值进行比较，若该差值小于第四阈值，则认为满足条件。

对于包含正则表达式的第三版本识别特征，可以直接或间接确定组件二进制文件中是否包含特定字符串，若包含，则认为满足条件。

上述识别过程可以采用基于物联网设备中的漏洞检测模块构成的IoT设备组件数据采集与组件识别框架实现。可以看到，在本申请实施例的一些应用过程中，物联网设备与服务装置可以形成漏洞信息的处理系统，该系统基于服务装置与各数据库的连接，以及服务装置与物联网设备中的漏洞检测模块之间的交互，提供IoT设备漏洞运维框架、IoT设备组件特征运维框架、IoT设备组件数据采集与组件识别框架、IoT设备漏洞识别框架等功能框架，从多方面提升漏洞检测的准确度，且不受设备的系统、架构限制。为了更清楚地呈现本申请的技术思路，下面从这几个框架的角度提供一个具体的应用示例。

图5示出了本应用示例中漏洞信息的处理系统的结构框图。如图5所示，IoT设备漏洞运维框架可获取公开的漏洞信息，并解析出漏洞与组件的关系、漏洞影响的函数等，将解析信息存储于其构建的第一漏洞库中。IoT设备组件特征运维框架分析受漏洞影响的组件的二进制文件构建出组件的识别特征，将识别特征存储于其构建的组件特征库中。IoT设备组件数据采集与组件识别框架使用设备上预置的安全Agent(安全代理模块，即上述漏洞检测模块)采集设备系统文件并根据组件的识别特征识别出具体的组件和版本，得到IoT设备组件列表。IoT设备漏洞识别框架根据IoT设备组件列表从第一漏洞库中获取漏洞触发信息，并利用设备预置的安全Agent判断漏洞的有效性，并给出最终的漏洞识别结果，即IoT设备漏洞列表。

图6示出了系统中IoT设备漏洞运维框架的结构框图。如图6所示，该框架从公共漏洞库例如NVD、CNNVD、CNVD等采集漏洞信息，解析出漏洞与组件的对应关系，并存储于第一漏洞库中；并从开源社区仓库采集组件源代码，构建本地组件源代码仓库。基于从本地组件源代码仓库获取的源代码，结合第一漏洞库中的漏洞补丁，分析出漏洞所影响的组件的函数，并分析出函数参数与漏洞的关系，如输入特定参数给漏洞函数，漏洞函数返回特定结果即表示该漏洞存在。分析结果也存放于第一漏洞库中。则基于该框架构建的第一漏洞库包含漏洞的描述、漏洞与组件及版本的对应关系、漏洞与组件函数的对应关系、触发漏洞的函数参数及预设返回值。

图7示出了系统中IoT设备组件特征运维框架的结构框图。在IoT场景中会面临多种多样的系统、体系架构，但最终设备中的二进制文件都会存在一定的不变量，如常量字符串、常量数值、函数列表、函数参数列表等，组件的这些不变量的集合就可以唯一的表征该组件，其中的子集就可以表征该组件的各个版本，甚至有些不变量会直接包含组件及版本信息。

本应用示例中，组件的识别特征包含三个层次和多个维度。第一个层次是指二进制文件与组件的包含关系，根据二进制文件的名称即可以粗略分析出其组件信息；第二个层次是指根据二进制文件的不变量特征可准确识别到组件名称；第三个层次是指根据二进制文件的不变量特征可准确识别出其属于组件的哪个版本。多个维度是指表征组件的特定不变量组合、表征组件的相似度值、表征组件版本的特定不变量组合、可匹配出组件版本的特定字符串等。

如图7所示，该框架基于IoT设备漏洞运维框架构建的第一漏洞库，分析出漏洞涉及的组件列表，从开源社区仓库周期性的拉取组件列表中各组件的源代码，构建出本地的组件源代码仓库，基于主流的系统架构编译出组件二进制文件，构建了组件二进制仓库。

基于二进制文件仓库，首先构建了组件与二进制关系仓库，其次解析出不同系统架构下所有组件文件中的不变量，构建组件不变量仓库，基于该仓库计算每个不变量的组件覆盖度c和出现频次f，并设定覆盖度的阈值为C，设定出现频次的阈值为F。将组件不同版本的不变量集合的交集作为组件的原始特征，剔除覆盖度阈值大于C的不变量即构成组件识别的不变量特征，即第一组件识别特征。为方便存储和加快组件识别速度，还可计算组件不同版本不变量的相似度值，如simhash(相似哈希)等作为组件的第二组件识别特征。将组件不同版本间不变量的差集作为组件版本的原始特征，剔除出现频次大于F的不变量即构成组件版本识别的不变量特征，即第一版本识别特征。在大部分的组件中，有些特定的不变量中包含了该组件的名称和当前的版本，基于该不变量可构建出直接识别组件及版本的正则表达式，这些正则表达式特征可作为组件特征的补充，例如作为第三组件识别特征、第三版本识别特征，进一步提高组件的识别率和识别速度。基于此，构建了识别组件的特征仓库、识别组件版本的特征仓库、识别组件与版本的正则表达式特征仓库。

在使用组件/版本不变量特征时，需要设定特征识别的阈值S1。基于该阈值，若满足：则该二进制文件可识别为该组件的该版本。使用组件版本的不变量相似度特征时，需要设定特征识别的相似度S2。基于该阈值，若满足：待识别二进制不变量集合的相似度与组件版本的不变量相似度之间的差值<S2，则该二进制文件可识别为组件的该版本。使用组件版本的正则表达式特征时，使用正则表达式可直接或间接从二进制文件的不变量中解析组件及版本。

图8示出了系统中IoT设备组件数据采集与组件识别框架的结构框图。该框架利用运行于IoT设备中的安全Agent扫描设备二进制文件的名称和路径，从云端下载相应文件的组件识别特征，然后解析出二进制文件中的不变量，利用组件特征识别出组件名称，再利用组件版本的特征识别出组件的具体版本。

在识别过程中使用的安全Agent是运行于IoT设备中的安全信息采集工具，可集成编译到设备固件中，也可后装到设备中。该工具运行于设备中可采集设备的静态及运行时信息。

在组件识别过程中，因采用的是设备系统、架构无关的不变量，所以不受设备具体运行系统、架构的影响。组件及不同版本的不变量特征可在组件被裁减的情况下仍然能够提供较高的识别率，适合于IoT这种碎片化、设备资源紧张的场景中。

图9示出了系统中IoT设备漏洞识别框架的结构框图。该框架根据识别出的组件的名称、版本列表，在第一漏洞库中查询获取组件漏洞列表，然后利用安全Agent实时调用漏洞函数判断漏洞是否真实存在。

具体而言，一方面，如图9所示，第一漏洞库中记录了组件与漏洞的对应关系，那么使用识别出的组件名称及版本信息即可查询出组件存在的漏洞。

另一方面，第一漏洞库中记录了漏洞影响的函数及漏洞触发条件，那么使用安全Agent 在设备中实际调用相关函数，根据函数返回值即可判断漏洞是否真实存在。具体来说又分为几个维度：

1.漏洞相关的函数不存在，则漏洞不存在；

2.漏洞相关的函数存在，且采用漏洞触发参数调用该函数，函数的返回值不符合漏洞对应的结果，则说明该漏洞已经被修复；

3.漏洞相关的函数存在，且采用漏洞触发参数调用该函数，函数的返回值符合漏洞对应的结果，则说明该漏洞未被修复，该设备有被利用该漏洞入侵的可能性。

通过调用函数，安全Agent返回漏洞判定结果，并得到组件真实漏洞列表。

可以看到，根据本申请实施例，可以预先构建用于存储组件的漏洞触发信息的第一漏洞库，针对物联网设备包含的第一组件，通过在漏洞库中查找对应的漏洞触发信息，以利用第一组件对应的漏洞触发信息触发第一组件调用漏洞函数来确定组件是否真实存在漏洞，避免因IoT设备的碎片化场景特点导致漏洞误检，从而提升了漏洞检测结果的准确度。

本申请实施例还提供了一种用于实现上述方法的电子设备。该电子设备例如是上述服务装置或物联网设备中的漏洞检测模块。图10示出根据本申请实施例的电子设备的结构框图。如图10所示，该电子设备包括：存储器1010和处理器1020，存储器1010内存储有可在处理器1020上运行的计算机程序。处理器1020执行该计算机程序时实现上述实施例中的漏洞信息处理方法。存储器1010和处理器1020的数量可以为一个或多个。

该电子设备还包括：

通信接口1030，用于与外界设备进行通信，进行数据交互传输。

如果存储器1010、处理器1020和通信接口1030独立实现，则存储器1010、处理器1020和通信接口1030可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器1010、处理器1020及通信接口1030集成在一块芯片上，则存储器1010、处理器1020及通信接口1030可以通过内部接口完成相互间的通信。

本申请实施例还提供一种物联网设备，包括上述漏洞检测模块。

本申请实施例还提供一种计算机可读存储介质，其存储有计算机程序，该程序被处理器执行时实现本申请任一实施例中提供的方法。

本申请实施例还提供一种计算机程序产品，其包括计算机程序，该计算机程序在被处理器执行时实现本申请任一实施例中提供的方法。

本申请实施例还提供了一种芯片，该芯片包括，包括处理器，用于从存储器中调用并运行存储器中存储的指令，使得安装有芯片的通信设备执行本申请实施例提供的方法。

本申请实施例还提供了一种芯片，包括：输入接口、输出接口、处理器和存储器，输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连，处理器用于执行存储器中的代码，当代码被执行时，处理器用于执行申请实施例提供的方法。

应理解的是，上述处理器可以是中央处理器(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是，处理器可以是支持进阶精简指令集机器(Advanced RISC Machines，ARM)架构的处理器。

进一步地，可选的，上述存储器可以包括只读存储器和随机存取存储器，还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以包括只读存储器(Read-only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以包括随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用。例如，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic Random Access Memory，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Sync Link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。

应理解的是，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到其各种变化或替换，这些都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

一种漏洞信息处理方法，包括：

确定物联网设备包含的第一组件；

在第一漏洞库中查找所述第一组件对应的漏洞触发信息；其中，所述漏洞触发信息用于触发所述第一组件调用漏洞函数，以确定所述第一组件是否存在漏洞。
根据权利要求1所述的方法，其中，所述漏洞触发信息包括所述漏洞函数、用于触发所述漏洞函数的函数参数以及预设返回值；

所述函数参数用于在所述第一组件中调用所述漏洞函数，以得到所述漏洞函数的返回值；

所述预设返回值用于与所述漏洞函数的返回值进行比对，以确定所述第一组件是否存在漏洞。
根据权利要求1所述的方法，其中，所述方法还包括：

在第二漏洞库中读取漏洞信息，确定与漏洞相关的第二组件；

基于所述漏洞信息以及所述第二组件的源代码，确定所述第二组件的漏洞触发信息；

将所述第二组件的标识信息与所述漏洞触发信息存储于所述第一漏洞库中。
根据权利要求1所述的方法，其中，所述方法还包括：

在第一漏洞库中读取第三组件的标识信息，基于所述标识信息获取与所述第三组件的多个版本分别对应的多个源代码；

基于所述多个源代码，得到多个二进制文件；

对所述多个二进制文件分别进行解析，得到与所述多个二进制文件分别对应的多个不变量集合；

基于所述多个不变量集合，得到所述第三组件的至少一个组件识别特征；其中，所述至少一个组件识别特征用于识别所述物联网设备是否包含所述第三组件。
根据权利要求4所述的方法，其中，所述基于所述多个不变量集合，得到所述第三组件的至少一个组件识别特征，包括以下步骤中的至少之一：

在所述多个不变量集合的交集中剔除组件覆盖度大于第一阈值的不变量，得到所述第三组件的第一组件识别特征；

基于所述多个不变量集合之间的相似度，得到所述第三组件的第二组件识别特征；

基于所述多个不变量集合中的特定字符串，构建正则表达式，将所述正则表达式作为所述第三组件的第三组件识别特征。
根据权利要求5所述的方法，其中，所述方法还包括：

基于所述多个不变量集合，得到所述多个版本中的第一版本的至少一个版本识别特征；其中，所述至少一个版本识别特征用于在所述物联网设备包含所述第三组件的情况下，识别所述第三组件的版本。
根据权利要求6所述的方法，其中，所述基于所述多个不变量集合，得到所述多个版本中的第一版本的至少一个版本识别特征，包括以下步骤中的至少之一：

确定所述多个不变量集合中的第一不变量集合与所述多个不变量集合中的其他不变量集合之间的差集，并在所述差集中剔除出现频次大于第二阈值的不变量，得到所述第一版本的第一版本识别特征；

基于所述第一不变量集合与所述其他不变量集合之间的相似度，得到所述第一版本的第二版本识别特征；

基于所述第一不变量集合中的特定字符串，构建正则表达式，将所述正则表达式作为所述第一版本的第三版本识别特征；

其中，所述第一不变量集合为所述多个不变量集合中与所述第一版本对应的不变量集合。
一种漏洞信息处理方法，包括：

确定物联网设备包含的第一组件；

向服务装置发送所述第一组件的标识信息，以获取所述服务装置在第一漏洞库中查找的与所述第一组件对应的漏洞触发信息；

基于所述漏洞触发信息触发所述第一组件调用漏洞函数，以确定所述第一组件是否存在漏洞。
根据权利要求8所述的方法，其中，所述确定物联网设备包含的第一组件，包括：

获取物联网设备的组件二进制文件对应的识别特征；

基于所述识别特征，确定所述物联网设备包含的第一组件和/或所述第一组件的版本。
根据权利要求8或9所述的方法，其中，所述获取物联网设备的组件二进制文件对应的识别特征，包括：

获取所述物联网设备的组件二进制文件的标识信息；

基于所述组件二进制文件的标识信息，从云端下载所述组件二进制文件对应的识别特征。
一种服务装置，包括存储器、处理器及存储在存储器上的计算机程序，所述处理器在执行所述计算机程序时实现权利要求1-7中任一项所述的方法。
一种漏洞检测模块，用于设置于物联网设备中，所述漏洞检测模块包括存储器、处理器及存储在存储器上的计算机程序，所述处理器在执行所述计算机程序时实现权利要求8-10中任一项所述的方法。
一种物联网设备，包括如权利要求12所述的漏洞检测模块。
一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-10中任一项所述的方法。