[发明专利]应用改进的马氏距离计算方法进行固件漏洞检测的方法及系统

权利要求书

1.一种应用改进的马氏距离计算方法进行固件漏洞检测的方法，其特征在于，包括以下步骤：

步骤1：提取固件中漏洞函数和待检测固件中目标函数特征；

步骤2：初始选取定量同类型漏洞函数，并计算同类型漏洞函数的特征向量，组成初始样本矩阵，并计算初始样本矩阵的协方差矩阵；

步骤3：根据新加入的待检测函数样本，更新协方差矩阵，利用更新后的协方差矩阵计算目标样本与基础样本之间的距离，在计算过程中，假设所有检测出的漏洞函数与已知的漏洞函数同分布，则最终该分布内所有维度的均值将趋向于已知的漏洞函数特征向量，用漏洞函数的特征向量代替均值以避免均值的计算；最终计算出的距离

其中表示已知的漏洞函数特征向量，表示待检测的函数特征向量，表示利用待检测函数特征向量更新后的协方差矩阵，表示最终计算出的距离；

步骤4：对于计算出的距离，根据定义的阈值判断待计算的样本属于正样本还是负样本，正样本表示待检测函数检测为漏洞函数，负样本表示待检测函数为非漏洞函数，根据判断出的结果重新对协方差矩阵进行更新。

2.根据权利要求1所述的应用改进的马氏距离计算方法进行固件漏洞检测的方法，其特征在于，步骤2中，还包括步骤：预先获取已知的漏洞函数的特征样本分布，计算特征样本分布的协方差矩阵，协方差矩阵内元素计算公式如下：

公式中cov(x，y)表示在所有的n个样本中，第x维度和第y维度之间的协方差值；n表示样本量大小，X_i表示第x维中第i个样本的值；Y_i表示第y维中第i个样本的值；表示该维度所有样本的均值。

3.据权利要求2所述的应用改进的马氏距离计算方法进行固件漏洞检测的方法，其特征在于，步骤3中，将协方差矩阵内元素的计算公式改进为：

用漏洞函数的特征值代替均值可免均值的计算，即：

获得新的协方差矩阵内元素计算公式：

COV(X，Y)ⁿ，COV(X，Y)ⁿ⁺¹分别表示第n次和第n+1次计算中X维和Y维之间的协方差值，X_n+1表示新增的待检测函数特征向量X维的值，Y_n+1表示新增的待 检测函数特征向量Y维的值；x₁表示已知的漏洞函数特征向量第x维的值，x₂表示已知的漏洞函数特征向量第y维的值。

4.据权利要求3所述的应用改进的马氏距离计算方法进行固件漏洞检测的方法，其特征在于，步骤4中，

根据计算出来的最终值重新对协方差矩阵进行更新，具体的更新方式为：

令

ΔS表示针对当前待检测函数的协方差矩阵更新量；

若最终计算得：则判断当前待检测样本为正样本，且

若最终计算得：则判断当前待检测样本为负样本，且

其中S为步骤3中更新矩阵之前的协方差矩阵，threshold为经验预先定义的阈值。

5.据权利要求1所述的应用改进的马氏距离计算方法进行固件漏洞检测的方法，其特征在于，特征向量包括使用工具提取出该函数的代码量，函数使用的栈空间，反编译后汇编指令个数，函数结构图中各基本快到入口长度序列，调用的特殊字符串指令集。

6.一种应用改进的马氏距离计算方法进行固件漏洞检测的系统，其特征在于，包括：

目标函数特征提取模块，用于提取固件中漏洞函数和待检测固件中目标函数特征；

协方差矩阵模块，用于初始选取定量同类型漏洞函数，并计算同类型漏洞函数的特征向量，组成初始样本矩阵，并计算初始样本矩阵的协方差矩阵；

该协方差矩阵模块还用于根据新加入的待检测函数样本，更新协方差矩阵，利用更新后的协方差矩阵计算目标样本与基础样本之间的距离，在计算过程中，假设所有检测出的漏洞函数与已知的漏洞函数同分布，则最终该分布内所有维度的均值将趋向于已知的漏洞函数特征向量，用漏洞函数的特征向量代替均值以避免均值的计算；最终计算出的距离

表示已知的漏洞函数特征向量，表示待检测的函数特征向量，表示利其中用待检测函数特征向量更新后的协方差矩阵，表示最终计算出的距离；

待检测函数判断模块，用于对于计算出的距离，根据定义的阈值判断待计算的样本属于正样本还是负样本，正样本表示待检测函数检测为漏洞函数，负样本表示待检测函数为非漏洞函数，根据判断出的结果重新对协方差矩阵进行更新。