[发明专利]物联网设备的固件版本探测方法及漏洞修复率评估方法

说明书

本发明公开一种物联网设备的固件版本探测方法及漏洞修复率评估方法，该探测方法包括：S1.获取固件镜像文件；S2.将各固件镜像文件解压后提取文件系统，并确定每个文件系统的Web根目录；S3.搜索Web静态资源，每个设备型号下分别提取各Web静态资源在各种固件版本中的特征值，构建对应的固件版本特征表；S4.获取所需设备类型的IP地址列表以及固件版本特征表，进行指纹扫描，提取出对应的指纹，识别得到设备的固件版本号；该评估方法包括获取目标漏洞的型号版本信息，根据上述探测方法的结果计算目标漏洞的修复率。本发明具有实现方法简单、探测精度及效率高以及可不触发漏洞实现漏洞修复率评估等优点。

技术领域

本发明涉及物联网设备技术领域，尤其涉及一种物联网设备的固件版本探测方法及漏洞修复率评估方法。

背景技术

随着物联网的发展，联网设备数量迅速增长，其种类多样、生产商繁多，由于设备存在漏洞，各类安全问题也频频发生。由于联网设备一般处于无人职守状态，因此即使发现漏洞，也不能及时得以修复，所以对联网设备，对其已知漏洞的修复率进行评估具有重要意义。若不进行版本探测，目前的传统方法是利用漏洞触发代码编写扫描程序，通过漏洞攻击测试来判断其修复情况，但在非授权条件下对他人的联网设备进行攻击性测试是违法行为，测试者很难得到大范围用户的集体授权，且即使已授权，测试者也需要针对所有固件版本编写漏洞触发与测试程序，非常费时费力，因此需要一种能够在线识别设备生产商、型号、固件版本号而无需触发漏洞的方法。

如针对最新公开的“零日”漏洞，还没有提供修复方案时，所有固件版本都受到影响，此时通过设备搜索引擎查找特定范围的漏洞型号设备，可直接评估该零日漏洞的影响力，但对于先前已经公开的漏洞，只有部分旧版本固件受到影响，因此就需要探测联网设备的固件版本号，从而判断漏洞是否已经修复，进而评估漏洞的影响力。

目前对于设备生产商和型号的在线识别已有成熟的技术和产品，而针对其固件版本号的识别还缺少有效的技术手段，但固件版本号却是判断设备是否存在漏洞的最关键信息，因而亟需提供一种能够实现固件版本探测而不会触发漏洞的方法。

现有技术中通常是通过设备搜索引擎实现在线物联网设备搜索，如经典的设备搜索引擎Shodan，能识别包括服务器、路由器、交换机、公共IP打印机、网络摄像头等计算设备，Censys能够更加快速的扫描整个互联网搜索所有联网设备，并返回一份有关资源(如设备、网站和证书)配置和部署信息；国内也有类似的搜索引擎，如FOFA可以从不同维度(如地区、端口号、网络服务等)搜索网络组件，ZoomEye可用于搜索网站组件和主机设备。

如上述的现有技术中设备在线搜索引擎，通常是通过访问设备开放的端口(如80，21)，获得相应服务(如http，ftp)的标旗信息，许多标旗信息中标注了设备的生产商和型号，但一般不会标注设备的固件版本号，因而现有技术中的设备搜索引擎只能识别联网设备的生产商和型号，无法识别设备所运行固件的版本号，即固件版本号，甚至对于有些设备，其生产商和型号信息是以图片而非文本格式存在的，而现有搜索引擎尚不具备图像语义识别能力，对于该类型设备的生产商和型号亦无法识别。

有从业者提出通过构建Web接口指纹来帮助识别固件的方法，即针对实际的物理设备或者是通过虚拟机上固件模拟得到的虚拟化设备，选取包括Web网站地图、HTTP有限状态机，基于HTML内容和HTTP头的加密哈希和模糊哈希作为固件特征，由构建的固件特征来帮助识别固件。但是该方案对Web接口的指纹提取必须依赖于固件仿真虚拟化设备，而现有的固件仿真技术只能成功仿真模拟大约10％的固件，因而是无法用到真实网络中的大规模的设备固件指纹识别中，即无法实现大规模在线识别联网设备固件版本号，且使用模拟设备进行测试，与真实设备的指纹可能并不一致，其实际探测精度并不高。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种实现方法简单、不会触发漏洞、可适用于大规模设备固件版本识别中，且探测精度及效率高的物联网设备的固件版本探测方法，以及实现方法简单、不会触发漏洞的漏洞修复率评估方法。