[发明专利]固件内部二进制程序脆弱性发现方法及装置

说明书

本发明提供了一种固件内部二进制程序脆弱性发现方法、装置、电子设备及存储介质，包括：收集漏洞报告，并确定关键字和存在漏洞的二进制程序名称；确定分析目标，并基于所述关键字和所述分析目标，确定关键字在二进制程序中直接使用位置和间接使用位置；建立二进制程序的程序控制流图，并确定二进制程序关系依赖图；提取潜在关键字，并根据潜在关键字确定满足条件的潜在关键字作为关键字；建立完备的二进制程序关系依赖图，基于所有二进制程序关系依赖图和所有所述关键字完成固件中二进制程序脆弱性发现。本发明能够有效和自动化地发现嵌入式设备固件中间接与用户交互的内部二进制程序实现过程中存在的漏洞。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种固件内部二进制程序脆弱性发现方法及装置。

背景技术

物联网设备在智能家居和工业生产中发挥着越来越重要的作用。据估计，到2025年，正在使用的物联网设备数量将达到16.44亿。物联网设备给现代生活带来便利和效率的同时，也带来了重大的网络安全隐患。Mirai僵尸网络、VPNFilter病毒和Stuxnet病毒已经证明了对现实世界的物联网设备攻击所能产生的影响。

主动发现物联网设备中的脆弱性并及时修复是应对风险重要的防护手段。固件是嵌入式设备运行的核心。其定义是“硬件设备和计算机指令或计算机数据的组合，这些指令或数据作为只读软件驻留在硬件设备上”。一般来说，一个固件包含约2000个组件(如二进制文件、脚本文件、HTML文件等)，并为嵌入式设备提供多种功能(如网络通信功能、设备专用功能等)。其中运行在物联网设备上的固件中的可执行二进制程序漏洞是攻击的根本原因，二进制程序漏洞严重影响设备的机密性、可用性和可靠性。

厂商通常不会在固件中公开可执行二进制文件的源代码。此外，可执行二进程程序的执行与底层硬件设计密切相关，因此，传统软件动态分析技术难以应用。而且动态分析受限于执行环境和具体测试用例，在实际使用中会存在很多漏报。而静态分析只关注于固件中单个二进制文件的分析，通过对二进制程序进行反汇编分析数据流或控制流来检查程序中的脆弱性。但是静态分析结果存在很高的误报率，因为检测到的脆弱点不一定是外部用户可控的。污点分析通过标识网络接收数据或文件读取数据为污点源，然后分析污点数据的传播是否存在危险操作。目前污点分析对与用户交互的二进程程序分析中取得不错得效果，但应用于固件其它二进制程序时会面临污点引入源未知而造成的漏报问题，以及污点数据约束收集和消毒处理不全面而导致的误报问题。

发明内容

针对现有技术中存在的问题，本发明实施例提供一种固件内部二进制程序脆弱性发现方法及装置。

第一方面，本发明实施例提供一种固件内部二进制程序脆弱性发现方法，包括：

S1、确定目标固件厂商，并收集与所述目标固件厂商相关的漏洞报告；

S2、根据所述漏洞报告进行匹配，确定关键字和存在漏洞的二进制程序名称；其中，所述关键字为与漏洞触发相关的变量名称；

S3、提取目标固件的文件系统，作为分析样本；

S4、基于所述二进制程序名称和所述分析样本进行匹配，确定与所述分析样本对应的文件系统中的二进制程序，并将所述二进制程序作为分析目标；

S5、基于所述关键字和所述分析目标，确定关键字在二进制程序中直接使用位置和间接使用位置；

S6、基于直接使用位置和间接使用位置，建立二进制程序的程序控制流图；

S7、基于所述程序控制流图，通过特征匹配确定二进制程序关系依赖图；

S8、基于所述程序控制流图，确定与所述关键字对应的潜在关键字；