[发明专利]电力系统物联网固件多粒度漏洞相似性检测方法和装置

权利要求书

1.一种电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，包括：

获取待测固件的Hash值，并将所述待测固件的Hash值与存在已知漏洞的样本固件的Hash值进行比较，若相同，则认为所述待测固件存在所述已知漏洞；

若不同，则：

对所述待测固件进行文件集合提取得到文件集合Fs，将所述文件集合Fs中的目标文件Ff的Hash值与存在所述已知漏洞的样本文件的Hash值进行比较，若相同，则认为所述待测固件存在所述已知漏洞；

若不同，则：

提取所述文件集合Fs中的所述文件Ff的特征属性，并根据所述特征属性将所述文件Ff与所述样本文件进行相似度计算，根据所述相似度与第一阈值的比较，判断所述待测固件是否存在所述已知漏洞。

2.如权利要求1所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，所述方法进一步包括：

若所述文件Ff与所述样本文件的相似度低于所述第一阈值，则认为不存在所述已知漏洞。

3.如权利要求2所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，所述方法进一步包括：

若所述文件Ff与所述样本文件的相似度不低于所述第一阈值，则提取所述文件Ff的汇编代码，将所述文件Ff中的目标函数Fg与存在所述已知漏洞的样本函数进行相似度计算，若所述相似度不低于第二阈值，则认为所述待测固件存在所述漏洞，若低于所述第二阈值，则认为所述待测固件不存在所述已知漏洞。

4.如权利要求3所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，获取待测固件的Hash值，并将所述待测固件的Hash值与存在已知漏洞的样本固件的Hash值进行比较的步骤进一步包括：

首先提取所述待测固件的特征向量，根据所述特征向量将所述待测固件与存在所述已知漏洞的样本固件进行相似度计算，并将相似度计算结果降序输出，进一步按照所述降序计算所述待测固件的Hash值。

5.如权利要求4所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，按照所述降序计算所述待测固件的Hash值的步骤进一步包括：

按照所述降序通过散列函数计算所述待测固件的Hash值。

6.如权利要求3所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，对所述待测固件进行文件集合提取得到文件集合Fs的步骤进一步包括：使用binwalk、Firmware Mod Kit中任意一种工具对所述待测固件的文件进行提取，解压出所有的文件以组成所述文件集合Fs。

7.如权利要求6所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，将所述文件集合Fs中的目标文件Ff的Hash值与存在所述已知漏洞的样本文件的Hash值进行比较的步骤进一步包括：

依据所述样本文件名称和位置的描述，进行所述文件Ff的定位。

8.如权利要求7所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，所述文件Ff的特征属性包括文件名、文件路径、文件大小、文件类型、架构信息、文件注释、调试信息、文件静态常量中至少一种。

9.如权利要求8所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，提取所述文件Ff的汇编代码的步骤进一步包括：

通过IDA Pro、Ghidra中任意一种工具对所述文件Ff进行逆向分析，以提取所述文件Ff的汇编代码。

10.如权利要求9所述的电力系统物联网固件多粒度漏洞相似性检测方法，其特征在于，将所述文件Ff中的目标函数Fg与存在所述已知漏洞的样本函数进行相似度计算的步骤进一步包括：

依据所述样本函数名称和位置的描述，进行所述函数Fg的定位。