[发明专利]电力系统物联网固件多粒度漏洞相似性检测方法和装置

说明书

本发明属于物联网安全技术领域，公开一种电力系统物联网固件多粒度漏洞相似性检测方法和装置，其中方法包括：获取待测固件Hash值，并将待测固件Hash值与漏洞样本固件Hash值进行比较，若相同则认为待测固件存在漏洞；若不同则对待测固件进行提取得到文件集合Fs，将文件集合Fs中的目标文件Ff的Hash值与漏洞样本文件的Hash值进行比较，若相同则认为待测固件存在漏洞；若不同则提取文件Ff的特征属性，并根据特征属性将文件Ff与样本文件进行相似度计算，根据相似度与第一阈值的比较，判断待测固件是否存在已知漏洞。本发明的方法可以实现多架构的电力物联网设备固件的漏洞检测，降低检测分析工作量，有效提高检测效率。

技术领域

本发明涉及物联网安全技术领域，特别涉及一种电力系统物联网固件多粒度漏洞相似性检测方法和装置。

背景技术

随着物联网技术的迅速发展，物联网应用越来越广泛，全球已经进入了万物互联时代。其中，电力系统作为国家能源的关键基础设施，重要性不言而喻。海量电力物联网设备的引入促使电力系统信息化与智能化程度逐渐完善，在数据采集、电力控制、流程管理等功能上发挥重要作用，但同时也增加了网络攻击的新途径，引入了大量系统漏洞，对电力系统的正常运转产生威胁。

电力物联网设备的运转需要依赖底层的软硬件环境，其中最重要的就是物联网固件。若固件中存在安全漏洞，一旦被攻击者利用，则会严重破坏电力系统的正常稳定运转，引发信息泄漏、命令执行、内存溢出等问题，从而造成严重的安全事故。然而，电力系统物联网设备固件数量大种类多架构杂，难以进行通用性的研究和应用适配。

当前针对物联网固件的漏洞检测方案中，常采用相似度比较的方法，依照逆向之后的反汇编代码之间的相似关系来确定是否存在漏洞，但是这些方法需要对待测固件与漏洞样本之间进行重复性的相似度计算，且都是基于汇编代码进行比较，降低了分析效率，增加了漏洞检测的工作量。

发明内容

本发明实施例提供了一种电力系统物联网固件多粒度漏洞相似性检测方法、装置，可以实现多架构的电力物联网设备固件的漏洞检测，降低检测分析工作量，有效提高检测效率。为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

根据本发明实施例的第一方面，提供了一种电力系统物联网固件多粒度漏洞相似性检测方法，包括：

获取待测固件的Hash值，并将待测固件的Hash值与存在已知漏洞的样本固件的Hash值进行比较，若相同，则认为待测固件存在已知漏洞；

若不同，则：

对待测固件进行文件集合提取得到文件集合Fs，将文件集合Fs中的目标文件Ff的Hash值与存在已知漏洞的样本文件的Hash值进行比较，若相同，则认为待测固件存在已知漏洞；

若不同，则：

提取文件集合Fs中的文件Ff的特征属性，并根据特征属性将文件Ff与样本文件进行相似度计算，根据相似度与第一阈值的比较，判断待测固件是否存在已知漏洞。

在一个实施例中，该方法进一步包括：

若文件Ff与样本文件的相似度低于第一阈值，则认为不存在已知漏洞。

在一个实施例中，该方法进一步包括：

若文件Ff与样本文件的相似度不低于第一阈值，则提取文件Ff的汇编代码，将文件Ff中的目标函数Fg与存在已知漏洞的样本函数进行相似度计算，若相似度不低于第二阈值，则认为待测固件存在漏洞，若低于第二阈值，则认为待测固件不存在已知漏洞。

在一个实施例中，该方法中获取待测固件的Hash值，并将待测固件的Hash值与存在已知漏洞的样本固件的Hash值进行比较的步骤进一步包括：