[发明专利]固件程序漏洞检测方法及系统

权利要求书

1.一种固件程序漏洞检测方法，其特征在于，包括：

创建漏洞标签库，所述漏洞标签库中存储有若干携带已知漏洞的函数的特征标签，所述特征标签包括代表函数整体内容和结构特征的第一标签和若干分别代表函数内每一基本块的内容和结构特征的第二标签；

获取固件程序的二进制文件；

对所述二进制文件中的可执行文件执行反汇编操作，以提取所述可执行文件中的各个待测函数；

对于任一所述待测函数，提取出该待测函数整体的内容和结构特征，以获得该待测函数的函数特征，并提取出该待测函数中的各个基本块；

提取每一所述基本块的内容和结构特征，以获得基本块特征；

将所述待测函数的函数特征分别与所述漏洞标签库中的每一所述特征标签的第一标签比对，以做函数相似度匹配，并筛选出相似度高的若干候选特征标签；

将当前所述待测函数的每一所述基本块的基本块特征与所述候选特征标签中的若干第二标签两两比对，以做基本块相似度匹配，并根据待测函数中所有基本块的相似度匹配结果计算出待测函数与每一所述候选特征标签所代表的漏洞函数的最终相似度，以确认所述待测函数是否存在漏洞。

2.根据权利要求1所述的固件程序漏洞检测方法，其特征在于，所述基本块特征的提取方式包括：

统计当前基本块中预设指令类型的指令的数量，以获得基本块内容特征，所述预设指令类型包括数据操作算术类型、调用类型、数值操作存取类型、以及逻辑类型；

统计当前基本块在所属函数中的出度和入度，以获得基本块结构特征。

3.根据权利要求2所述的固件程序漏洞检测方法，其特征在于，所述基本块特征的提取方式还包括：

采用预设的统一表达式代替已知的多种不同指令集架构下的指令类型的表达式，根据所述统一表达式统计当前基本块中预设指令类型的指令的数量。

4.根据权利要求1所述的固件程序漏洞检测方法，其特征在于，所述函数特征的提取方式包括：

统计可执行文件中与当前函数相关的父函数数目、子函数数目以及数据引用项；

统计当前函数所具有的所述基本块的数目和控制流程图边数。

5.根据权利要求4所述的固件程序漏洞检测方法，其特征在于，函数相似度匹配的方法包括：

构建函数特征向量Sf1＝(Cn,Pn,SI,Bn,En)，其中，Cn、Pn、Bn、En为数值类型特征数据，SI为字符串类型特征数据，Cn为子函数数目，Pn为父函数数目，Bn为基本块的数目，En为控制流程图边数，SI为数据引用项；

采用下述公式计算待匹配的两函数的相似度S，

其中，L_i为待匹配两函数特征向量Sf1中任一维度之间的距离，W_i为该维度的权值。

6.根据权利要求2所述的固件程序漏洞检测方法，其特征在于，基本块相似度匹配的方法包括：

构建基本块内容特征向量Sf2＝(a,b,c,d)，其中，a为数据操作算术类型的指令数量、b为调用类型的指令数量、c为数值操作存取类型的指令数量、d为逻辑类型的指令数量；

采用皮尔逊相关系数P表示待匹配两个基本块内容特征向量间的相似分数；

根据下述公式计算待匹配的两基本块的基本块内容相似度S1，

S1＝P*W₁

其中，W1为预设权值；

构建基本块结构特征向量Sf3＝(o,i)，其中，o为当前基本块在所属函数中的出度，i为当前基本块在所属函数中的入度；

根据下述公式计算待匹配的两基本块的相似分数Q，

其中，i₁和i₂分别表示待匹配的两个基本块的基本块结构特征向量Sf3中的入度值；

根据下述公式计算待匹配的两基本块的基本块结构相似度S2，

S2＝Q*W₂

其中，W2为预设权值；

根据下述公式计算两基本块相似度S，

S＝S1+S2。