[发明专利]一种嵌入式物联网设备固件漏洞挖掘方法、装置及设备

权利要求书

1.一种嵌入式物联网设备固件漏洞挖掘方法，其特征在于，包括：

利用固件解压工具对嵌入式物联网设备固件进行解包，提取所述嵌入式物联网设备固件的文件系统；

提取所述文件系统中调用socket类函数的二进制程序，生成敏感文件集；

排除所述敏感文件集中的库函数以及调用相关库函数的函数，得到待检测函数；

获取所述待检测函数的目标特征值，确定所述目标特征值与预设特征阈值的相似度；

判断所述相似度是否大于等于预设相似度阈值，若所述相似度大于等于所述预设相似度阈值，则判定所述嵌入式物联网设备固件的漏洞存在于所述待检测函数中。

2.如权利要求1所述的方法，其特征在于，所述利用固件解压工具对嵌入式物联网设备固件进行解包，提取所述嵌入式物联网设备固件的文件系统包括：

利用binwalk对所述嵌入式物联网设备固件进行解包，得到所述嵌入式物联网设备固件的固件头部、Linux内核与文件系统；

利用所述binwalk提取所述嵌入式物联网设备固件的所述文件系统。

3.如权利要求2所述的方法，其特征在于，所述提取所述文件系统中调用socket类函数的二进制程序，生成敏感文件集包括：

扫描位于/bin、/sbin与/usr目录下的所述文件系统中的二进制程序；

分别判断各个二进制程序是否调用所述socket类函数；

若当前二进制程序调用socket类函数，则判定所述当前二进制程序为网络服务对应的程序，并将所述当前二进制程序加入所述敏感文件集中；

若所述当前二进制程序未调用所述socket类函数，则判定所述当前二进制程序中不为网络服务对应的程序。

4.如权利要求3所述的方法，其特征在于，所述排除所述敏感文件集中的库函数以及调用相关库函数的函数，得到待检测函数包括：

判断所述敏感文件集中的当前函数是否为库函数；其中，所述库函数包括system函数与read函数；

若所述当前函数为所述库函数，则排除所述当前函数，判断下一函数是否为库函数；

若所述当前函数不为库函数，则判断所述当前函数是否调用所述相关库函数；其中，所述相关库函数包括字符串拷贝类函数、内存操作类函数与字符串格式化类函数；

若所述当前函数调用所述相关库函数，则排除所述当前函数，判断下一函数是否调用相关库函数；

若所述当前函数未调用所述相关库函数，则将所述当前函数标定为待检测函数。

5.如权利要求1所述的方法，其特征在于，所述获取所述待检测函数的目标特征值，确定所述目标特征值与预设特征阈值的相似度包括：

获取所述待检测函数的hash值，确定所述hash值与预设hash阈值的相似度。

6.一种嵌入式物联网设备固件漏洞挖掘装置，其特征在于，包括：

解压模块，用于利用固件解压工具对嵌入式物联网设备固件进行解包，提取所述嵌入式物联网设备固件的文件系统；

提取模块，用于提取所述文件系统中调用socket类函数的二进制程序，生成敏感文件集；

排除模块，用于排除所述敏感文件集中的库函数以及调用相关库函数的函数，得到待检测函数；

获取模块，用于获取所述待检测函数的目标特征值，确定所述目标特征值与预设特征阈值的相似度；

判断模块，用于判断所述相似度是否大于等于预设相似度阈值，若所述相似度大于等于所述预设相似度阈值，则判定所述嵌入式物联网设备固件的漏洞存在于所述待检测函数中。

7.如权利要求6所述的装置，其特征在于，所述解压模块包括：

解包单元，用于利用binwalk对所述嵌入式物联网设备固件进行解包，得到所述嵌入式物联网设备固件的固件头部、Linux内核与文件系统；

提取单元，用于利用所述binwalk提取所述嵌入式物联网设备固件的所述文件系统。