[发明专利]针对网络设备的已知漏洞定位方法及装置

说明书

本发明公开一种针对网络设备的已知漏洞定位方法及装置，通过模块级的粗粒度定位和函数级的细粒度识别两个阶段对已知漏洞进行定位，最后根据对差异函数的筛选，并按照确定程度自高而低排序，识别安全修补代码。本发明服务于漏洞定位，有效提高定位的精度，提高了补丁对比的效率，避免了后续安全修补的误报，且可对现有补丁分析框架的漏报误报问题进行修正。

技术领域

本发明涉及已知漏洞的补丁对比技术，主要涉及一种针对网络设备的已知漏洞定位方法及装置，针对网络设备中单体式可执行文件的已知漏洞进行定位，在基于模块划分和局部性的二进制比对技术之上，利用语义相似度衡量方法对比对结果进行筛选排序，提高网络设备的补丁分析效率，并且支持研究人员发现更多已知漏洞细节。

背景技术

补丁对比技术作为一种漏洞挖掘的辅助技术，通过比较分析原始程序与漏洞修复后的更新程序的差异，可以利用有限的漏洞报告描述和补丁程序对已知漏洞进行准确定位，以进一步发掘潜在的漏洞。通常补丁发布与用户部署修补之间存在较长的时间窗口，因此，可以通过补丁对比辅助漏洞挖掘迅速提取漏洞特征，定位漏洞函数，旨在挖掘类似潜在漏洞，这对于网络设备的运行安全检测和防护具有重要意义。目前常见的补丁对比工具有Diaphora和Bindiff等。

补丁对比常用的方法是基于二进制相似度的检测，常见的二进制相似度检测方法有基于静态方法的相似度检测、基于动态方法的相似度检测和基于机器学习方法的相似度检测等。其中，基于静态方法的相似度检测技术，通常将二进制代码转化为图，然后进行比较。如以图形同构理论为基础的Bindiff，但图同构算法耗时较长，缺乏多项式时间解，同时很容易受到细微控制流图(Control Flow Graph，CFG)变化的影响，因此具有较低的准确性。基于动态方法的相似度检测，通常使用相同的输入执行两个二进制文件的函数，通过比较执行结果进而衡量两个函数的相似程度，比较有代表性的如Blanket。动态方法擅长于提取代码的语义，并且对编译器优化和代码混淆具有良好的包容性，但是由于动态分析的性质，这些技术通常具有较差的可扩展性和不完整的代码覆盖。

现阶段对大型网络设备固件的补丁比对研究相对较少，网络设备作为封闭、复杂的信息系统，其漏洞的公开研究资料相对较少、漏洞细节缺失较多，大大增加了网络设备漏洞挖掘的难度。网络设备的封闭性和定制化程度高，使得单个可执行文件更大，因此使用普通的补丁对比工具得到需要待确认的差异函数更多，误报的可能性更高，导致漏洞定位效率和准确率问题更加严重。因此如果直接将目前研究的补丁比对方法应用于网络设备的已知漏洞定位，会存在2个主要的问题：

(1)基于补丁比对方法进行漏洞定位存在误报，即对比结果中包含大量非安全修补，由于固有的待确认差异多、筛选自动化程度低，实际工作中需要花费大量人力对结果一一确认。

(2)基于补丁比对方法进行漏洞定位存在漏报，如在没有调试符号的情况下，比对启发式算法可能将两个不相关的函数错误的匹配，导致正确的安全修补缺失。

网络设备自身的复杂性导致简单地进行指令对比难以快速逆向恢复漏洞细节并理解漏洞机理，因此使用现有的补丁对比工具对网络设备进行已知漏洞定位会很容易产生大量的漏报和误报情况，阻碍了研究人员的漏洞分析挖掘进程，给网络设备的安全性带来了隐患。

发明内容

为了克服现有的补丁对比方法应用于网络设备已知漏洞定位的困难，本发明提供一种针对网络设备的已知漏洞定位方法MDiff(MonolithDiff)及装置，通过模块级的粗粒度定位和函数级的细粒度识别两个阶段对已知漏洞进行定位，最后根据对差异函数的筛选，并按照确定程度自高而低排序，识别安全修补代码。

本发明的技术方案包括：

一种针对网络设备的已知漏洞定位方法，其步骤包括：