[发明专利]一种细粒度的内网设备固件版本探测方法

说明书

本发明公开一种细粒度的内网设备固件版本探测方法，步骤包括：S1.获取公开的漏洞信息，将漏洞影响的设备型号和固件版本范围信息存储到漏洞特征数据库中；S2.获取设备固件镜像并解压后得到固件镜像文件数据库，从固件镜像文件数据库中提取出Web服务资源文件进行分析，提取出用于内网设备探测的特征；S3.根据用于内网设备探测的特征生成固件版本指纹，形成内网设备细粒度指纹库；S4.根据内网设备细粒度指纹库识别待测内网设备的固件版本，以及根据漏洞特征数据库判断待测内网设备是否存在安全漏洞。本发明能够实现内网设备的固件版本探测，且具有实现方法简单、探测效率与成功率高且无需依赖请求资源文件内容等优点。

技术领域

本发明涉及固件版本探测技术领域，尤其涉及一种细粒度的内网设备固件版本探测方法。

背景技术

设备搜索引擎可以对直接连接在万维互联网上的设备厂商和型号进行识别，如Shodan和Censys，以及FOFA和ZoomEye等搜索引擎。上述搜索引擎均是通过扫描全网IP地址上的常用端口，分析服务的返回报文、证书签名、资源文件、IP地址等特征，能够较为准确的得到设备信息，如厂商、型号、开放端口、操作系统类型、所在地理位置、资产从属关系等等。但是上述设备搜索引擎由于没有固件版本的指纹，因而均无法识别具体的设备固件型号。

针对嵌入式设备细粒度的指纹识别，目前通常是通过自然语言处理技术将Web服务返回的报文内容转化为向量，通过比较测试设备响应数据与向量之间的相似度，也可以确定设备固件的具体版本信息。但是该类方式在验证固件版本时，需要发送大量测试请求，对于大规模、多类型设备型号就难以实现快速定位，因而不能解决大规模、多类型设备型号的快速定位问题。

综上，现有技术中内网设备探测方案无法识别设备具体型号与固件版本，而且在检测过程中需要发送大量探测报文，而现有技术中的细粒度设备探测方法需要获取资源文件内容的哈希值，但是内网请求会受到同源策略限制，无法获取文件内容，因而无法应用于内网设备探测。

有从业者提出，利用基于Web服务的本地设备发现技术，通过分析请求资源文件返回的报错信息，可以识别位于局域网内的设备型号。但是上述方案只实现了在局域网中识别某厂商的某类型设备是否存在，不能在不触发漏洞的情况下检查设备安全性，且设备探测仍然需要发送大量网络请求，因而可能因为超时导致无法识别。

中国专利申请CN109375945A公开一种物联网设备的固件版本探测方法及漏洞修复率评估方法，该方案可以实现更高效的设备固件版本探测，减少了识别设备固件版本信息所需要发送的请求数量，实现了对网络空间上大量设备具体固件版本型号的快速测量。但是该方案中的设备指纹仍然需要依赖设备中Web服务的资源文件内容计算得到的哈希值，而在内网探测环境中，会受到同源策略影响，即限制获取非本地文件的内容，如Javascript脚本不能获取其他网站资源文件的具体内容，因而上述方法无法应用到内网探测的特殊环境中以实现内网设备识别。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的不足，本发明提供一种细粒度的内网设备固件版本探测方法，能够快速、高效地探测内网设备固件版本。

为解决上述技术问题，本发明提出的技术方案为：

一种细粒度的内网设备固件版本探测方法，步骤包括：

S1.获取公开的漏洞信息，将漏洞影响的设备型号和固件版本范围信息存储到漏洞特征数据库中；

S2.获取设备固件镜像并解压后得到固件镜像文件数据库，从所述固件镜像文件数据库中提取出Web服务资源文件进行分析，提取出用于内网设备探测的特征；

S3.根据所述用于内网设备探测的特征生成固件版本指纹，形成内网设备细粒度指纹库；

S4.根据所述内网设备细粒度指纹库识别待测内网设备的固件版本，以及根据所述漏洞特征数据库判断待测内网设备是否存在安全漏洞。