[发明专利]固件程序漏洞检测方法及系统

说明书

本发明公开一种固件程序漏洞检测方法及系统，该方法包括：创建漏洞标签库；获取固件程序的二进制文件；对二进制文件执行反汇编操作，以提取出待测函数；提取出该待测函数的函数特征，并提取出该待测函数中的各个基本块；提取基本块特征；做函数相似度匹配，并筛选出相似度高的若干候选特征标签；做基本块相似度匹配，并根据待测函数中所有基本块的相似度匹配结果计算出待测函数与每一候选特征标签所代表的漏洞函数的最终相似度，以确认待测函数是否存在漏洞；基于上述方法，在进行相似性度量时，首先会通过粗粒度的函数相似度匹配，然后再通过细粒度的基本块相似度匹配准确判断待测函数是否存在漏洞，从而兼顾了固件程序的漏洞检测效率和准确性。

技术领域

本发明涉及固件安全检测技术领域，尤其涉及一种固件程序漏洞检测方法及系统。

背景技术

随着汽车智能化、网联化的发展，包含智能网联汽车、路边单元、车载单元在内的车联网设备发展迅猛，其中的代码量出现爆炸式增长。为了增加开发敏捷性，汽车行业也逐渐采用灵活的软件开发方法，其中，复用开源组件成为高效的车载软件开发方法。由于开源工作组的架构组织、编码规范等原因，开源组件可能包含潜在的网络安全漏洞，会传递至使用了开源组件的车联网设备中，带来相应的网络安全风险。除此之外，不同车型之间、不同版本设备之间的代码复用问题也极为常见，如果被复用的代码存在网络安全漏洞，该漏洞同样会传递至后续设备。

基于固件程序安全考虑，检测代码复用是一种有效的漏洞检测方式。只要能够确定被测试代码中含有包含漏洞的代码片段，则被测试代码也会包含被复用代码片段中的特定漏洞。其中，代码相似性度量是判断代码是否相近的一种技术，可以确定两段代码的相似程度，进而确定待测试的代码段是否包含特定的代码片段。代码相似性度量主要分为基于源代码的相似性度量和基于二进制代码的相似性度量。在车联网中，很多时候无法获取车联网设备源代码，因此，基于二进制代码相似性度量的固件漏洞扫描方法便显得愈加重要。

然而，在基于二进制的代码相似性度量方案中，复杂的特征表示(用特征表示代码片段)会使得代码相似性度量成为计算量巨大的复杂任务，会造成检测效率低。过于简单的特征表示则会丢失代码的部分特性，导致相似性度量缺乏精准性，如中国发明专利(CN111310178 A，跨平台场景下的固件漏洞检测方法)，仅在函数级别提取特征进行比对。

发明内容

本发明的目的是提供一种采用基于二进制相似性度量对固件进行漏洞检测，并同时兼顾精准性和效率性的固件程序漏洞检测方法及系统。

为了实现上述目的，本发明公开了一种固件程序漏洞检测方法，其包括：

创建漏洞标签库，所述漏洞标签库中存储有若干携带已知漏洞的函数的特征标签，所述特征标签包括代表函数整体内容和结构特征的第一标签和若干分别代表函数内每一基本块的内容和结构特征的第二标签；

获取固件程序的二进制文件；

对所述二进制文件中的可执行文件执行反汇编操作，以提取所述可执行文件中的各个待测函数；

对于任一所述待测函数，提取出该待测函数整体的内容和结构特征，以获得该待测函数的函数特征，并提取出该待测函数中的各个基本块；

提取每一所述基本块的内容和结构特征，以获得基本块特征；

将所述待测函数的函数特征分别与所述漏洞标签库中的每一所述特征标签的第一标签比对，以做函数相似度匹配，并筛选出相似度高的若干候选特征标签；

将当前所述待测函数的每一所述基本块的基本块特征与所述候选特征标签中的若干第二标签两两比对，以做基本块相似度匹配，并根据待测函数中所有基本块的相似度匹配结果计算出待测函数与每一所述候选特征标签所代表的漏洞函数的最终相似度，以确认所述待测函数是否存在漏洞。

较佳地，所述基本块特征的提取方式包括：