【技術實現步驟摘要】
本專利技術涉及固件安全分析,特別涉及一種物聯網設備固件邊界程序檢測方法及系統。
技術介紹
1、物聯網設備固件是設備與外界溝通的核心組成部分,特別是基于linux操作系統的設備固件,因其廣泛使用而尤為重要。大多數設備固件由眾多復雜且相互依賴的二進制程序組件構成,這些組件不僅數量眾多,而且相互之間存在緊密的聯系。邊界程序,亦稱為邊界二進制(border?binary),在物聯網設備固件中扮演著至關重要的角色;它們負責監聽、接收并處理來自外部網絡的數據請求和指令。這些程序依據既定的規則和邏輯,對傳入的數據執行必要的操作,包括驗證、過濾和轉換。作為固件與外界交互的接口,邊界程序是抵御潛在攻擊的第一道防線,是攻擊者試圖操控或注入惡意數據以滲透固件的關鍵入口點。
2、邊界程序自2020年被提出以來,研究人員為了提升邊界程序檢測的效率和質量,使用不同的啟發式方法自動識別邊界程序。例如,redini等研究人員使用五個特征來識別邊界程序,cheng等研究人員則僅基于web前后端共享關鍵字進行邊界程序的定位。這些方法在特征選擇上未能全面覆蓋邊界程序的關鍵特征。到目前為止,尚無明確的標準來指導選擇和提取邊界程序的特征。鑒于目前缺乏開源的邊界程序數據集,因此需要通過自動化工具和人工審核相結合的方法構建一個適用于訓練機器學習方法的邊界程序數據集,而這部分工作高度依賴于專家經驗,并且需要顯著的工作量,目前看現有方法用于訓練的邊界程序數據量嚴重不足。選擇合適的邊界程序檢測模型,可以提供更高的邊界程序定位準確率和減少響應時間,從而提高邊界程序檢測的
技術實現思路
1、為此,本專利技術提供一種物聯網設備固件邊界程序檢測方法及系統,解決現有的邊界程序自動化檢測存在的檢測漏報率高等問題。
2、按照本專利技術所提供的設計方案,一方面,提供一種物聯網設備固件邊界程序檢測方法,包含:
3、收集物聯網設備固件,對固件進行解析并提取固件中二進制可執行程序;
4、從二進制可執行程序中篩選出物聯網設備網絡協議對應的邊界程序和非邊界程序,并構建邊界程序數據集和非邊界程序數據集,所述邊界程序為物聯網設備固件與外界利用網絡協議進行交互的相關二進制可執行程序;
5、利用多維特征模型提取邊界程序數據集中和非邊界程序中對應的邊界程序特征向量和非邊界程序特征向量,并構建訓練樣本集,以利用訓練樣本集訓練基于集成學習的邊界程序預測模型,所述多維特征模型用于刻畫邊界程序的程序級特征和函數級特征,所述基于集成學習的邊界程序預測模型包括若干基學習器和一個元學習器;
6、將待檢測物聯網設備固件解包并提取待檢測物聯網設備固件中的可執行程序,根據多維特征模型提取可執行程序的所有特征向量,將待檢測物聯網設備固件特征向量輸入至訓練后的邊界程序預測模型中,利用邊界程序預測模型識別待檢測物聯網設備固件中的邊界程序。
7、作為本專利技術物聯網設備固件邊界程序檢測方法,進一步地,對固件進行解析并提取固件中二進制可執行程序,包含:
8、使用解包工具對對固件進行解包,提取固件文件系統;
9、基于固件文件系統屬性,利用預設過濾規則排除冗余數據,并篩選出固件文件系統中所有二進制可執行程序,所述冗余數據包括腳本文件、配置文件及動態鏈接庫。
10、作為本專利技術物聯網設備固件邊界程序檢測方法,進一步地,從二進制可執行程序中篩選出物聯網設備網絡協議對應的邊界程序,并構建邊界程序數據集,包含:
11、依據物聯網設備固件與外界交互過程中所需調用應用程序編程接口,使用反匯編方式對二進制可執行程序進行反匯編,依據反匯編結果篩選出二進制可執行程序中的候選邊界程序;
12、利用逆向分析工具對候選邊界程序中網絡解析函數進行反編譯,以依據反編譯結果對候選邊界程序進行篩選過濾;
13、依據剩余的候選邊界程序構建邊界程序數據集。
14、作為本專利技術物聯網設備固件邊界程序檢測方法,進一步地,所述多維特征模型m表示為m=[v0,v1,v2,...,v14],其中,v0為二進制可執行程序中接收外界輸入相關應用程序編程接口的數量;v1為二進制可執行程序中網絡通信相關字符串數量;v2為函數基本塊數量;v3為函數條件分支語句數量;v4為函數中網絡通信相關應用程序編程接口的數量;v5為函數中標準i/o相關應用程序變成接口的數量;v6為函數中環境變量相關應用程序編程接口的數量;v7為函數中字符串比較類應用程序編程接口的數量;v8為函數中字符串操作類應用程序編程接口的數量;v9為函數中字符串查找類應用程序編程接口的數量;v10為函數中字符串轉換類應用程序編程接口的數量;v11為函數中身份驗證和授權相關字符串的數量;v12為函數中http連接請求相關字符串的數量;v13為函數中mqtt連接請求相關字符串的數量;v14為函數中客戶端和服務器端連接請求相關字符串的數量,且v0和v1為程序級特征,v2-v14為函數級特征。
15、作為本專利技術物聯網設備固件邊界程序檢測方法,進一步地,利用多維特征模型提取邊界程序數據集中和非邊界程序中對應的邊界程序特征向量和非邊界程序特征向量,包含:
16、提取邊界程序和非邊界程序中接收外界輸入相關應用程序編程接口的數量、網絡通信相關字符串數量;
17、提取邊界程序中網絡解析函數的基本塊數量、條件分支語句數量、相關應用程序編程接口數量、身份驗證和授權相關字符串數量、http連接請求相關字符串數量、mqtt連接請求相關字符串數量和客戶端服務器端鏈接請求相關字符串數量;
18、任取非邊界程序中的函數f,提取函數f中的基本塊數量、條件分支語句數量、相關應用程序編程接口數量、身份驗證和授權相關字符串數量、http連接請求相關字符串數量、mqtt連接請求相關字符串數量和客戶端服務器端鏈接請求相關字符串數量;
19、將從邊界程序和非邊界程序中提取的數據構成利用多維特征模型表示的向量;
20、其中,所述相關應用程序編程接口數量包括網絡通信應用程序編程接口數量、網絡通信應用程序編程接口、標準i/o相關應用程序編程接口、環境相關應用程序編程接口數量、字符串比較類應用程序編程接口數量、字符串操作類應用程序編程接口數量、字符串查找類應用程序編程接口數量和字符串轉換類應用程序編程接口數量。
21、作為本專利技術物聯網設備固件邊界程序檢測方法,進一步地,利用訓練樣本集訓練基于集成學習的邊界程序預測模型,包含:
22、對訓練樣本集數據進行歸一化預處理,將歸本文檔來自技高網...
【技術保護點】
1.一種物聯網設備固件邊界程序檢測方法,其特征在于,包含:
2.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,對固件進行解析并提取固件中二進制可執行程序,包含:
3.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,從二進制可執行程序中篩選出物聯網設備網絡協議對應的邊界程序,并構建邊界程序數據集,包含:
4.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,所述多維特征模型M表示為M=[V0,V1,V2,...,V14],其中,V0為二進制可執行程序中接收外界輸入相關應用程序編程接口的數量;V1為二進制可執行程序中網絡通信相關字符串數量;V2為函數基本塊數量;V3為函數條件分支語句數量;V4為函數中網絡通信相關應用程序編程接口的數量;V5為函數中標準I/O相關應用程序變成接口的數量;V6為函數中環境變量相關應用程序編程接口的數量;V7為函數中字符串比較類應用程序編程接口的數量;V8為函數中字符串操作類應用程序編程接口的數量;V9為函數中字符串查找類應用程序編程接口的數量;V10為函數中字符串轉換類應
5.根據權利要求1或4所述的物聯網設備固件邊界程序檢測方法,其特征在于,利用多維特征模型提取邊界程序數據集中和非邊界程序中對應的邊界程序特征向量和非邊界程序特征向量,包含:
6.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,利用訓練樣本集訓練基于集成學習的邊界程序預測模型,包含:
7.根據權利要求1或6所述的物聯網設備固件邊界程序檢測方法,其特征在于,所述若干基學習器包括XGBoost基學習器、LightGBM基學習器和CatBoost基學習器,所述元學習器為隨機森林元學習器,以將訓練樣本集分別送入各基學習器進行獨立訓練,將各基學習器預測輸出組成新的訓練數據,將該新的訓練數據輸入至元學習器進行訓練,并通過網格搜索來獲取邊界程序預測模型參數的最優設置。
8.一種物聯網設備固件邊界程序檢測系統,其特征在于,包含:固件解析模塊、程序篩選模塊、模型訓練模塊和目標檢測模塊,其中,
9.一種電子設備,其特征在于,包括:
10.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質中存儲有計算機程序,當計算機程序被執行時,能夠實現如權利要求1~7任一項所述的方法。
...【技術特征摘要】
1.一種物聯網設備固件邊界程序檢測方法,其特征在于,包含:
2.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,對固件進行解析并提取固件中二進制可執行程序,包含:
3.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,從二進制可執行程序中篩選出物聯網設備網絡協議對應的邊界程序,并構建邊界程序數據集,包含:
4.根據權利要求1所述的物聯網設備固件邊界程序檢測方法,其特征在于,所述多維特征模型m表示為m=[v0,v1,v2,...,v14],其中,v0為二進制可執行程序中接收外界輸入相關應用程序編程接口的數量;v1為二進制可執行程序中網絡通信相關字符串數量;v2為函數基本塊數量;v3為函數條件分支語句數量;v4為函數中網絡通信相關應用程序編程接口的數量;v5為函數中標準i/o相關應用程序變成接口的數量;v6為函數中環境變量相關應用程序編程接口的數量;v7為函數中字符串比較類應用程序編程接口的數量;v8為函數中字符串操作類應用程序編程接口的數量;v9為函數中字符串查找類應用程序編程接口的數量;v10為函數中字符串轉換類應用程序編程接口的數量;v11為函數中身份驗證和授權相關字符串的數量;v12為函數中http連接請求相關字符串的數量;v13為函數中mqtt連接請求相關字符串的數量;v14...
【專利技術屬性】
技術研發人員:張貴民,陳志鋒,李清寶,岳書丹,張文波,姚偉平,張萬里,常佳慧,
申請(專利權)人:中國人民解放軍網絡空間部隊信息工程大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。