买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:天津华来科技股份有限公司
摘要:本发明提供了一种固件文件系统中开源组件CVE漏洞检测方法,包括:固件类型自动识别与解包,用以获取完整的固件文件系统;预设程序从根目录开始遍历文件系统,查找并记录所有的ELF,所述ELF为可执行与可链接格式;利用预设程序解析出固件中各个组件或库的版本信息;根据获取的组件或库的名称及其版本信息,预设程序通过NVD查询相应的CPE信息,所述NVD为网络漏洞数据库,CPE为通用平台枚举;在本地数据库中根据CPE信息进行漏洞数据的搜索,按照预设的搜索方法进行搜索。本发明有益效果:本方案实现低误报率及漏报率,支持多类型固件的检测,高度自动化、智能化,使用者只需指定固件,即可开启全自动化CVE漏洞检测。
主权项:1.固件文件系统中开源组件CVE漏洞检测方法,其特征在于,包括:S1、固件类型自动识别与解包,用以获取完整的固件文件系统;S2、预设程序从根目录开始遍历文件系统,查找并记录所有的ELF,所述ELF为可执行与可链接格式;S3、利用预设程序解析出固件中各个组件或库的版本信息;S4、根据获取的组件或库的名称及其版本信息,预设程序通过NVD查询相应的CPE信息,所述NVD为网络漏洞数据库,CPE为通用平台枚举;S5、在本地数据库中根据CPE信息进行漏洞数据的搜索,按照预设决策条件进行判断;S6、预设程序根据组件或库的CPE信息,通过与NVD的交互查询相应的漏洞数据;S7、预设程序将从NVD查询到的CPE信息及相应的漏洞数据写入本地数据库;S8、预设程序根据查询到的漏洞数据生成检测报告;在步骤S1中,使用机器学习模型,对不同固件类型进行分类训练,以提高识别准确率,同时建立解包工具库,根据固件类型自动选择适合的工具进行解包,确保能够访问到固件的全部内容,其中包括:C1、数据收集与预处理:用以收集不同类型的固件样本,对固件样本进行预处理,提取特征,具体如下:结合SVM和神经网络,利用SVM进行基本分类,利用神经网络进一步处理边界情况: 其中αi为拉格朗日乘子,yi为第i个训练样本的类别标签,x,xi为x和xi的内积,x为输入向量,xi为第i个支持向量;C2、模型训练:选择支持向量机或深度神经网络,使用预处理后的固件样本进行模型训练,调整参数直到达到预设的识别准确率;C3、测试与优化:使用未参与训练的固件样本测试模型的准确率,并根据测试结果进一步优化模型;C4、集成解包工具库:收集并整合各种固件解包工具;C5、自动化解包流程:根据机器学习模型识别的固件类型,自动选择并应用最合适的解包工具,用以确保能够完整访问固件内容;C6、系统部署与监测:将训练好的模型和解包工具库部署到实际的漏洞检测系统中,并定期监控其性能,确保高效准确地识别和解包固件;在步骤S1中,对于不同类型的固件,利用Binwalk提取嵌入在固件中的文件系统,利用mount将文件系统挂载为可访问的目录;在步骤S3中,版本信息解析方法包括:通过分析ELF文件的特定段落或其他元数据,提取版本信息;在步骤S3中,利用深度学习算法识别组件或库的版本信息的步骤如下:如果在本地数据库找到了对应的漏洞数据,则直接使用这些数据,否则执行后续的步骤S6和步骤S7;在步骤S8中,检测报告包括识别的每个组件的版本信息、相应的CPE信息、检测到的漏洞及其描述;其中,在步骤S3中,利用深度学习算法,从固件的各种文件和配置中识别出组件或库的版本信息,利用深度学习算法识别组件或库的版本信息的步骤如下:数据集构建:收集包含丰富组件版本信息的固件文件和配置信息,构建一个多样化的训练数据集,具体实施过程,包括:构建包含丰富组件版本信息的数据集,利用预设的数据增强方法,以增加模型的泛化能力,数据增强方法包括以下步骤:A1、利用随机扰动方法,包括随机噪声注入、随机裁剪、旋转,结合自然语言处理中的数据增强技术,以适用于固件中的文本数据;A2、对每个样本应用随机选择的扰动,包括对固件文件实施随机裁剪:x′=x[start:end]+∈,其中x′是增强后的样本,x是原样本,∈是小的随机噪声;A3、在增强后的数据上进行标准化处理,确保数据一致性,扩展原数据集,结合原始和增强后的数据,用于模型训练;A4、在扩展后的数据集上训练模型,使用交叉验证评估模型在增强数据上的性能;特征提取与预处理:对收集的数据进行预处理,提取关键特征,包括文件头信息、特定字符串、配置文件内容;其中,通过深度学习模型提取关键特征,提高模型效率和准确性,包括以下步骤:B1、设计CNN架构:多层卷积层设计,用于提取固件数据的层次特征,引入稀疏连接和可分离卷积,以减少参数量,提高计算效率;B2、利用激活函数与归一化技术:引入新型激活函数,fx=x·σβx,其中σ是sigmoid函数,β是可学习参数,使用批量归一化或层归一化,以加速训练并减少内部协变量偏移;B3、模型训练与优化:使用Adam或RMSprop优化器进行模型训练,应用Dropout和L2正则化避免过拟合;B4、特征融合与注意力机制,融合不同层次的特征,使用注意力机制关注关键信息,其中Q,K,V分别为查询、键和值,dk为键的维度;B5、性能评估与优化:在测试集上评估模型性能,根据测试结果进一步调整模型结构和参数;模型选择与训练:选择合适的深度学习模型,包括卷积神经网络,并使用准备好的数据集进行训练,直到模型能够准确识别不同组件的版本信息;测试与优化:使用未见过的数据测试模型的准确性,并根据测试结果调整和优化模型;集成到漏洞检测系统:将训练好的模型集成到现有的固件漏洞检测系统中,用于自动识别固件中的组件或库版本信息;持续更新与维护:定期更新训练数据集,以纳入新的组件和版本信息,保证模型的持续准确性和有效性;在步骤S5中,建立一个包含广泛CVE数据的本地数据库,并通过自动化脚本定期与外部数据库同步,确保数据的最新性;同时,设计高效的查询算法,以快速从大量数据中找到相关漏洞信息;其中,设计高效的漏洞信息查询算法的步骤如下:需求分析与规划:分析查询漏洞信息的具体需求,包括查询速度、数据量、更新频率,并据此制定详细的实施规划;算法设计:设计高效的查询算法,包括:设计一种基于图论的查询算法,结合广度优先搜索和Dijkstra算法优化检索路径:d[υ]=mind[υ],d[u]+wu,υ,其中d[υ]是从源点到点v的最短路径长度;数据库优化:优化数据库设计,包括使用适当的数据模型和存储结构,确保高效存取数据;实现与测试:实现设计的查询算法,并在实际数据库上进行测试,评估查询效率和准确性;集成与优化:将查询算法集成到漏洞检测系统中,根据实际运行情况进行优化调整;系统监测与维护:定期监测系统性能,确保查询算法能够在大数据环境下稳定运行,并根据需要进行维护和升级。
全文数据:
权利要求:
百度查询: 天津华来科技股份有限公司 固件文件系统中开源组件CVE漏洞检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。