【技术实现步骤摘要】
设备安全检测方法、装置、计算机设备和可读存储介质
[0001]本专利技术涉及物联网安全
,尤其涉及一种设备安全检测方法、装置、计算机设备和可读存储介质。
技术介绍
[0002]物联网是由各类物理对象组成的网络,这些物理对象嵌入了传感器、软件和其他技术,使得这些设备可以与其他设备和系统建立连接并交换数据。物联网设备也即上述物理对象,具体指可从远程位置控制的任何独立设备,物联网设备种类繁多,既有普通家庭用品,也有复杂工业用具,例如网络摄像头、无线路由等。
[0003]物联网近年迅速发展,在AI、云计算、5G等前沿IT技术的助推下,各种不同形态的物联网设备层出不穷,承载IoT应用的嵌入式系统碎片化严重,导致缺乏统一的安全应用标准,带来各种各样的安全性问题。目前的物联网设备安全漏洞分析技术由于设备类型的多样化、设备底层CPU架构的多样化等问题,很难对各类设备进行统一、高效地安全检测。
[0004]现有技术存在如下的三类安全检测方法,第一类为依赖于人工的方法,这类方法依赖于专业人员对二进制程序的审计,因此无法对大...
【技术保护点】
【技术特征摘要】
1.一种设备安全检测方法,其特征在于,包括:获取设备固件中的前端文件和后端程序;提取所述前端文件中用于标记用户输入数据的字符串,得到字符串集合;匹配所述后端程序与所述字符串集合中的字符串;根据匹配到的所述字符串确定污点引入点;以所述污点引入点为分析起始点,对所述后端程序进行污点分析,以检测所述设备固件是否存在安全漏洞。2.根据权利要求1所述的设备安全检测方法,其特征在于,提取所述前端文件中用于标记用户输入数据的字符串,得到字符串集合的步骤包括:提取所述前端文件中的API接口名称和参数名称。3.根据权利要求1或2所述的设备安全检测方法,其特征在于,根据匹配到的所述字符串确定污点引入点的步骤包括:按照匹配到的字符串数量,确定所述后端程序是否为边界程序,其中,匹配到的字符串数量越大,所述后端程序被确定为边界程序的概率越大;以及根据所述边界程序中匹配到的所述字符串确定污点引入点。4.根据权利要求3所述的设备安全检测方法,其特征在于,以所述污点引入点为分析起始点,对所述后端程序进行污点分析,以检测所述设备固件是否存在安全漏洞的步骤包括:以所述污点引入点为分析起始点,仅对所述边界程序进行污点分析,以检测所述设备固件中是否存在安全漏洞。5.根据权利要求2所述的设备安全检测方法,其特征在于,所述前端文件包括HTML文件、JS文件和/或XML文件,提取所述前端文件中的API接口名称和参数名称的步骤包括:使用正则表达式匹配所述HTML文件中各个标签的“action”属性、“name”属性和“id”属性的值;将所述JS文件解析成抽象语法树,遍历抽象语法树,获得类型属性为Literal的子树,并提取所述子树属性为“name”包含“/”的值、“value”包含“/”的值、“name”的值和“value”的值;解析所述XML文件,提取在Body节点下的第一级标签和所述第一级标签下级节点标签。6.根据权利要求2所述的设备安全检测方法,其特征在于,提取所述前端文件中用于标记用户输入数据的字符串,得到字符串集合之后,匹配所述后端程序与所述字符串集合中的字符串之前,所述设备安全检测方法还包括:去除所述字符串集合中长度小于p或大于q的参数名称,q大于p,q和p均为自然数;去除所述字符串集合中在n个或n个以上不同前端文件出现的参数名称,n为自然数;去除所述字符串集合中包含特殊字符的参数名称;去除所述字符串集合中长度小于或等于m的API接口名称,m为自然数;去除所述字符串集合中包含“/”和/或“?”之外的其他特殊字符的API接口名称;去除所述字符串集合中不包含“/”字符的API接口名称;和/或去除所述API接口名称中“?”字符后的字符。7.根据权利要求2所述的设备安全检测方法,其特征在于,根据匹配到的所述字符串确定污点引入点的步骤包括:
确定匹配到的所述字符串在所述后端程序中引用指令的位置,得到直接引用点;将所述直接引用点作为所述污点引入点。8.根据权利要求7所述的设备安全检测方法,其特征在于,所述设备固件中包括多个后端程序,根据匹配到的所述字符串确定污点引入点的步骤还包括:判断所述后端程序中所述直接引用点的数据内容是否被传递至操作磁盘的第一set函数的变量中;若所述直接引用点的数据内容被传递至所述第一set函数的变量中,则在所述多个后端程序中查找所述第一set函数对应的操作磁盘的第一get函数;确定所述第一get函数的变量赋值位置,得到跨进程引用点;以及将所述跨进程引用点作...
【专利技术属性】
技术研发人员:王衍豪,令狐甲琦,陈力波,蔡洤朴,侯勤胜,刘跃,
申请(专利权)人:网神信息技术北京股份有限公司上海交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。