一种网络设备固件指纹模型自动化生成方法及装置制造方法及图纸

本发明专利技术提供一种网络设备固件指纹模型自动化生成方法及装置，具体包括：根据预定IP地址向第一服务端口发送第一请求；接收基于第一请求返回的第一数据包；基于返回的第一数据包提取网络设备固件的最新更新时间LMT信息；根据预定IP地址向第二服务端口发送第二请求；接收基于第二请求返回的第二数据包；基于返回的第二数据包提取网络设备固件版本信息；利用LMT信息、版本信息构建网络设备固件指纹模型。本发明专利技术采用网络设备Web服务的页面特征以及静态资源的LMT特征构建指纹特征向量，此两种特征均可远程获取，不需要登录设备或者解压固件，本发明专利技术还利用同源探测方法，获取设备的固件信息，用以标定指纹特征向量，实现了固件指纹的自动化生成。纹的自动化生成。纹的自动化生成。

【技术实现步骤摘要】
一种网络设备固件指纹模型自动化生成方法及装置


[0001]本专利技术涉及物联网
，尤其涉及一种网络设备固件指纹模型自动化生成方法及装置。

技术介绍

[0002]随着物联网技术的快速普及以及万物互联智能场景的落地，接入到网络空间中的终端设备越来越多，海量的网络设备给人们的生活带来了巨大的便利，加速了信息化的建设。但是由于这些网络设备缺乏细粒度的安全防护措施或是设计上存在较多的安全缺陷，黑客便可以利用这些漏洞对网络设备进行攻击，从而给人们使用网络设备造成巨大影响。从漏洞公开报告中可以发现，漏洞往往与受影响设备的固件版本紧密相关，所以如果能远程识别出在线网络设备的固件版本，无论是对于网络测绘还是安全性分析都起到非常重要的作用。而建立网络设备固件指纹模型是一种常用的识别网络设备固件版本的方法。
[0003]2021年的IEEE Transactions on Dependable and Secure Computing出版的《Understanding Security Risks of Embedded Devices through Fine
‑
grained Firmware Fingerprinting》文献中所建立的指纹模型是以<请求，响应>作为其特征向量的，其方法是从厂商的官网中下载设备固件并解压提取固件的文件系统，首先获得固件文件系统中WWW目录中所有文件的“位置/文件名”构成原始列表，然后在虚拟环境中模拟固件，获取原始列表中可以远程访问的文件列表。以上过程获得的文件列表构成指纹模型中的请求，然后从本地文件中提取元素生成它们的DOM树作为指纹模型中的响应。特征向量构建完毕后，通过爬取厂商官网的支持页面获得设备类型、供应商名称和产品版本等元数据为固件指纹打标签，从而生成固件指纹模型。
[0004]上述的技术方案需要成功下载和解压固件，提取出相关的文件来构建指纹模型。但出于安全等因素考虑，一些供应商不提供研究所需的部分固件，或对固件进行加密等操作，而解压加密的固件映像是非常困难棘手的，这大大缩减了上述方法的适用范围；另外，上述方法也需要仿真模拟固件，但出于商业原因，一些制造商不提供有关固件映像的体系结构和字节序的信息，现有仿真器等工具难以模拟这些固件映像，这同样很大程度限制了该方法的适用范围。

技术实现思路

[0005]本专利技术提供一种网络设备固件指纹模型自动化生成方法及装置，用于远程识别网络设备的固件版本，本专利技术采用网络设备Web服务的页面特征以及静态资源的LMT特征构建指纹特征向量，此两种特征均可以通过Web服务远程获取，解决了现有技术在生成固件指纹模型时，需要登录设备或者解压固件的问题；本专利技术还利用同源探测方法，获取网络设备的固件信息，用以标定指纹特征向量，实现了固件指纹的自动化生成。
[0006]本专利技术提供的网络设备固件指纹模型自动化生成方法，包括：
[0007]根据预定IP地址向第一服务端口发送第一请求；
[0008]接收基于所述第一请求返回的第一数据包，所述第一数据包包括HTTP信息；
[0009]基于所述返回的第一数据包提取网络设备固件的最新更新时间LMT信息；
[0010]根据所述预定IP地址向第二服务端口发送第二请求；
[0011]接收基于所述第二请求返回的第二数据包，所述第二数据包包括网络设备固件版本信息；
[0012]基于所述返回的第二数据包提取网络设备固件版本信息；
[0013]利用所述LMT信息、网络设备固件版本信息构建网络设备固件指纹模型。
[0014]根据本专利技术提供的网络设备固件指纹模型自动化生成方法，所述第一服务端口为Web服务端口。
[0015]根据本专利技术提供的网络设备固件指纹模型自动化生成方法，在接收基于所述第一请求返回的第一数据包后，还包括：
[0016]步骤一、从返回的第一数据包的HTTP Banner头部中检查是否包含最新更新时间LMT信息；
[0017]步骤二、在包含LMT信息的情况下，执行步骤“基于所述返回的第一数据包提取网络设备固件的最新更新时间LMT信息”。
[0018]根据本专利技术提供的网络设备固件指纹模型自动化生成方法，所述基于所述返回的第一数据包提取LMT信息，包括：
[0019]基于所述返回的第一数据包，提取出返回的第一数据包中所有的文件更新时间信息，并保存文件最新更新时间LMT信息。
[0020]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，所述第二服务端口为除Web服务端口外的其他服务端口。
[0021]根据本专利技术提供的网络设备固件指纹模型自动化生成方法，在所述接收基于所述第二请求返回的第二数据包后，还包括：
[0022]步骤一、从返回的第二数据包的Banner头部中检查是否包含设备固件的版本信息；
[0023]步骤二、在包含设备固件的版本信息的情况下，执行步骤“基于所述返回的第二数据包提取网络设备固件版本信息”。
[0024]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，在确定所述返回的第二数据包的Banner头部中包含设备固件的版本信息后，还包括：
[0025]步骤一、判断第一服务端口和第二服务端口是否同源，即是否对应同一网络设备；
[0026]步骤二、在第一服务端口和第二服务端口对应同一网络设备的情况下，执行步骤“利用所述LMT信息、网络设备固件版本信息构建网络设备固件指纹模型”。
[0027]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，所述判断第一服务端口和第二服务端口是否对应同一设备，包括：
[0028]步骤一、判断两个端口的IPID是否相似，若相似则对应同一网络设备；
[0029]步骤二、两个端口的IPID不相似时，进一步判断两个端口的TCP Option字段顺序以及Timestamp是否相同，若相同则对应同一网络设备。
[0030]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，基于所述返回的第二数据包提取网络设备固件版本信息，同时提取所述网络设备的品牌、型号信息。
[0031]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，所述利用所述LMT信息、网络设备固件版本信息构建网络设备固件指纹模型，包括：
[0032]步骤一、通过预定IP地址的第一服务端口获取页面特征；
[0033]步骤二、利用所述页面特征与所述LMT信息，构建网络设备固件的特征向量；
[0034]步骤三、将所述网络设备固件版本信息作为所述网络设备固件的版本标签；
[0035]步骤四、关联所述网络设备固件的特征向量与所述网络设备固件的版本标签，以构建所述网络设备固件指纹模型。
[0036]根据本专利技术提供的一种网络设备固件指纹模型自动化生成方法，所述页面特征采用页面的SimHash聚类值进行表征。
[0037]本专利技术还提供一种网络设备固本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络设备固件指纹模型自动化生成方法，其特征在于，包括：根据预定IP地址向第一服务端口发送第一请求；接收基于所述第一请求返回的第一数据包，所述第一数据包包括HTTP信息；基于所述返回的第一数据包提取网络设备固件的最新更新时间LMT信息；根据所述预定IP地址向第二服务端口发送第二请求；接收基于所述第二请求返回的第二数据包，所述第二数据包包括网络设备固件版本信息；基于所述返回的第二数据包提取网络设备固件版本信息；利用所述LMT信息、网络设备固件版本信息构建网络设备固件指纹模型。2.根据权利要求1所述的网络设备固件指纹模型自动化生成方法，其特征还在于，所述第一服务端口为Web服务端口。3.根据权利要求1所述的网络设备固件指纹模型自动化生成方法，其特征还在于，在接收基于所述第一请求返回的第一数据包后，还包括：从返回的第一数据包的HTTP Banner头部中检查是否包含LMT信息；在包含LMT信息的情况下，执行步骤“基于所述返回的第一数据包提取网络设备固件的最新更新时间LMT信息”。4.根据权利要求1或3所述的网络设备固件指纹模型自动化生成方法，其特征还在于，所述基于所述返回的第一数据包提取最新LMT信息，包括：基于所述返回的第一数据包，提取出返回的第一数据包中所有的文件更新时间信息，并保存文件最新更新时间LMT信息。5.根据权利要求1所述的网络设备固件指纹模型自动化生成方法，其特征还在于，所述第二服务端口为除Web服务端口外的其他服务端口。6.根据权利要求1所述的网络设备固件指纹模型自动化生成方法，其特征还在于，在所述接收基于所述第二请求返回的第二数据包后，还包括：S61、从返回的第二数据包的Banner头部中检查是否包含设备固件的版本信息；S62、在确定所述返回的第二数据包的Banner头部中包含设备固件的版本信息的情况下，执行步骤“基于所述返回的第二数据包提取网络设备固件版本信息”。7.根据权利要求6所述的网络设备固件指纹模型自动化生成方法，其特征还在于，在确定所述返回的第二数据包的Banner头部中包含设备固件的版本信息后，还包括：S71、判断第一服务端口和第二服务端口是否对应同一网络设备；S72、在第一服务端口和第二服务端口对应同一网络设备的情况下，执行步骤“利用所述LMT信息、网络设备固件版本信息构建网络设...

【专利技术属性】
技术研发人员：李志，谷雨，徐顺超，张祖成，朱红松，孙利民，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：