设备厂商推测方法、设备、存储介质及装置制造方法及图纸

本发明专利技术涉及网络安全技术领域，公开了一种设备厂商推测方法、设备、存储介质及装置，该方法包括：分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果，分析待测固件的软件包列表在固件数据库中的共现频率，获得软件包共现分析结果，分析待测固件的已知漏洞列表在固件数据库中的共现频率，获得漏洞共现分析结果，根据文件共现分析结果、软件包共现分析结果以及漏洞共现分析结果推测待测固件的设备厂商信息；由于本发明专利技术从文件共现相似性分析、软件包共现相似性分析以及漏洞共现相似分析三个维度综合推测固件的设备厂商信息，从而能够准确获取固件的设备厂商信息。息。息。

【技术实现步骤摘要】
设备厂商推测方法、设备、存储介质及装置


[0001]本专利技术涉及网络安全
，尤其涉及一种设备厂商推测方法、设备、存储介质及装置。

技术介绍

[0002]近年来，随着入网的物联网设备(Internet of Things，IoT)的数量和种类迅速增长，物联网设备几乎已经融入各行各业，如工业、能源业等领域，一旦物联网设备被恶意利用将造成广泛的影响。
[0003]因此，为了确保物联网设备的安全性，现有技术中通常通过对物联网设备的固件进行分析，以检测物联网设备的漏洞。但是，在实际应用中，固件分析场景通常为黑盒分析场景，无法直接获得可靠的设备厂商信息。
[0004]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0005]本专利技术的主要目的在于提供一种设备厂商推测方法、设备、存储介质及装置，旨在解决现有技术中固件分析场景通常为黑盒分析场景，无法直接获得可靠的固件信息的技术问题。
[0006]为实现上述目的，本专利技术提供一种设备厂商推测方法，所述设备厂商推测方法包括以下步骤：
[0007]分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果；
[0008]分析所述待测固件的软件包列表在所述固件数据库中的共现频率，获得软件包共现分析结果；
[0009]分析所述待测固件的已知漏洞列表在所述固件数据库中的共现频率，获得漏洞共现分析结果；
[0010]根据所述文件共现分析结果、所述软件包共现分析结果以及所述漏洞共现分析结果推测所述待测固件的设备厂商信息。
[0011]可选地，所述分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果，包括：
[0012]对待测固件进行解包，获得所述待测固件的文件列表；
[0013]计算所述文件列表中各文件的哈希值；
[0014]基于所述哈希值分析所述待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果。
[0015]可选地，所述对待测固件进行解包，获得所述待测固件的文件列表，包括：
[0016]提取待测固件对应的固件压缩包，并对所述固件压缩包进行解压；
[0017]在解压失败时，对所述固件压缩包进行密码破解，获得所述固件压缩包的加密密
码；
[0018]基于所述加密密码对所述固件压缩包再次进行解压，获得所述待测固件的文件列表。
[0019]可选地，所述基于所述加密密码对所述压缩包再次进行解压，获得所述待测固件的文件列表，包括：
[0020]基于所述加密密码对所述固件压缩包再次进行解压，获得固件根文件镜像；
[0021]根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得所述待测固件的文件列表。
[0022]可选地，所述根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得所述待测固件的文件列表，包括：
[0023]根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得固件根文件系统；
[0024]遍历所述固件根文件系统中的文件，获得所述待测固件的文件列表。
[0025]可选地，所述设备厂商推测方法还包括：
[0026]获取物联网设备上报的固件数据，并收集所述物联网设备对应的设备厂商的资源数据；
[0027]对所述固件数据和所述资源数据进行聚合，获得聚合数据；
[0028]基于所述聚合数据生成固件数据库。
[0029]可选地，所述基于所述聚合数据生成固件数据库，包括：
[0030]提取所述聚合数据的数据特征；
[0031]根据自然语言处理模型和所述数据特征进行数据推理，获得所述聚合数据对应的推理数据；
[0032]基于所述聚合数据和所述推理数据生成固件数据库。
[0033]可选地，所述分析所述待测固件的已知漏洞列表在所述固件数据库中的共现频率，获得漏洞共现分析结果之前，还包括：
[0034]遍历所述文件列表中的配置文件，并对所述配置文件进行文件分析，获得文件分析结果；
[0035]对所述待测固件进行熵分析，获得熵分析结果；
[0036]调用预设脚本对所述文件列表进行遍历，获得所述文件列表中的敏感文件信息；
[0037]基于所述文件分析结果、所述熵分析结果以及所述敏感文件信息生成所述待测固件的已知漏洞列表。
[0038]可选地，所述对所述待测固件进行熵分析，获得熵分析结果，包括：
[0039]对所述待测固件进行熵分析，获得固件文件中数据位的连续变化曲线；
[0040]基于所述连续变化曲线对所述待测固件的加密特征进行分析，获得熵分析结果。
[0041]可选地，所述根据所述文件共现分析结果、所述软件包共现分析结果以及所述漏洞共现分析结果推测所述待测固件的设备厂商信息，包括：
[0042]根据所述待测固件的固件类型确定固件推测模型；
[0043]基于所述固件推测模型生成各分析结果对应的权重值；
[0044]根据所述文件共现分析结果、所述软件包共现分析结果、所述漏洞共现分析结果
以及所述权重值推测所述待测固件的设备厂商信息。
[0045]可选地，所述根据所述文件共现分析结果、所述软件包共现分析结果以及所述漏洞共现分析结果推测所述待测固件的设备厂商信息之后，还包括：
[0046]根据所述设备厂商信息对各物联网设备进行漏洞分析，获得漏洞分析结果；
[0047]基于所述漏洞分析结果确定各设备漏洞的影响范围。
[0048]此外，为实现上述目的，本专利技术还提出一种设备厂商推测设备，所述设备厂商推测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的设备厂商推测程序，所述设备厂商推测程序配置为实现如上文所述的设备厂商推测方法。
[0049]此外，为实现上述目的，本专利技术还提出一种存储介质，所述存储介质上存储有设备厂商推测程序，所述设备厂商推测程序被处理器执行时实现如上文所述的设备厂商推测方法。
[0050]此外，为实现上述目的，本专利技术还提出一种设备厂商推测装置，所述设备厂商推测装置包括：文件分析模块、软件包分析模块、漏洞分析模块以及信息推测模块；
[0051]所述文件分析模块，用于分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果；
[0052]所述软件包分析模块，用于分析所述待测固件的软件包列表在所述固件数据库中的共现频率，获得软件包共现分析结果；
[0053]所述漏洞分析模块，用于分析所述待测固件的已知漏洞列表在所述固件数据库中的共现频率，获得漏洞共现分析结果；
[0054]所述信息推测模块，用于根据所述文件共现分析结果、所述软件包共现分析结果以及所述漏洞共现分析结果推测所述待测固件的设备厂商信息。
[0055]可选地，所述文件分析模块，还用于对待测固件进本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种设备厂商推测方法，其特征在于，所述设备厂商推测方法包括：分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果；分析所述待测固件的软件包列表在所述固件数据库中的共现频率，获得软件包共现分析结果；分析所述待测固件的已知漏洞列表在所述固件数据库中的共现频率，获得漏洞共现分析结果；根据所述文件共现分析结果、所述软件包共现分析结果以及所述漏洞共现分析结果推测所述待测固件的设备厂商信息。2.如权利要求1所述的设备厂商推测方法，其特征在于，所述分析待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果，包括：对待测固件进行解包，获得所述待测固件的文件列表；计算所述文件列表中各文件的哈希值；基于所述哈希值分析所述待测固件的文件列表在固件数据库中的共现频率，获得文件共现分析结果。3.如权利要求2所述的设备厂商推测方法，其特征在于，所述对待测固件进行解包，获得所述待测固件的文件列表，包括：提取待测固件对应的固件压缩包，并对所述固件压缩包进行解压；在解压失败时，对所述固件压缩包进行密码破解，获得所述固件压缩包的加密密码；基于所述加密密码对所述固件压缩包再次进行解压，获得所述待测固件的文件列表。4.如权利要求3所述的设备厂商推测方法，其特征在于，所述基于所述加密密码对所述压缩包再次进行解压，获得所述待测固件的文件列表，包括：基于所述加密密码对所述固件压缩包再次进行解压，获得固件根文件镜像；根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得所述待测固件的文件列表。5.如权利要求4所述的设备厂商推测方法，其特征在于，所述根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得所述待测固件的文件列表，包括：根据所述固件根文件镜像对应的解包脚本对所述固件根文件镜像进行解包，获得固...

【专利技术属性】
技术研发人员：袁静，刘阳，高强，张伟，陈禹，徐峰，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：