-
公开(公告)号:CN108280197A
公开(公告)日:2018-07-13
申请号:CN201810082622.1
申请日:2018-01-29
Applicant: 中国科学院信息工程研究所 , 国家计算机网络与信息安全管理中心
Abstract: 本发明提供一种识别同源二进制文件的方法及系统,所述方法包括:S1,使用最小哈希算法分别获取待识别二进制文件和各原二进制文件的签名;S2,使用分桶法对各所述签名进行分桶,获取各所述签名划分到各桶的字符串;其中,位于同一桶中的各所述字符串具有相同的字符数;S3,根据各桶中所述原二进制文件的签名对应的字符串,使用倒排索引法获取与各桶一一对应的字典;S4,根据各桶中所述待识别二进制文件的签名对应的字符串,从各桶对应的字典中获取与所述待识别二进制文件同源的原二进制文件。本发明减少计算量,提高识别同源二进制文件的速度和精度,适用于各种同源二进制文件的识别。
-
公开(公告)号:CN109063055B
公开(公告)日:2021-02-02
申请号:CN201810798277.1
申请日:2018-07-19
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种同源二进制文件检索方法和装置,该方法包括:将待检测二进制文件的字符串序列输入至预先训练的神经网络模型,输出编码向量;对编码向量进行局部敏感哈希运算,生成待检测二进制文件的哈希签名;计算待检测二进制文件的哈希签名与数据库中的各哈希签名的相似度哈希;其中,数据库中记录样本二进制文件和哈希签名;将满足同源性阈值的相似度哈希对应的样本二进制文件作为待检测二进制文件的同源二进制文件;其中,神经网络模型根据样本二进制文件的字符串序列以及样本二进制文件的编码向量训练而成。本发明提供一种同源二进制文件检索方法和装置,能得到满足条件的同源二进制文件,对于快速修补嵌入式设备固件的漏洞有较好的效果。
-
公开(公告)号:CN107229563B
公开(公告)日:2020-07-10
申请号:CN201610178368.6
申请日:2016-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种跨架构的二进制程序漏洞函数关联方法。本方法为:1)对待二进制程序的二进制文件进行逆向分析,得到一待测函数库;然后根据该待测函数库,获取函数调用图、函数控制流图、函数基本属性;2)根据函数调用图、函数控制流图、函数基本属性提取每一待测函数的特征;然后根据提取的特征和漏洞函数的特征,计算每一待测函数与漏洞函数的数值相似度;3)对于每一待测函数,分别构造该待测函数与漏洞函数的赋权二部图,采用二部图算法计算该待测函数与漏洞函数的整体相似度;4)如果待测函数与漏洞函数的整体相似度大于设定判定阈值,则判定该待测函数为疑似漏洞函数,反之判定为正常函数。本方法实现简单,易于推广。
-
Patent Agency Ranking
公开(公告)号:CN105488531B
公开(公告)日:2018-10-16
申请号:CN201510855073.3
申请日:2015-11-30
Applicant: 中国科学院信息工程研究所 , 国家计算机网络与信息安全管理中心
IPC: G06K9/62
Abstract: 本发明涉及一种嵌入式设备固件解压成功的判断方法,其主要步骤包括:试验样本集固件收集、固件熵谱获取、固件熵谱指纹特征提取、分类器训练及固件是否解压成功的判断。该方法采用处理图像信号的方法对固件熵谱作相应处理,提取了固件熵谱的多域综合特征;利用正向熵阈值和负向熵阈值之间的回差有效避免了熵值在多次穿越单一阈值时所产生的干扰;在训练分类器时,首先对固件熵谱特征作Z‑Score标准化处理,再采用机器学习的思想和K折交叉验证的方法对分类器进行多次交叉重复训练;对于待测试固件,通过加权统计的方法对各分类器判断结果进行累计加权统计,以次数居多者作为对固件是否解压成功的最终判定结果,保证了所得结果的准确性。
-
公开(公告)号:CN105868108B
公开(公告)日:2018-09-07
申请号:CN201610182075.5
申请日:2016-03-28
Applicant: 中国科学院信息工程研究所 , 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及一种基于神经网络的指令集无关的二进制代码相似性检测方法,其主要步骤包括:对二进制文件进行逆向分析,提取函数的调用关系特征、字符串特征、栈空间特征、代码规模特征、路径序列特征、路径基本特征,度序列特征、度基本特征,图规模特征等9个方面共24个特征。基于特征的表现形式,采用3种相似度计算方法计算待比较的两个函数的24个特征的相似程度,作为集成神经网络分类器的输入向量,获得两个函数整体相似度的预测值并进行排序。本发明与现有的技术比,不依赖特定的指令集,可以实现不同指令集的二进制文件的相似度检测,准确率高,技术简单,易于推广。
-
公开(公告)号:CN106295335A
公开(公告)日:2017-01-04
申请号:CN201510319074.6
申请日:2015-06-11
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出了一种面向嵌入式设备的固件漏洞检测方法及系统,涉及嵌入式设备固件的漏洞挖掘与分析。本发明可利用固件中的函数之间的关联性,将已挖掘到的固件漏洞自动扩散到其他固件。其方法流程主要包括:固件爬取与漏洞收集,设备信息提取,固件的解码与反汇编,函数的指纹提取与匹配以及漏洞验证等步骤。本发明通过属性计数型指纹配合结构度量型指纹的方法兼顾了匹配的速度与精度,同时所用到的指纹特征均具有跨编译器和跨处理器平台的特性,因此保证了匹配时的强鲁棒性。
-
公开(公告)号:CN108280197B
公开(公告)日:2020-09-11
申请号:CN201810082622.1
申请日:2018-01-29
Applicant: 中国科学院信息工程研究所 , 国家计算机网络与信息安全管理中心
Abstract: 本发明提供一种识别同源二进制文件的方法及系统,所述方法包括:S1,使用最小哈希算法分别获取待识别二进制文件和各原二进制文件的签名;S2,使用分桶法对各所述签名进行分桶,获取各所述签名划分到各桶的字符串;其中,位于同一桶中的各所述字符串具有相同的字符数;S3,根据各桶中所述原二进制文件的签名对应的字符串,使用倒排索引法获取与各桶一一对应的字典;S4,根据各桶中所述待识别二进制文件的签名对应的字符串,从各桶对应的字典中获取与所述待识别二进制文件同源的原二进制文件。本发明减少计算量,提高识别同源二进制文件的速度和精度,适用于各种同源二进制文件的识别。
-
公开(公告)号:CN107229563A
公开(公告)日:2017-10-03
申请号:CN201610178368.6
申请日:2016-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种跨架构的二进制程序漏洞函数关联方法。本方法为:1)对待二进制程序的二进制文件进行逆向分析,得到一待测函数库;然后根据该待测函数库,获取函数调用图、函数控制流图、函数基本属性;2)根据函数调用图、函数控制流图、函数基本属性提取每一待测函数的特征;然后根据提取的特征和漏洞函数的特征,计算每一待测函数与漏洞函数的数值相似度;3)对于每一待测函数,分别构造该待测函数与漏洞函数的赋权二部图,采用二部图算法计算该待测函数与漏洞函数的整体相似度;4)如果待测函数与漏洞函数的整体相似度大于设定判定阈值,则判定该待测函数为疑似漏洞函数,反之判定为正常函数。本方法实现简单,易于推广。
-
-
-
-
-
-
-
Search Results
18
records
(took 0.03 seconds)
