(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111623969.0 (22)申请日 2021.12.28 (71)申请人 国网冀北电力有限公司信息通信分 公司 地址 100053 北京市西城区枣林前街32号 申请人 国家电网有限公司 (72)发明人 张实君　来骥　李硕　徐相森　 曾婧　杨睿　许大卫　聂正璞　 常海娇　那琼澜　孟德　李贤　 寇晓溪　肖娜　管嘉珩　王海超　 吕冰　高崧　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 贾磊　刘飞(51)Int.Cl. G06F 21/57(2013.01) G06F 8/53(2018.01) G06K 9/62(2022.01) (54)发明名称 一种跨平台固件二进制代码漏洞挖掘的方 法 (57)摘要 本文提供了一种跨平台固件二进制代码漏 洞挖掘的方法， 其中方法包括： 对固件二进制代 码反汇编后， 提取汇编代码的特征描述； 将所述 特征描述作为聚类算法的输入， 判断所述特征描 述是否属于任一已知簇； 若是， 则更新所有已知 簇的聚类中心点； 若否， 则形成新的簇以及新的 簇对应的聚类中心点； 根据所有簇的聚类中心点 间的距离变化， 确定所述固件的漏洞类型。 本文 能够进行跨平台二进制代码漏洞挖掘， 进而较高 准确度的确定固件漏洞类型。 权利要求书2页 说明书10页 附图6页 CN 114329487 A 2022.04.12 CN 114329487 A 1.一种跨平台 固件二进制代码漏洞挖掘的方法， 其特 征在于， 包括： 对固件二进制代码反汇编 后， 提取汇编代码的特 征描述； 将所述特 征描述作为聚类算法的输入， 判断所述特 征描述是否属于任一已知簇； 若是， 则更新所有已知簇的聚类中心点； 若否， 则形成新的簇以及新的簇对应的聚类中心点； 根据所有簇的聚类中心点间的距离变化， 确定所述固件的漏洞类型。 2.根据权利要求1所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述对 固件二进制代码反汇编 后， 提取汇编代码的特 征描述进一 步包括： 对固件二进制代码反汇编 后， 得到汇编代码； 根据所述汇编代码， 得到函数控制流图和函数调用关系图； 根据所述函数控制流图中每个节点的跳转关系形成跳转关系矩阵， 所述函数控制流图 中的每个节点为所述汇编代码中函数中的基本块， 并记录所述每个节点的前驱节点个数和 后继节点个数为基本块数组； 根据所述函数调用关系图中每个节点调用其他节点的次数以及该节点被调用的次数 形成调用关系矩阵， 所述 函数调用关系图中的节点 为所述汇编代码中的函数； 仅通过所述跳转关系矩阵、 所述基本块数组以及所述调用关系矩阵构成所述特征描 述。 3.根据权利要求2所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述对 固件二进制代码反汇编 后， 得到汇编代码进一 步包括： 解析所述固件二进制代码， 得到固件主体部分； 对所述固件主体部分进行压缩算法的识别， 分离出引导加载程序、 内核和文件系统； 根据所述文件系统， 确定可反汇编的二进制文件； 对所述可反汇编的二进制文件进行反汇编 后， 得到汇编代码。 4.根据权利要求1所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述 聚 类算法为： 支持向量机算法、 邻近算法或K均值聚类算法。 5.根据权利要求1所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述将 所述特征描述作为聚类算法的输入， 判断所述特 征描述是否属于任一已知簇进一 步包括： 将所述特 征描述作为对象， 计算所述对象与所有已知簇之间的距离； 判断其中最小距离是否在设定阈值范围内； 若是， 则所述特 征描述属于所述 最小距离对应的已知簇； 若否， 则所述特 征描述不属于任一已知簇 。 6.根据权利要求5所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述将 所述特征描述作为对象， 计算所述对象与所有已知簇之间的距离进一 步包括： 通过如下公式计算所述对象与所有已知簇之间的距离： 其中 dist为对象x与任一已知簇之间的距离， x为对权　利　要　求　书 1/2 页 2 CN 114329487 A 2象对应的点的值， y为已知簇内任一 点的值， n 为已知簇内点的数目。 7.根据权利要求5所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述设 定阈值范围为： 其中， m为大于1的常数， k为已知簇的数目， p erimeter为所有已知簇的聚类中心点构成 的k边形的周长 。 8.根据权利要求1所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述更 新所有已知簇的聚类中心点进一 步包括： 通过如下公式更新所有已知簇的聚类中心点： 其中， μi为任一已知 簇更新后的聚类中心点， |Ci|为任一已知 簇的聚类中心点的值， s为 任一已知簇内任一 点的值。 9.根据权利要求1所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述根 据所有簇的聚类中心点间的距离变化， 确定所述固件的漏洞类型进一 步包括： 根据所有簇的聚类中心点间的距离变化， 得到均值差数组； 比较所述均值差数组中任一元 素与簇间距离预设值之间的大小关系； 根据比较结果， 确定所述固件的漏洞类型。 10.根据权利要求9所述的跨平台固件二进制代码漏洞挖掘的方法， 其特征在于， 所述 簇间距离预设值 为： 其中， ε为簇间距 离预设值， k为聚类中心点的数目， differi为任一更新后的聚类中心点 与对应的更新前的聚类中心点的差值， 为k个差值的平均值。权　利　要　求　书 2/2 页 3 CN 114329487 A 3