[发明专利]基于相似度判定的嵌入式操作系统内核版本识别方法

说明书

（一）、技术领域：本发明涉及一种操作系统内核版本识别方法，特别是涉及一种基于相似度判定的嵌入式操作系统内核版本识别方法。

（二）、背景技术:在当前数字信息技术和网络技术高速发展的后PC时代，嵌入式系统已经广泛地渗透到科学研究、工程设计、军事技术、工业产业以及人们日常生活的方方面面中，如汽车、飞机、武器等行业中的工业控制核心电子设备，以及安全路由器、加密网关、防火墙等网络安全通信设施的关键嵌入式设备。对嵌入式设备进行逆向分析有助于吸收借鉴其它嵌入式电子设备的技术，提高自我设计制造能力，进而提升产品的核心竞争能力。此外，在军事领域中有利于掌握对手的武器装备技术，提高军事信息对抗能力。

嵌入式设备中的固件代码是指存储于设备的ROM、FLASH等存储器中的二进制程序，包含了该设备使用的操作系统代码、文件系统和用户代码。通过对固件进行逆向分析可以理解用户代码的功能模块，组成状况以及运作方式，为嵌入式设备的解剖分析提供有力的支撑。

操作系统内核版本识别是嵌入式设备固件逆向分析的重要步骤，在固件代码逆向分析的过程中，明确操作系统的类型是必要的前提和基础，在此基础上才能针对相应的操作系统及用户软件展开解读与分析。由于电子设备应用领域千差万别，不同嵌入式系统所采用的操作系统类型及内核版本也存在相应的差异。如果在分析工作之前能够确定操作系统及其版本，就可以利用公开的内核源码、技术手册等资料辅助分析，使分析工作更具有针对性，从而提高分析工作的准确性和效率，因此操作系统内核版本分析具有重要作用和意义。

传统的操作系统内核版本识别方法是对固件中特定的字符串进行匹配，以嵌入式实时操作系统VxWorks为例，其固件中通常会存在“VxWorks”的字符串。然而这种方法存在一定的局限性：首先，这种方法通常使用人工分析，缺少一个自动化的识别工具；其次，在某些特殊的嵌入式设备中，操作系统信息是不公开的，开发者会将这些标识系统类型的关键字擦除，以达到隐藏操作系统信息的目的；最后，这种方法只能针对部分操作系统，缺乏通用性。

另一种方法是根据固件二进制特征进行识别，但由于二进制内核映像是纯二进制代码，不包含有可执行文件的结构化信息、符号和调试信息，不利于进行逆向分析；其次由于固件开发过程中内核编译阶段采用的编译器版本不对称，导致即使相同版本内核源码编译出的内核映像也可能不同，因此在二进制级别上进行识别非常困难。

（三）、发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种基于相似度判定的嵌入式操作系统内核版本识别方法；该方法通过对内核代码进行反汇编和流程分析，将待识别内核与标准内核进行函数比对，通过匹配函数的总数计算两者之间的相似程度，根据相似度的结果判定内核版本，可以有效地识别操作系统的内核版本，提高了操作系统内核版本识别的准确性和通用性。

本发明的技术方案：

一种基于相似度判定的嵌入式操作系统内核版本识别方法，含有下列步骤：

步骤1：收集不同类型标准嵌入式操作系统的内核版本，通过正向编译、反汇编处理，得到标准内核函数序列Q_std<f₁,f₂…,f_n>，从标准内核函数序列中提取N个标准内核的函数结构化特征KernelSig_std，将N个标准内核的函数结构化特征KernelSig_std存入内核结构化特征库，N为大于等于1的自然数；

步骤2：对待识别的嵌入式操作系统内核进行反汇编分析，得到待识别内核函数序列从待识别内核函数序列中提取相应的待识别内核的函数结构化特征KernelSig_tar；

步骤3：使用内核函数结构化匹配算法f_match(Q_tar,Q_std)，将待识别内核的函数结构化特征按次序与内核结构化特征库中的一个标准内核的函数结构化特征进行匹配，并根据匹配结果计算出两者的相似度KSim；

步骤4：判断待识别内核的函数结构化特征是否已经与内核结构化特征库中的N个标准内核的函数结构化特征都进行了匹配？如果是，执行步骤5；如果不是，执行步骤3；

步骤5：待识别内核的函数结构化特征与内核结构化特征库中的N个标准内核的函数结构化特征都进行匹配后，得到N个相似度，对N个相似度进行排序，根据各相似度的排名及分布情况对待识别的嵌入式操作系统内核版本进行识别并做出判定。