%0 Journal Article
%T 不依赖版本字符串的开源组件版本识别
%A 孙利民
%A 尹丽波
%A 张卫东
%A 文辉
%A 李红
%J -
%D 2018
%X 由于软件代码复用和第三方SDK的广泛使用，开源组件普遍存在于物联网设备固件中.威胁固件的安全漏洞往往存在于组件的某些特定版本中，识别物联网设备固件中开源二进制组件的版本信息，对于物联网的安全评估与应急响应意义重大.现有的基于版本字符串的版本信息提取方法不适用于组件版本字符串缺失的情况.设计和实现了一种不依赖于版本字符串的开源组件版本识别方法Protues.该方法的核心思想是通过开源组件相邻版本源码间的差异构造一条版本差异链，从而将版本识别问题转化为待查组件在版本差异链上的滑动查询问题.进一步地，为了提高识别准确率，采用条件判断表达式来表征版本差异链上的节点.为了验证该方法的实用性，对来自于4种开源组件Samba，Msmtp，Nginx和Libgcrypt的共428个二进制文件进行了版本识别实验，实验结果表明，该方法能够准确识别的版本数达到418个，识别准确率约为98%
%K 物联网 固件 开源组件 版本识别 条件表达式
%U http://www.jos.org.cn/jos/ch/reader/view_abstract.aspx?file_no=18009&flag=1