针对物联网设备中命令注入漏洞危害严重,而现有静态分析误报率高、动态分析覆盖率低及代码相似性检测难以处理跨函数漏洞的问题,提出一种融合数据流分析与语义嵌入的物联网设备命令注入漏洞检测系统CIDefuse。该系统首先利用轻量级的反向可达定义分析技术,从固件二进制代码中快速剪枝并精确提取跨函数的漏洞候选路径。随后,通过一个精心设计的层次化图嵌入网络捕捉代码的深层结构与语义信息,实现对漏洞的精准识别。基于真实设备数据集的实验结果表明,CIDefuse取得了0.93的曲线下面积(AUC)值,93.75%的精确率和90.91%的F1值,性能优于主流静态分析工具和代码相似性检测方法。此外,CIDefuse成功挖掘出3个此前未知的跨函数命令注入漏洞,并均已获得国家信息安全漏洞共享平台(CNVD)的官方认证,证明了系统的有效性和实际应用价值。
(8.0+极速模式)