CN105245403B - 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 - Google Patents

Abstract

本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。本发明提供了一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，解决了电网工控协议漏洞挖掘问题，通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议，有效提高模糊测试的效率和准确率。

Description

一种基于模糊测试的电网工控协议漏洞挖掘系统和方法

技术领域

本发明涉及一种漏洞挖掘技术，具体涉及一种基于模糊测试的电网工控协议漏洞挖掘系统和方法。

背景技术

随着计算机技术和网络通信技术应用于电网工业控制系统，带来了电网工业控制网络的安全问题。在电网工业控制网络中，协议安全是整个系统安全的主要环节，只有协议安全可靠，才能保证系统的安全可靠，协议的漏洞是非法入侵者的主要攻击目标。

漏洞挖掘对于协议安全有重大意义，是解决当前电网工业控制协议安全问题的有效途径，它能够在威胁未发生时检测出协议存在的安全隐患，从而排除隐患，避免威胁发生。目前，国内外对于工控系统安全防护已经取得了一定的研究成果，但是对工控协议进行漏洞挖掘的研究仍然很少。

模糊测试是常见的一种漏洞挖掘方法，它的核心思想是通过大量的数据输入，通过覆盖程序的各种执行路径以发现程序的脆弱点，它能够自动完成测试数据的生成、样本构造等工作。目前针对模糊测试的研究主要集中在互联网中未知网络协议的漏洞挖掘上，结合电网工控领域特殊环境的漏洞挖掘研究非常少。因此，将模糊测试技术引入到电网工业控制系统漏洞挖掘研究中，找到一种适合电网工控协议特殊环境的漏洞挖掘方案是十分有必要的。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，解决了电网工控协议漏洞挖掘问题，通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议，有效提高模糊测试的效率和准确率。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。

所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤，之后将过滤得到的目标进程流量发送给报文格式识别模块。

电网工控局域网包括以太网，所述以太网包括共享式以太网和交换式以太网.

针对共享式以太网，所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量；

采用数据包嗅探方式采集数据包流量通过以下两种途径实现：

1)通过数据包捕获软件采集数据包流量，所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap；

2)自行调用网络截包库采集数据包流量，所述网络截包库包括libpcap和WinPcap。

针对交换式以太网，所述流量采集模块从网络设备中采集数据包流量，通过以下两种途径实现：

1)通过基于ARP欺骗的中间人方式采集数据包流量，通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人，再通过中间人发送给流量采集模块；

2)通过交换机端口镜像功能方式所述流量采集模块，将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机，从而实现数据包流量的采集。

所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别，包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；

2)将同一个报文组内的数据报文划分为可变域和不变域；

3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；

4)根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块。

所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试，包括：

1)判断脚本库中是否存在报文设别模块识别的报文格式对应的模糊测试脚本，若存在则调取模糊测试脚本，若不存在模糊测试模块根据报文设别模块识别的报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

2)模糊测试模块根据模糊测试脚本构造测试用例；

3)调用测试用例对报文格式进行模糊测试，得到模糊测试结果，同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。

所述服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，并将漏洞类型和位置存入电网工控协议漏洞库。

本发明还提供一种基于模糊测试的电网工控协议漏洞挖掘方法，所述方法包括以下步骤：

步骤1：判断电网工控协议是否为未知协议，若是则直接执行步骤2，否则表明电网工控协议为已知协议，进一步判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则从报文格式库中调取报文格式后，执行步骤3；

步骤2：对未知协议进行报文格式的识别，之后判断判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则执行步骤3；

步骤3：模糊测试模块根据报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

步骤4：模糊测试模块根据模糊测试脚本构造测试用例，并根据测试用例对文报文格式进行模糊测试，得到模糊测试结果；

步骤5：服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，将漏洞类型和位置存入电网工控协议漏洞库。

所述步骤2中，报文格式识别模块对未知协议进行报文格式的识别,包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；

2)报文格式识别模块将同一个报文组内的数据报文划分为可变域和不变域；

3)报文格式识别模块对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；

4)报文格式识别模块根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块。

与最接近的现有技术相比，本发明提供的技术方案具有以下有益效果：

1)本发明结合电网工控领域特殊环境提供了灵活的测试协议模式选择选项，在已知测试协议模式直接跳过报文格式识别过程，可以针对精确的报文格式进行模糊测试，从而提高模糊测试的准确率；

2)本发明中设置电网工控协议报文格式库和测试脚本库，在模糊测试中利用库中所存储的报文格式和测试脚本，达到在一定条件下简化测试流程、缩短测试时间的目的，从而提高模糊测试的效率；

3)本发明的报文格式识别中采用经典的基于序列长度的渐进比对算法，能够对未知报文格式进行快速有效的识别；

4)本发明将模糊测试技术应用到电网工控协议漏洞挖掘研究中，提出了适合电网工控协议特殊环境的漏洞挖掘方法，方法流程简单，易于实现。

附图说明

图1是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘系统结构图；

图2是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘系统工作原理图；

图3是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统，如图1和图2，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。

所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤，之后将过滤得到的目标进程流量发送给报文格式识别模块。

电网工控局域网包括以太网，所述以太网包括共享式以太网和交换式以太网.

针对共享式以太网，所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量；

采用数据包嗅探方式采集数据包流量通过以下两种途径实现：

1)通过数据包捕获软件采集数据包流量，所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap；

2)自行调用网络截包库采集数据包流量，所述网络截包库包括libpcap和WinPcap。

针对交换式以太网，所述流量采集模块从网络设备中采集数据包流量，通过以下两种途径实现：

1)通过基于ARP欺骗的中间人方式采集数据包流量，通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人，再通过中间人发送给流量采集模块；

2)通过交换机端口镜像功能方式所述流量采集模块，将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机，从而实现数据包流量的采集。

电网工控协议识别就是对协议进行分析，经过分析获得协议的数据的结构和格式、发送和接收的内容的顺序、不同控制字段代表的意义，包括发送方和接收方对控制字段不同内容做出的相应动作等。

网络流量都是基于TCP、IP协议簇的，而TCP、IP协议是分层结构，因此报文格式识别模块需要一层一层地对流量进行分析。TCP/IP协议分为链路层、网络层、传输层、应用层。网络层记录的是网络流量的IP信息，但IP信息容易改变，所以网络层一般不在软件网络协议分析的考虑范围之内；传输层记录的是网络流量的端口信息，但对于网络中P2P类型的软件，端到端的端口都在变，端口的识别也没有意义。因此对于网络协议的分析，是针对应用层协议的分析，因为应用层才能更好地区分不同软件和网络协议。

所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别，包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；具体有：首先，将每个报文以各自原始序号标记，具有相同序号的报文作为一组。接着，对分组中报文进行进一步分析，识别每个报文序列的每个字节，报文中如果是可打印字符用‘a’表示，非可打印字符用‘b’表示，此时这个报文序列对应的类型就形成一个由‘a’和‘b’组成的字符串，由于报文是可变的将连续的‘a’合并为一个‘a’，将连续的‘b’合并为一个‘b’，由此形成一个新序列即类型序列。最后，通过查找组中最频繁的类型序列，发现具有共同类型的报文，从而移除不符合要求的报文；

2)将同一个报文组内的数据报文划分为可变域和不变域；具体有：采用基于序列长度的渐进比对算法对数据报文进行多序列对比，渐进比对算法的思想是通过迭代的利用双序列动态规划比对算法，先由两条序列的对比开始，逐渐增加新序列，直到所有序列都加入为止。主要步骤有：计算距离矩阵、构建向导树、依据向导树进行渐进比对。通过多序列比对可以将多个报文进行对齐，然后根据每一列字节的变化，识别出可变域和不变域，其中不变域中每个字节对应的变化率为0；

3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；具体有：对于每个域，如果找到一个不可打印字符，则表示这个域是二进制域，否则该域为可打印字符域；针对Unicode字符串域识别，Unicode字符串的一个很明显的特征是每个可打印字符之间以“00”间隔，遍历每个序列查找连续间隔出现“00”、而每两个“00”之间是可打印字符的字节范围，根据“00”相对可打印字符的位置确定Unicode编码类型，然后将这个字节范围的字节合并成一个整体作为一个Unicode字符串域；针对长度域的识别，对每个参与比对的序列，在已经识别的域的基础上，穷举所有可能的位置连续的域，并计算其长度，然后在整个序列的二进制域中搜索长度信息，一旦发现匹配的长度就记录下来，对报文组中所有序列的长度求交集，得出长度域；

4)根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块。

所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试，包括：

1)判断脚本库中是否存在报文设别模块识别的报文格式对应的模糊测试脚本，若存在则调取模糊测试脚本，若不存在模糊测试模块根据报文设别模块识别的报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

2)模糊测试模块根据模糊测试脚本构造测试用例，具体有：首先根据脚本规则来生成符合协议通信的数据包，规则没有规定的部分是可以生成畸形数据的位置。在生成了符合协议特征的数据后，开始生成畸形数据对数据报文进行填充。畸形数据生成策略具体包括：整数型字段通过设置不同的特殊数值构造整数溢出类型畸形数据包，包括非常小的数字(-1，0，1等)、非常大的数字(0xffff，0xffffffff等)、字段取值范围附近的数值(2⁸，2⁸-1，2⁸+1，2¹⁶等)；字符型字段通过设置不同的特殊字符构造畸形数据包，包括使用超长字符串用来检测字符串溢出、格式化字符串(添加％n等类似子串)等；

3)调用测试用例对报文格式进行模糊测试，得到模糊测试结果，同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。

SPIKE模糊测试器是模糊测试模块的核心，是进行模糊测试的程序，由主控程序和数据包构造程序组成。其中，主控程序负责和目标服务程序进行交互操作，数据包构造程序通过脚本的形式实现。脚本存放着构造相应数据包的语句，主控程序根据脚本构造具体的数据报文。

对于模糊数据的生成，由于测试集的选取直接影响到测试的最终效果，必须选取具有代表性的测试用例集，将以前导致过类似目标对象异常的数据加入到模糊数据列表中。在测试时将模糊数据列表中的数据加以变异并通过会话接口发向目标对象，使测试更加明确可行。

所述服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，并将漏洞类型和位置存入电网工控协议漏洞库。

本发明还提供一种基于模糊测试的电网工控协议漏洞挖掘方法，如图3，所述方法包括以下步骤：

步骤1：判断电网工控协议是否为未知协议，若是则直接执行步骤2，否则表明电网工控协议为已知协议，进一步判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则从报文格式库中调取报文格式后，执行步骤3；

步骤2：对未知协议进行报文格式的识别，之后判断判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则执行步骤3；

步骤3：模糊测试模块根据报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

步骤4：模糊测试模块根据模糊测试脚本构造测试用例，并根据测试用例对文报文格式进行模糊测试，得到模糊测试结果；

步骤5：服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，将漏洞类型和位置存入电网工控协议漏洞库。

所述步骤2中，报文格式识别模块对未知协议进行报文格式的识别,包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；

2)报文格式识别模块将同一个报文组内的数据报文划分为可变域和不变域；

3)报文格式识别模块对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；

4)报文格式识别模块根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (1)

1.一种基于模糊测试的电网工控协议漏洞挖掘方法，其特征在于：所述方法通过电网工控协议漏洞挖掘系统实现，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联；

所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤，之后将过滤得到的目标进程流量发送给报文格式识别模块；

电网工控局域网包括以太网，所述以太网包括共享式以太网和交换式以太网；

针对共享式以太网，所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量；

采用数据包嗅探方式采集数据包流量通过以下两种途径实现：

1)通过数据包捕获软件采集数据包流量，所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap；

2)自行调用网络截包库采集数据包流量，所述网络截包库包括libpcap和WinPcap；

针对交换式以太网，所述流量采集模块从网络设备中采集数据包流量，通过以下两种途径实现：

1)通过基于ARP欺骗的中间人方式采集数据包流量，通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人，再通过中间人发送给流量采集模块；

2)通过交换机端口镜像功能方式采集数据包流量，将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机，从而实现数据包流量的采集；

所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别，包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；

2)将同一个报文组内的数据报文划分为可变域和不变域；

3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；

4)根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块；

所述服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，并将漏洞类型和位置存入电网工控协议漏洞库；

所述方法包括以下步骤：

步骤1：判断电网工控协议是否为未知协议，若是则直接执行步骤2，否则表明电网工控协议为已知协议，进一步判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则从报文格式库中调取报文格式后，执行步骤3；

步骤2：对未知协议进行报文格式的识别，之后判断判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则执行步骤3；

步骤3：模糊测试模块根据报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

步骤4：模糊测试模块根据模糊测试脚本构造测试用例，并根据测试用例对文报文格式进行模糊测试，得到模糊测试结果；

步骤5：服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，将漏洞类型和位置存入电网工控协议漏洞库；

所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试，包括：

1)判断脚本库中是否存在报文识别模块识别的报文格式对应的模糊测试脚本，若存在则调取模糊测试脚本，若不存在模糊测试模块根据报文识别模块识别的报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

2)模糊测试模块根据模糊测试脚本构造测试用例；

3)调用测试用例对报文格式进行模糊测试，得到模糊测试结果，同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。