CN105245403B - 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 - Google Patents
一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 Download PDFInfo
- Publication number
- CN105245403B CN105245403B CN201510705423.8A CN201510705423A CN105245403B CN 105245403 B CN105245403 B CN 105245403B CN 201510705423 A CN201510705423 A CN 201510705423A CN 105245403 B CN105245403 B CN 105245403B
- Authority
- CN
- China
- Prior art keywords
- fuzz testing
- module
- message format
- flow
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 149
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000009412 basement excavation Methods 0.000 title claims abstract description 25
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000013459 approach Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000011160 research Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000750 progressive effect Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法,所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块;所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。本发明提供了一种基于模糊测试的电网工控协议漏洞挖掘系统和方法,解决了电网工控协议漏洞挖掘问题,通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议,有效提高模糊测试的效率和准确率。
Description
技术领域
本发明涉及一种漏洞挖掘技术,具体涉及一种基于模糊测试的电网工控协议漏洞挖掘系统和方法。
背景技术
随着计算机技术和网络通信技术应用于电网工业控制系统,带来了电网工业控制网络的安全问题。在电网工业控制网络中,协议安全是整个系统安全的主要环节,只有协议安全可靠,才能保证系统的安全可靠,协议的漏洞是非法入侵者的主要攻击目标。
漏洞挖掘对于协议安全有重大意义,是解决当前电网工业控制协议安全问题的有效途径,它能够在威胁未发生时检测出协议存在的安全隐患,从而排除隐患,避免威胁发生。目前,国内外对于工控系统安全防护已经取得了一定的研究成果,但是对工控协议进行漏洞挖掘的研究仍然很少。
模糊测试是常见的一种漏洞挖掘方法,它的核心思想是通过大量的数据输入,通过覆盖程序的各种执行路径以发现程序的脆弱点,它能够自动完成测试数据的生成、样本构造等工作。目前针对模糊测试的研究主要集中在互联网中未知网络协议的漏洞挖掘上,结合电网工控领域特殊环境的漏洞挖掘研究非常少。因此,将模糊测试技术引入到电网工业控制系统漏洞挖掘研究中,找到一种适合电网工控协议特殊环境的漏洞挖掘方案是十分有必要的。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法,解决了电网工控协议漏洞挖掘问题,通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议,有效提高模糊测试的效率和准确率。
为了实现上述发明目的,本发明采取如下技术方案:
本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统,所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块;所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。
所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤,之后将过滤得到的目标进程流量发送给报文格式识别模块。
电网工控局域网包括以太网,所述以太网包括共享式以太网和交换式以太网.
针对共享式以太网,所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量;
采用数据包嗅探方式采集数据包流量通过以下两种途径实现:
1)通过数据包捕获软件采集数据包流量,所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap;
2)自行调用网络截包库采集数据包流量,所述网络截包库包括libpcap和WinPcap。
针对交换式以太网,所述流量采集模块从网络设备中采集数据包流量,通过以下两种途径实现:
1)通过基于ARP欺骗的中间人方式采集数据包流量,通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人,再通过中间人发送给流量采集模块;
2)通过交换机端口镜像功能方式所述流量采集模块,将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机,从而实现数据包流量的采集。
所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别,包括:
1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类,提取目标进程流量中同类型的报文序列作为一个报文组;
2)将同一个报文组内的数据报文划分为可变域和不变域;
3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别,得到识别结果;
4)根据识别结果构造出完整的报文格式,并把报文格式存入报文格式库,同时报文格式识别模块将报文格式发送给模糊测试模块。
所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试,包括:
1)判断脚本库中是否存在报文设别模块识别的报文格式对应的模糊测试脚本,若存在则调取模糊测试脚本,若不存在模糊测试模块根据报文设别模块识别的报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
2)模糊测试模块根据模糊测试脚本构造测试用例;
3)调用测试用例对报文格式进行模糊测试,得到模糊测试结果,同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。
所述服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,并将漏洞类型和位置存入电网工控协议漏洞库。
本发明还提供一种基于模糊测试的电网工控协议漏洞挖掘方法,所述方法包括以下步骤:
步骤1:判断电网工控协议是否为未知协议,若是则直接执行步骤2,否则表明电网工控协议为已知协议,进一步判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则从报文格式库中调取报文格式后,执行步骤3;
步骤2:对未知协议进行报文格式的识别,之后判断判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则执行步骤3;
步骤3:模糊测试模块根据报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
步骤4:模糊测试模块根据模糊测试脚本构造测试用例,并根据测试用例对文报文格式进行模糊测试,得到模糊测试结果;
步骤5:服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,将漏洞类型和位置存入电网工控协议漏洞库。
所述步骤2中,报文格式识别模块对未知协议进行报文格式的识别,包括:
1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类,提取目标进程流量中同类型的报文序列作为一个报文组;
2)报文格式识别模块将同一个报文组内的数据报文划分为可变域和不变域;
3)报文格式识别模块对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别,得到识别结果;
4)报文格式识别模块根据识别结果构造出完整的报文格式,并把报文格式存入报文格式库,同时报文格式识别模块将报文格式发送给模糊测试模块。
与最接近的现有技术相比,本发明提供的技术方案具有以下有益效果:
1)本发明结合电网工控领域特殊环境提供了灵活的测试协议模式选择选项,在已知测试协议模式直接跳过报文格式识别过程,可以针对精确的报文格式进行模糊测试,从而提高模糊测试的准确率;
2)本发明中设置电网工控协议报文格式库和测试脚本库,在模糊测试中利用库中所存储的报文格式和测试脚本,达到在一定条件下简化测试流程、缩短测试时间的目的,从而提高模糊测试的效率;
3)本发明的报文格式识别中采用经典的基于序列长度的渐进比对算法,能够对未知报文格式进行快速有效的识别;
4)本发明将模糊测试技术应用到电网工控协议漏洞挖掘研究中,提出了适合电网工控协议特殊环境的漏洞挖掘方法,方法流程简单,易于实现。
附图说明
图1是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘系统结构图;
图2是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘系统工作原理图;
图3是本发明实施例中基于模糊测试的电网工控协议漏洞挖掘方法流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统,如图1和图2,所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块;所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。
所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤,之后将过滤得到的目标进程流量发送给报文格式识别模块。
电网工控局域网包括以太网,所述以太网包括共享式以太网和交换式以太网.
针对共享式以太网,所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量;
采用数据包嗅探方式采集数据包流量通过以下两种途径实现:
1)通过数据包捕获软件采集数据包流量,所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap;
2)自行调用网络截包库采集数据包流量,所述网络截包库包括libpcap和WinPcap。
针对交换式以太网,所述流量采集模块从网络设备中采集数据包流量,通过以下两种途径实现:
1)通过基于ARP欺骗的中间人方式采集数据包流量,通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人,再通过中间人发送给流量采集模块;
2)通过交换机端口镜像功能方式所述流量采集模块,将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机,从而实现数据包流量的采集。
电网工控协议识别就是对协议进行分析,经过分析获得协议的数据的结构和格式、发送和接收的内容的顺序、不同控制字段代表的意义,包括发送方和接收方对控制字段不同内容做出的相应动作等。
网络流量都是基于TCP、IP协议簇的,而TCP、IP协议是分层结构,因此报文格式识别模块需要一层一层地对流量进行分析。TCP/IP协议分为链路层、网络层、传输层、应用层。网络层记录的是网络流量的IP信息,但IP信息容易改变,所以网络层一般不在软件网络协议分析的考虑范围之内;传输层记录的是网络流量的端口信息,但对于网络中P2P类型的软件,端到端的端口都在变,端口的识别也没有意义。因此对于网络协议的分析,是针对应用层协议的分析,因为应用层才能更好地区分不同软件和网络协议。
所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别,包括:
1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类,提取目标进程流量中同类型的报文序列作为一个报文组;具体有:首先,将每个报文以各自原始序号标记,具有相同序号的报文作为一组。接着,对分组中报文进行进一步分析,识别每个报文序列的每个字节,报文中如果是可打印字符用‘a’表示,非可打印字符用‘b’表示,此时这个报文序列对应的类型就形成一个由‘a’和‘b’组成的字符串,由于报文是可变的将连续的‘a’合并为一个‘a’,将连续的‘b’合并为一个‘b’,由此形成一个新序列即类型序列。最后,通过查找组中最频繁的类型序列,发现具有共同类型的报文,从而移除不符合要求的报文;
2)将同一个报文组内的数据报文划分为可变域和不变域;具体有:采用基于序列长度的渐进比对算法对数据报文进行多序列对比,渐进比对算法的思想是通过迭代的利用双序列动态规划比对算法,先由两条序列的对比开始,逐渐增加新序列,直到所有序列都加入为止。主要步骤有:计算距离矩阵、构建向导树、依据向导树进行渐进比对。通过多序列比对可以将多个报文进行对齐,然后根据每一列字节的变化,识别出可变域和不变域,其中不变域中每个字节对应的变化率为0;
3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别,得到识别结果;具体有:对于每个域,如果找到一个不可打印字符,则表示这个域是二进制域,否则该域为可打印字符域;针对Unicode字符串域识别,Unicode字符串的一个很明显的特征是每个可打印字符之间以“00”间隔,遍历每个序列查找连续间隔出现“00”、而每两个“00”之间是可打印字符的字节范围,根据“00”相对可打印字符的位置确定Unicode编码类型,然后将这个字节范围的字节合并成一个整体作为一个Unicode字符串域;针对长度域的识别,对每个参与比对的序列,在已经识别的域的基础上,穷举所有可能的位置连续的域,并计算其长度,然后在整个序列的二进制域中搜索长度信息,一旦发现匹配的长度就记录下来,对报文组中所有序列的长度求交集,得出长度域;
4)根据识别结果构造出完整的报文格式,并把报文格式存入报文格式库,同时报文格式识别模块将报文格式发送给模糊测试模块。
所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试,包括:
1)判断脚本库中是否存在报文设别模块识别的报文格式对应的模糊测试脚本,若存在则调取模糊测试脚本,若不存在模糊测试模块根据报文设别模块识别的报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
2)模糊测试模块根据模糊测试脚本构造测试用例,具体有:首先根据脚本规则来生成符合协议通信的数据包,规则没有规定的部分是可以生成畸形数据的位置。在生成了符合协议特征的数据后,开始生成畸形数据对数据报文进行填充。畸形数据生成策略具体包括:整数型字段通过设置不同的特殊数值构造整数溢出类型畸形数据包,包括非常小的数字(-1,0,1等)、非常大的数字(0xffff,0xffffffff等)、字段取值范围附近的数值(28,28-1,28+1,216等);字符型字段通过设置不同的特殊字符构造畸形数据包,包括使用超长字符串用来检测字符串溢出、格式化字符串(添加%n等类似子串)等;
3)调用测试用例对报文格式进行模糊测试,得到模糊测试结果,同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。
SPIKE模糊测试器是模糊测试模块的核心,是进行模糊测试的程序,由主控程序和数据包构造程序组成。其中,主控程序负责和目标服务程序进行交互操作,数据包构造程序通过脚本的形式实现。脚本存放着构造相应数据包的语句,主控程序根据脚本构造具体的数据报文。
对于模糊数据的生成,由于测试集的选取直接影响到测试的最终效果,必须选取具有代表性的测试用例集,将以前导致过类似目标对象异常的数据加入到模糊数据列表中。在测试时将模糊数据列表中的数据加以变异并通过会话接口发向目标对象,使测试更加明确可行。
所述服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,并将漏洞类型和位置存入电网工控协议漏洞库。
本发明还提供一种基于模糊测试的电网工控协议漏洞挖掘方法,如图3,所述方法包括以下步骤:
步骤1:判断电网工控协议是否为未知协议,若是则直接执行步骤2,否则表明电网工控协议为已知协议,进一步判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则从报文格式库中调取报文格式后,执行步骤3;
步骤2:对未知协议进行报文格式的识别,之后判断判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则执行步骤3;
步骤3:模糊测试模块根据报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
步骤4:模糊测试模块根据模糊测试脚本构造测试用例,并根据测试用例对文报文格式进行模糊测试,得到模糊测试结果;
步骤5:服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,将漏洞类型和位置存入电网工控协议漏洞库。
所述步骤2中,报文格式识别模块对未知协议进行报文格式的识别,包括:
1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类,提取目标进程流量中同类型的报文序列作为一个报文组;
2)报文格式识别模块将同一个报文组内的数据报文划分为可变域和不变域;
3)报文格式识别模块对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别,得到识别结果;
4)报文格式识别模块根据识别结果构造出完整的报文格式,并把报文格式存入报文格式库,同时报文格式识别模块将报文格式发送给模糊测试模块。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。
Claims (1)
1.一种基于模糊测试的电网工控协议漏洞挖掘方法,其特征在于:所述方法通过电网工控协议漏洞挖掘系统实现,所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块;所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联;
所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤,之后将过滤得到的目标进程流量发送给报文格式识别模块;
电网工控局域网包括以太网,所述以太网包括共享式以太网和交换式以太网;
针对共享式以太网,所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量;
采用数据包嗅探方式采集数据包流量通过以下两种途径实现:
1)通过数据包捕获软件采集数据包流量,所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap;
2)自行调用网络截包库采集数据包流量,所述网络截包库包括libpcap和WinPcap;
针对交换式以太网,所述流量采集模块从网络设备中采集数据包流量,通过以下两种途径实现:
1)通过基于ARP欺骗的中间人方式采集数据包流量,通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人,再通过中间人发送给流量采集模块;
2)通过交换机端口镜像功能方式采集数据包流量,将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机,从而实现数据包流量的采集;
所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别,包括:
1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类,提取目标进程流量中同类型的报文序列作为一个报文组;
2)将同一个报文组内的数据报文划分为可变域和不变域;
3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别,得到识别结果;
4)根据识别结果构造出完整的报文格式,并把报文格式存入报文格式库,同时报文格式识别模块将报文格式发送给模糊测试模块;
所述服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,并将漏洞类型和位置存入电网工控协议漏洞库;
所述方法包括以下步骤:
步骤1:判断电网工控协议是否为未知协议,若是则直接执行步骤2,否则表明电网工控协议为已知协议,进一步判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则从报文格式库中调取报文格式后,执行步骤3;
步骤2:对未知协议进行报文格式的识别,之后判断判断脚本库中是否存在模糊测试脚本,若是则执行步骤4,否则执行步骤3;
步骤3:模糊测试模块根据报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
步骤4:模糊测试模块根据模糊测试脚本构造测试用例,并根据测试用例对文报文格式进行模糊测试,得到模糊测试结果;
步骤5:服务器监控模块对模糊测试结果进行监控,模糊测试者对模糊测试结果进行分析、反推和归纳,进而得到漏洞类型和位置,将漏洞类型和位置存入电网工控协议漏洞库;
所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试,包括:
1)判断脚本库中是否存在报文识别模块识别的报文格式对应的模糊测试脚本,若存在则调取模糊测试脚本,若不存在模糊测试模块根据报文识别模块识别的报文格式生成模糊测试脚本,并将生成的模糊测试脚本存入脚本库;
2)模糊测试模块根据模糊测试脚本构造测试用例;
3)调用测试用例对报文格式进行模糊测试,得到模糊测试结果,同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510705423.8A CN105245403B (zh) | 2015-10-27 | 2015-10-27 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510705423.8A CN105245403B (zh) | 2015-10-27 | 2015-10-27 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105245403A CN105245403A (zh) | 2016-01-13 |
CN105245403B true CN105245403B (zh) | 2019-09-06 |
Family
ID=55042912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510705423.8A Active CN105245403B (zh) | 2015-10-27 | 2015-10-27 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105245403B (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657018A (zh) * | 2016-11-11 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 工控网络漏洞挖掘方法、装置及系统 |
CN106713284A (zh) * | 2016-12-02 | 2017-05-24 | 国网浙江省电力公司电力科学研究院 | 一种工控安全检测系统及工控系统 |
CN107046526A (zh) * | 2016-12-28 | 2017-08-15 | 北京邮电大学 | 基于Fuzzing算法的分布式异构网络漏洞挖掘方法 |
CN107634939A (zh) * | 2017-08-30 | 2018-01-26 | 国家电网公司 | 一种适用于376.1协议安全缺陷检测的模糊测试方法及系统 |
CN107733878B (zh) * | 2017-09-29 | 2023-06-27 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
CN108924102B (zh) * | 2018-06-21 | 2020-03-10 | 电子科技大学 | 高效的工控协议模糊测试方法 |
CN109088772A (zh) * | 2018-08-23 | 2018-12-25 | 国网重庆市电力公司电力科学研究院 | 一种基于工控协议的配电网设备未知漏洞挖掘方法 |
CN109450731A (zh) * | 2018-11-09 | 2019-03-08 | 中国科学院长春光学精密机械与物理研究所 | 一种应用层通信协议的测试数据生成方法 |
CN111628900B (zh) * | 2019-02-28 | 2023-08-29 | 西门子股份公司 | 基于网络协议的模糊测试方法、装置和计算机可读介质 |
CN110191021B (zh) * | 2019-05-29 | 2021-04-30 | 北京百度网讯科技有限公司 | 一种协议测试方法、装置、电子设备及存储介质 |
CN110661778A (zh) * | 2019-08-14 | 2020-01-07 | 中国电力科学研究院有限公司 | 一种基于逆向分析模糊测试工控网络协议的方法及系统 |
CN110855500A (zh) * | 2019-11-21 | 2020-02-28 | 博智安全科技股份有限公司 | 网络信息攻防竞赛下的试题出题系统及其方法 |
CN112235244B (zh) * | 2020-09-10 | 2023-03-24 | 北京威努特技术有限公司 | 异常报文的构造方法以及工控网络设备的检测方法、装置和介质 |
CN112272121B (zh) * | 2020-09-21 | 2022-01-18 | 中国科学院信息工程研究所 | 一种用于流量监测的效果验证方法及系统 |
CN112506795A (zh) * | 2020-12-18 | 2021-03-16 | 国家工业信息安全发展研究中心 | 工控设备安全漏洞的测试方法、系统、终端及存储介质 |
CN113542299A (zh) * | 2021-07-29 | 2021-10-22 | 国家工业信息安全发展研究中心 | 一种基于模糊测试的工业互联网漏洞挖掘方法及系统 |
CN113886225A (zh) * | 2021-09-18 | 2022-01-04 | 国网河南省电力公司电力科学研究院 | 一种面向未知工控协议的模糊测试系统和方法 |
CN114048126B (zh) * | 2021-11-09 | 2022-06-07 | 国家工业信息安全发展研究中心 | 一种协议模糊测试方法及系统 |
CN114050979B (zh) * | 2021-11-19 | 2023-06-13 | 成都卓源网络科技有限公司 | 一种工业控制协议安全测试系统及装置 |
CN115102734B (zh) * | 2022-06-14 | 2024-02-20 | 北京网藤科技有限公司 | 一种基于数据流量的漏洞识别系统及其识别方法 |
CN115604037B (zh) * | 2022-12-13 | 2023-05-30 | 广州市盛通建设工程质量检测有限公司 | 一种故障监测系统的通信安全测试方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN104168288A (zh) * | 2014-08-27 | 2014-11-26 | 中国科学院软件研究所 | 一种基于协议逆向解析的自动化漏洞挖掘系统及方法 |
-
2015
- 2015-10-27 CN CN201510705423.8A patent/CN105245403B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN104168288A (zh) * | 2014-08-27 | 2014-11-26 | 中国科学院软件研究所 | 一种基于协议逆向解析的自动化漏洞挖掘系统及方法 |
Non-Patent Citations (1)
Title |
---|
工控网络协议Fuzzing测试技术研究综述;熊琦 等;《小型微型计算机系统》;20150315(第3期);第1-5页第1、2、4、5节 |
Also Published As
Publication number | Publication date |
---|---|
CN105245403A (zh) | 2016-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105245403B (zh) | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 | |
WO2020143226A1 (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
US9781139B2 (en) | Identifying malware communications with DGA generated domains by discriminative learning | |
CN110162319A (zh) | 应用程序更新方法、装置、计算机设备及存储介质 | |
CN110245496A (zh) | 一种源代码漏洞检测方法及检测器和其训练方法及系统 | |
CN109714322A (zh) | 一种检测网络异常流量的方法及其系统 | |
CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
EA037617B1 (ru) | Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных | |
CN109842588B (zh) | 网络数据检测方法及相关设备 | |
CN112822189A (zh) | 一种流量识别方法及装置 | |
CN105302885B (zh) | 一种全文数据的提取方法和装置 | |
CN109450721A (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
CN113449303B (zh) | 基于教师-学生网络模型的智能合约漏洞检测方法和系统 | |
KR20200084392A (ko) | 기계학습을 이용한 행위 분석 기반의 웹 공격 분류 및 탐지 | |
CN110535878A (zh) | 一种基于事件序列的威胁检测方法 | |
CN109818970A (zh) | 一种数据处理方法及装置 | |
CN106169050B (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
CN108173854A (zh) | 一种电力私有协议的安全监测方法 | |
CN109992484A (zh) | 一种网络告警相关性分析方法、装置和介质 | |
CN106682506A (zh) | 一种病毒程序检测方法和终端 | |
CN109858510A (zh) | 一种针对HTTP协议ETag值隐蔽通信的检测方法 | |
CN109194605A (zh) | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |