CN110166440A - 打印协议脆弱性分析方法及系统 - Google Patents

Abstract

本发明属于网络打印安全技术领域，特别涉及一种打印协议脆弱性分析方法及系统，该方法包含：通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。本发明采用针对性的测试脚本，能够高度自动化生成模糊数据辅助模糊测试的展开，提高打印机漏洞挖掘的速度和准确性；并集合权重策略，能有效解决模糊数据生成阶段无用数据产生过多的问题，大大提高了模糊测试模块的工作效率，能高效暴露网络打印机多种打印协议下存在的漏洞，有效检测出打印机存在的设备控制漏洞和打印语言信息泄露漏洞等风险。

Description

打印协议脆弱性分析方法及系统

技术领域

本发明属于网络打印安全技术领域，特别涉及一种打印协议脆弱性分析方法及系统。

背景技术

随着科技的发展和资源的高度共享，打印机从原来简单的计算机附属产品演变成如今可直接作为网络节点的设备。网络打印机集信息管理功能与输出终端功能于一身，支持用户通过网络进行便捷打印。打印工作中往往涉及大量敏感数据，打印机作为这些敏感信息的处理介质，使得它们成为攻击者入侵的重点目标。打印机网络架构，主要由网络协议、打印语言和设备管理三方面组成。不同类型的打印机使用的打印协议和打印语言也不同。打印协议是部署打印作业的通道。传统的网络打印协议有IPP，IPD,RAW以及SMB。IPP协议是面向internet应用层的打印协议，由于该协议基于HTTP1.0，因此支持HTTP GET或者POST等服务请求，提供服务器与客户端WEB的信息交换，使得用户能在发送打印作业的同时从服务器端获取打印机的状态和属性等信息。IPP可传输PJL文件和PostScript(PS)文件，大部分攻击打印机的案例是由打印语言上的恶意代码造成的，因此IPP可能存在验证绕过或者拒绝服务等风险。默认端口是631。LPD是最早的针式打印机上的通信协议，打印服务器与客户端之间通过LPR命令进行打印文件的传输和共享。支持TCP/IP协议，端口默认为515。LPD同样也可作为部署PostScript和PJL打印工作的载体，同样也可能存在缓冲区溢出或者绕过验证等风险。RAW协议通常指面向9100网络打印机端口的数据处理过程。与IPP与LPD不同的是，RAW协议的特点在于它能直接向打印机发送打印数据或者工作控制命令，用户可直接得到打印机返回的响应信息。并且，LPD与IPP支持打印数据和设备控制信息一同发送，而RAW协议只负责打印任务信息的传输，这一特征使得RAW协议打印更为高效方便。SMB协议是早期Windows系统上的打印传输和共享协议，支持TCP/IP传输，端口为445。不过如今已经极少被打印机所采用。网络打印机由于固件更新周期长、用户使用打印机操作不当、以及网络协议LDP、IPP、RAW自身脆弱性等原因使它容易被黑客成功攻击。因此，为了提早防范打印机所潜在的危险隐患，分析打印设备存在的打印协议脆弱性情况和漏洞点已经成为了目前打印机安全领域的一个重要研究目标。

目前存在的已知及未知网络协议的模糊测试框架一般只针对一般简单的网络协议进行模糊测试。而打印机网络协议不仅包含控制网络打印机设备的信息数据，也包括特有的打印工作语言和页面描述语言，并且不同类型打印机支持的打印协议和打印语言也不同，现如今的模糊测试工具针对网络打印机生成模糊测试数据覆盖率和命中率都较低，因此，并不适用于网络打印协议的漏洞挖掘。

发明内容

为此，本发明提供一种打印协议脆弱性分析方法及系统，生成有针对性的测试脚本，辅助模糊器对网络打印机进行高效、准确的漏洞探测和挖掘，具有较强的实用性和可操作性。

按照本发明所提供的设计方案，一种打印协议脆弱性分析方法，包含如下内容：

A)通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

B)对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。

上述的，A)识别网络打印协议过程中，依据数据包提取目标打印机网络协议特征，将提取的网络协议特征与数据库中通用协议样本进行比对，识别得到目标打印机的打印协议。

优选的，采用报文分类将网络协议特征与数据库中通用协议样本进行比对，识别出打印协议类型，将相同类型报文进行聚类，提取出打印语言字段域。

上述的，B)中漏洞挖掘，包含如下内容：

B1)将打印语言字段域划分为页面扫描语言PDL字段域和打印工作语言PJL字段域，基于两个字段域的打印语言格式和语法，对打印工作语言PJL语言域和页面扫描语言PDL语言域进行聚类，提取PJL字段域和PDL字段域；

B2)通过多序列匹配及权重策略生成模糊测试脚本，结合模糊测试工具对目标打印机进行漏洞挖掘；

B3)根据系统日志和/或打印协议的反馈监控目标打印机工作状态。

优选的，B1)中提取PJL字段域和PDL字段域中，通过使用抽象函数聚合相同打印语言格式和语法的打印语言来提取对应PJL字段域和PDL字段域。

优选的，B2)多序列匹配中，将PJL和PDL字段域集合分别进行比对，识别出可变字段域和不变字段域。

更进一步，将PJL和PDL字段域集合分别进行比对，具体为：采用渐进关键字符对齐匹配方法对PJL字段域和PDL字段域进行对齐匹配，划分出不变字段域和可变字段域。

更进一步，B2)中，对打印任务和命令之间对齐匹配成功的字段域进行加权鼓励，对可变字段域进行分级，提供模糊测试脚本的优化参数。

更进一步，B3)中，依照SPIKE脚本格式并根据提供的优化参数，生成打印协议模糊测试脚本，封装成模糊测试工具，对目标打印机上的协议漏洞展开模糊测试；并在目标打印机和模糊测试工具之间设置服务监控器，以监控目标打印机服务器状态，将其状态记录写入系统日志中。

进一步，本发明还提供一种打印协议脆弱性分析装置，包含：

数据收集模块，用于通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

测试分析模块，用于对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。

本发明的有益效果：

相较于之前的模糊测试方法，本发明针对网络打印机的脆弱性进行模糊测试，同时也对打印机网络协议和打印语言的模糊测试策略进行分析；采用针对性的测试脚本，能够高度自动化生成模糊数据辅助模糊测试的展开，提高打印机漏洞挖掘的速度和准确性；并集合权重策略，能有效解决模糊数据生成阶段无用数据产生过多的问题，使原本巨大的模糊数据空间集合缩小到少数字段域的模糊，大大提高了模糊测试模块的工作效率。并在多款打印机进行模糊测试的实践，结果证明本发明能高效地暴露网络打印机多种打印协议下存在的漏洞，有效检测出打印机存在的设备控制漏洞和打印语言信息泄露漏洞等风险，具有较好的应用前景。

附图说明：

图1为实施例中脆弱性分析方法流程图；

图2为实施例中漏洞挖掘示意图；

图3为实施例中打印机网络架构层次示意图；

图4为实施例中打印协议脆弱性分析原理图；

图5为实施例中模糊测试脚本生成模块示意图；

图6为实施例中模糊测试反馈信息示意；

图7为实施例中脆弱性分析系统示意图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

网络打印机是通过打印服务器(内置或者外置)将打印机作为独立的设备接入局域网或者internet，从而使打印机摆脱一直以来作为电脑外设的附属地位，使之成为网络中的独立成员，成为一个可与其并驾齐驱的网络节点和信息管理与输出终端，其他成员可以直接访问使用该打印机。打印机网络架构，参见图3所示，主要由网络协议、打印语言和设备管理三方面组成。网络打印只需要一根网线，只是PC的一个外设，而成为一个独立的网络节点，通过EIO插槽直接连接网络适配卡，能够以网络的速度实现高速打印输出。随着网络打印机的发展，如何对网络打印协议和文件代码两方面进行准确分析，获取对应的结构特征或语义信息；是打印机脆弱性分析技术的需要解决的决定性难题之一。为此，本发明实施例，参见图1所示，提供一种打印协议脆弱性分析方法，包含：

S101、通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

S102、对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。

为检测打印机漏洞，在网络打印协议基础上，利用模糊测试的方法专门针对网络打印机的打印协议进行漏洞挖掘；采用针对性的模糊测试脚本，能够高度自动化生成模糊数据辅助模糊测试的展开，提高打印机漏洞挖掘的速度和准确性。

识别网络打印协议过程中，本发明实施例中，依据数据包提取目标打印机网络协议特征，将提取的网络协议特征与数据库中通用协议样本进行比对，识别得到目标打印机的打印协议。数据库可利用现有收集到的协议通用规范数据库作为比对参照标准，实现目标打印机打印协议的识别。优选的，采用报文分类将网络协议特征与数据库中通用协议样本进行比对，识别出打印协议类型，将相同类型报文进行聚类，提取出打印语言字段域。

通过打印语言字段域对目标打印机进行漏洞挖掘中，本发明另一个实施例，参见图2所示，包含如下内容：

S201、将打印语言字段域划分为页面扫描语言PDL字段域和打印工作语言PJL字段域，基于两个字段域的打印语言格式和语法，对打印工作语言PJL语言域和页面扫描语言PDL语言域进行聚类，提取PJL字段域和PDL字段域；

S202、通过多序列匹配及权重策略生成模糊测试脚本，结合模糊测试工具对目标打印机进行漏洞挖掘；

S203、根据系统日志和/或打印协议的反馈监控目标打印机工作状态。

参见图4所示，通过获取打印客户端和目标打印机服务端之间的数据包，识别各类网络打印协议，针对不同的网络协议进行相应的模糊措施。并对PJL语言域和PDL语言域进行抽象函数简化，从而划分不同字段域。采用多序列匹配及权重策略生成模糊测试脚本，结合模糊工具对打印机进行漏洞挖掘。根据系统日志或特定打印协议直接反馈等方式监控目标打印机工作状态。

对打印机网络协议的特点进行优化匹配，提取出一般协议的特征。攻击者嗅探到的网络数据十分巨大，可将其划分为不变值域、可变字符串域、可变数据域三个部分。本发明实施例中，采用报文分类算法将获得的报文信息与数据库中通用协议样本比对后，便可识别嗅探得到的各数据的协议类型，将相同类型报文聚类，并提取出打印语言字段域作为下一模块的输入，其中，报文分类是根据报文头部信息的关键字段对报文进行分类，网络设备针对不同类型的报文采取不同的操作，这种分类操作由网络设备分类器完成，分类器可设计为包含一个分类规则库，由几百甚至上万条过滤规则组成；本发明实施例中的报文分类算法可采用现有的分为遍历查找、分治法、决策树和元组空间等，以实现相同类型的报文聚类。

抽象函数，不给出具体解析式，只给出函数的特殊条件或特征的函数，一般形式为y＝f(x)，或许还附有定义域、值域等，实现通过特点计算解析式的目的。聚合是关联关中整体与部分、拥有关系，整体与部分之间是可分离的，可以具有各自的生命周期，部分可以属于多个整体对象，也可以为多个整体对象共享；比如计算机与CPU、公司与员工的关系等；表现在代码层面，和关联关系是一致的，从语义级别来区分。因此，本发明实施例中，提取PJL字段域和PDL字段域中，通过使用抽象函数聚合相同打印语言格式和语法的打印语言来提取对应PJL字段域和PDL字段域。

优选的，多序列匹配中，将PJL和PDL字段域集合分别进行比对，识别出可变字段域和不变字段域。

利用多序列比对下的渐进匹配算法，将得到的PJL命令字段集合进行对比识别可变域和不可变域。多序列渐进比对算法建立在二维Needleman Wunsch算法基础上，进行多序列的动态规划对比算法。更进一步，本发明实施例中，将PJL和PDL字段域集合分别进行比对，具体为：采用渐进关键字符对齐匹配方法对PJL字段域和PDL字段域进行对齐匹配，划分出不变字段域和可变字段域。优选的，对打印任务和命令之间对齐匹配成功的字段域进行加权鼓励，对可变字段域进行分级，提供模糊测试脚本的优化参数。

在传统的渐进比对算法基础上，本发明采用渐进关键字符对齐匹配算法，对PJL以及PDL域值对齐匹配，划分出不变域和可变域。为使模糊阶段高效的产生测试数据，引入匹配权重策略。对打印任务、命令之间匹配成功的字段域进行加权奖励，以此对可变字段域进行分级，为生成高效模糊测试脚本提供优化参数。

fuzz测试是将故意格式错误的数据发送到程序以便在应用程序中生成故障或错误的过程。SPIKE是基于C的fuzzer创建工具包。依照SPIKE脚本格式并根据提供的优化参数，生成打印协议模糊测试脚本，封装成模糊测试工具，对目标打印机上的协议漏洞展开模糊测试；并在目标打印机和模糊测试工具之间设置服务监控器，以监控目标打印机服务器状态，将其状态记录写入系统日志中。

参见图5所示，依照SPIKE脚本格式根据之前提供的优化参数生成打印协议模糊脚本，对网络打印机上的协议漏洞展开模糊测试。并在在打印机与模糊器之间设置服务监控器，来监控打印服务器的状态、判断是否产生异常等。并且将其状况记录到监控系统日志中，参见图6所示，针对三种类型的打印机分别发送模糊数据进行脆弱性挖掘的结果，测试人员便可通过日志或者接收反馈信息等方式分析打印服务端是否产生异常以便及时进行处理。

基于上述的方法，本发明实施例还提供一种打印协议脆弱性分析系统，参见图7所示，包含：

数据收集模块101，用于通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

测试分析模块102，用于对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。

一般网络协议模糊测试难以实际运用到网络打印机上。相较于之前的模糊测试方法，本发明实施例中，针对网络打印机的脆弱性进行模糊测试的工具，证明该框架在网络打印机安全性上具有重要价值。同时也对打印机网络协议和打印语言的模糊测试策略进行了更为细致和深入的研究。并在多款打印机进行模糊测试的实践，结果进一步证明本发明能高效地暴露网络打印机多种打印协议下存在的漏洞，有效检测出打印机存在的设备控制漏洞和打印语言信息泄露漏洞等风险，提高打印机漏洞挖掘的速度和准确性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种打印协议脆弱性分析方法，其特征在于，包含如下内容：

A)通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

B)对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。

2.根据权利要求1所述的打印协议脆弱性分析方法，其特征在于，A)识别网络打印协议过程中，依据数据包提取目标打印机网络协议特征，将提取的网络协议特征与数据库中通用协议样本进行比对，识别得到目标打印机的打印协议。

3.根据权利要求2所述的打印协议脆弱性分析方法，其特征在于，采用报文分类将网络协议特征与数据库中通用协议样本进行比对，识别出打印协议类型，将相同类型报文进行聚类，提取出打印语言字段域。

4.根据权利要求1所述的打印协议脆弱性分析方法，其特征在于，B)中漏洞挖掘，包含如下内容：

B1)将打印语言字段域划分为页面扫描语言PDL字段域和打印工作语言PJL字段域，基于两个字段域的打印语言格式和语法，对打印工作语言PJL语言域和页面扫描语言PDL语言域进行聚类，提取PJL字段域和PDL字段域；

B2)通过多序列匹配及权重策略生成模糊测试脚本，结合模糊测试工具对目标打印机进行漏洞挖掘；

B3)根据系统日志和/或打印协议的反馈监控目标打印机工作状态。

5.根据权利要求4所述的打印协议脆弱性分析方法，其特征在于，B1)中提取PJL字段域和PDL字段域中，通过使用抽象函数聚合相同打印语言格式和语法的打印语言来提取对应PJL字段域和PDL字段域。

6.根据权利要求4所述的打印协议脆弱性分析方法，其特征在于，B2)多序列匹配中，将PJL和PDL字段域集合分别进行比对，识别出可变字段域和不变字段域。

7.根据权利要求6所述的打印协议脆弱性分析方法，其特征在于，将PJL和PDL字段域集合分别进行比对，具体为：采用渐进关键字符对齐匹配方法对PJL字段域和PDL字段域进行对齐匹配，划分出不变字段域和可变字段域。

8.根据权利要求6或7所述的打印协议脆弱性分析方法，其特征在于，B2)中，对打印任务和命令之间对齐匹配成功的字段域进行加权鼓励，对可变字段域进行分级，提供模糊测试脚本的优化参数。

9.根据权利要求8所述的打印协议脆弱性分析方法，其特征在于，B3)中，依照SPIKE脚本格式并根据提供的优化参数，生成打印协议模糊测试脚本，封装成模糊测试工具，对目标打印机上的协议漏洞展开模糊测试；并在目标打印机和模糊测试工具之间设置服务监控器，以监控目标打印机服务器状态，将其状态记录写入系统日志中。

10.一种打印协议脆弱性分析系统，其特征在于，包含：

数据收集模块，用于通过获取打印客户端和目标打印机服务端之间数据包，识别网络打印协议；

测试分析模块，用于对识别出的网络打印协议进行模糊测试，提取打印语言字段域；通过打印语言字段域进行目标打印机的漏洞挖掘，监控目标打印机工作状态。