CN110505111A - 基于流量重放的工控协议模糊测试方法 - Google Patents

Abstract

本发明涉及工业网络安全领域，具体而言涉及一种基于流量重放的工控协议模糊测试方法。本发明旨在提供一种基于流量重放的工控协议模糊测试方法，以工控设备运行环境的真实协议流量数据为基础，通过简易的配置文件格式和工控协议报文定义格式，构建对应的协议解析器，提取设备协议状态报文，对用户指定工控协议字段进行模糊化，最后提取报文应用层数据，将其封装和重放，在保证输入有效和协议会话完整建立的前提下，快速、高效的进行工控协议模糊测试。本发明适用于已有工控协议漏洞挖掘、工控协议研发的自动化测试等工作中。

Description

基于流量重放的工控协议模糊测试方法

技术领域

本发明涉及工业网络安全领域，具体而言涉及一种基于流量重放的工控协议模糊测试方法。

背景技术

在过去的十几年里，计算机相关的网络技术越来越多的应用与工业控制系统中，但同时也带来了工控系统网络安全问题，工控网络成为黑客、恐怖分子、敌对势力进行攻击破坏的新目标。目前工控系统作为石化、电网、交通运输、污水处理等关键领域的重要组成部分，其安全性已成为国家信息安全的关注热点。

模糊测试是一种高度自动化的测试技术，通过大量输入随机数据，无需进入系统内部或者获得源代码，即可发现程序实现上的不足，但是这样的测试是盲目的，因为工控设备在解析这些输入时，如果不符合协议规范，设备会直接重置连接，那么这样的测试只能停留在协议状态的初级阶段。

针对这样的问题，目前很多模糊测试技术针对工控协议格式知识来构建测试用例。比如专利CN201910189084.0提出的测试方法会生成三种测试用例：1.通过专家知识将Modbus协议划分为动态与静态部分，对动态部分进行变异组合来生成测试用例。2.基于已公开漏洞信息生成测试用例。3.基于公开漏洞信息相似特征生成测试用例。这类模糊测试技术缺点在于：许多工控协议比如Siemens S7需要使用COTP协议建立应用层会话后，再进行操作，而这些技术难以建立完整的会话过程，难以挖掘出深层次的漏洞。

针对工控协议的动态会话建立问题，专利201610094014.3提出通过在协议通信报文样本的基础上使用开源协议逆向分析项目Netzob提取协议状态机，基于协议状态机将工控设备引导到待测状态，再将变异后的报文发送到目标设备，但是许多工业控制协议由多层协议组合而成，比如CIP协议(Common Industrial Protocol)使用Ethernet/IP封装，现有的协议逆向技术对于多层未知协议字段提取准确率不高，这样造成工控协议在建立会话时，需要填写的机架、槽位、密码等设备组态时设置的信息不正确，协议报文被工控设备拒绝，导致测试覆盖率低。

而现有的网络协议模糊测试框架，如Kitty、Sulley、Peach等，在每次测试前根据协议格式描述，需要人工编写大量的协议模糊测试用例等繁杂且重复的人工操作，降低了协议模糊测试工作效率，因此本发明提出一个基于工控协议流量数据重放的高效模糊测试方法。

发明内容

针对现有技术中存在的问题，本发明旨在提供一种基于流量重放的工控协议模糊测试方法。以工控设备运行环境的真实协议流量数据为基础，通过简易的配置文件格式和工控协议报文定义格式，构建对应的协议解析器，提取设备协议状态报文，对用户指定工控协议字段进行模糊化，封装和重放报文，从而快速进行工控协议模糊测试。该方法适用于已有工控协议漏洞挖掘和工控协议研发的自动化测试。

为达成上述目的，本发明所采用的技术方案步骤如下：

步骤1、配置文件读取。

首先读取用户填写的配置文件，其中包含需要测试的设备目标IP、指定设备所用的协议、指定重放的报文文件路径、工控协议报文格式文件路径、指定模糊测试的工控协议数据字段以及模糊测试的次数。

步骤2协议解析器构建与协议解析。

根据配置文件中指定的协议，读取相关的协议报文格式文件，构建协议解析器。框架内部已经包含许多协议格式文件，同时用户可以简便的新增其他工控协议，协议解析器通过读取测试协议相关的报文格式定义文件，构建协议树状结构，节点包含协议字段长度、字段类型、字段名称。

步骤3、测试协议相关报文提取。

已有的报文被加载后并不能直接用于测试，因为里面混杂了比如TCP的FIN、SYN、ACK报文，以及其他应用层的协议报文，这些报文会影响协议状态变化，同时影响之后的追踪溯源，所以需要过滤这些不相关报文，为之后报文变异做准备。

步骤4、连接目标设备。

根据配置中指定的协议、目标IP，建立与目标之间的Socket连接，同时设置连接超时时间，如果无法建立连接，将错误信息写入日志。

步骤5、设备存活确认。

在每次测试前，使用ICMP Ping报文确认设备处于工作状态。如果设备无响应，表明测试用例导致设备出现无响应，将异常测试用例保存。

步骤6、工控协议数据字段模糊化。

在测试报文发送到目前设备前，需要将根据配置文件中指定的协议字段变异。针对协议字段的类型不同进行使用不同的变异方法，字符串类型字段使用开源工具RADAMSA，数值型字段使用随机数字。

步骤7、模糊测试报文封装和重放。

将变异后的测试用例截取、封装成新的报文发送到目标设备，等待设备响应，因为变异后的测试用例可能会被设备拒绝，如果出现连接重置(connect reset)，那么跳过当前用例之后的报文，重建与设备的连接，进入下一次测试。

本发明优点：

1.相对于已有的测试框架Kitty、Sulley、Peach，不需要手动的针对每一个字段编写测试用例，指定需要测试的字段和提供真实流量即可进行测试，缩短测试准备阶段。

2.相对于对报文整体变异作为输入，本方法使用Python语言来定义协议格式，通过读取工控协议报文格式文件构造协议解析器，根据配置文件变异指定字段，在保持输入的有效性的前提下挖掘漏洞。

3.通过对真实数据报文重放，引导设备到与历史相同的状态，保证工控协议能够完整建立会话，进行深层次的模糊测试。

附图说明

图1为本发明抓取真实环境流量的实施例示意图。

图2为本发明整体流程的示意图。

图3是本发明步骤示意图。

具体实施方式

为了更好的解释本发明方案，下面结合附图对本发明的实施方式进行详细描述。

本发明给出一种基于流量重放的工控协议模糊测试方法实施例。在测试前需要获取真实的工控协议报文，如图1所示，将抓包工具至于上位机和被测工控设备之间，其中抓包设备可以是开启端口镜像的交换机或是上位机上打开Wireshark等抓包工具，最后得到数据报文件。之后如图2所示，将数据报文件、配置文件、协议报文格式定义文件作为整个方法的输入，经过模糊测试方法的处理后将变异报文发送到目标设备来进行测试。

如图3所示，本发明的测试方法包含在一个主函数fuzzing中，包括配置文件读取、协议解析器构建和协议解析、测试协议相关报文提取、连接目标设备、设备存活确认、工控协议数据字段模糊化、模糊测试报文封装和重放这七步。

下面使用伪代码展示整个测试方法的主函数fuzzing流程，主函数

囊括了上述七个步骤，每个步骤作为关键函数置于其中：

下面详细介绍每一步骤流程：

步骤1配置文件读取(readConfig)。

步骤1.1使用配置解析器加载配置文件。首先根据传入的配置文件路径configPath打开配置文件，将读入的字节传入Python语言自带的json解析库函数，输出Python语言的字典类型表示配置信息config。

配置文件格式：字段的键在分号前，字段的值在分号后，其中配置文件必须包含字段：设备所用的工控协议protocol、目标设备IP地址dstIp、重放报文文件路径pcapPath、工控协议报文格式文件路径protocolPath、指定需要模糊测试的字段fields、模糊测试次数count，模糊测试字段fields由数组表示，数组每个元素都指定需要进行变异的工控协议数据字段。

步骤2协议解析器构建与协议解析(buildParserAndParse)。

步骤2.1根据协议报文格式构建协议解析器(buildParser)。首先将配置信息config中协议报文格式文件路径protocolPath作为输入，使用Python导入模块库函数import_module动态导入协议定义类，构建协议树状结构，最后测试协议报文格式类绑定到解析器指定的运输层端口上，生成解析器对象parser。协议报文格式包含协议的运输层端口、协议字段长度、字段类型、字段名称，同时对于长度定义字段节点中还包括长度计算方法。

步骤2.2读取重放报文文件(readPcap)。将重放报文文件路径pcapPath作为输入，打开文件输入流stream，其中重放报文文件使用PCAP格式。

步骤2.3输入流解析为原始报文(parseRaw)。在PCAP文件中每一个报文由PacketHeader和Packet Data组成，每次读取Packet Header获得Packet Data长度dataLen，然后stream再向后读取dataLen字节数据得到原始报文数据packet，将packet保存到数组rawPacket中，重复这个步骤，直到stream读取完毕，最后输出rawPacket。

步骤2.4协议解析器解析原始报文。将步骤2.3解析的原始报文数组rawPacket作为输入，遍历每一个rawPacket_i，调用步骤2.1中parser的parse方法得到已解析报文对象。parse方法会按照数据链路层、网络层、运输层、应用层的TCP/IP模型顺序调用每一层对应的解析器，其中应用层解析器在步骤2.1中绑定，而其他层的解析器是协议解析器自带。已解析报文对象保存在数组Packet中。最后输出Packet。

下面使用伪代码描述步骤2的流程：

步骤3测试协议相关报文提取(extract)。

提取与测试工控协议相关的报文。首先将已解析数据报文Packet作为输入，遍历每一个报文Packet_i，使用函数hasLayer判断如果Packet_i的运输层协议不是TCP协议，那么舍弃这个报文；如果Packet_i的TCP协议标志位tcpFlag是TCP协议的SYN、ACK、FIN标志位中的一个，那么舍弃这个报文；使用函数hasLayer判断如果Packet_i的应用层协议不是配置信息config中指定工控协议protocol，则舍弃这个报文，反之保存报文到数组ePacket中，随后将ePacket输出。

下面使用伪代码描述从Packet中提取协议相关报文流程：

步骤4连接目标设备(connect)。

将配置文件指定的协议、目标IP作为输入，建立与目标之间的连接conn，同时设置连接超时时间，如果无法建立连接，将错误信息写入日志。

步骤5设备存活确认(isSurvive)。

下一步会将变异后的报文发送到目标设备，所以需要确认此时设备是否存活。通过向测试设备发送ICMP Ping报文，若测试设备无响应，则将测试用例保存，同时记录事件信息日志，反之进入步骤6。

步骤6工控协议数据字段模糊化(mutate)。

步骤6.1将提取的报文ePacket作为输入，遍历每一个报文ePacket_i,在函数hasLayer中判断其应用层是不是测试协议，如果是则进入步骤6.2，否则跳过该报文。

步骤6.2在函数mutateField中遍历该报文的协议树状结构，找到配置信息中指定的协议字段fields，根据这个字段类型选择对应的变异策略，字符串类型字段使用开源工具RADAMSA，数值型字段使用随机数字。最后将变异报文mPacket输出，进入步骤7。

下面使用伪代码描述工控协议数据字段模糊化流程：

步骤7模糊测试报文封装和重放(encapsulateAndSend)。

步骤7.1提取数据(extractData)。将已变异的测试报文mPacket作为输入，遍历每一个报文mPacket_i，截取应用层数据data，然后封装成完整数据报文。

步骤7.2通过步骤4建立的连接conn，将完整数据报文发送到目标设备。

步骤7.3通过函数isConnectRest来判断此时连接状态，如果出现连接重置错误，则使用函数saveLog将事件记录日志，然后函数reconnect重新建立与目标的连接，此次测试之后的报文跳过，进入步骤5。

下面使用伪代码描述模糊测试报文封装和重放流程：

综上所述，本发明基于流量重放的工控协议测试方法，通过对真实流量数据进行自动提取、变异、截取、封装来生成模糊测试用例，在不依赖手工编写的测试用例的情况下，减少模糊测试准备阶段的时间，同时根据协议字段类型针对性的变异生成字段值，有效提高了测试的覆盖率，并且依靠简单的配置文件和报文格式定义文件构建协议解析器，适用于种类繁多的工业控制协议。

Claims (7)

1.基于流量重放的工控协议模糊测试方法，其特征在于：以工控设备运行环境的真实协议流量数据为基础，通过配置文件格式和工控协议报文定义格式，构建对应的协议解析器，提取设备协议状态报文，对用户指定工控协议字段进行模糊化，封装和重放报文，从而快速进行工控协议模糊测试。

2.根据权利要求1所述的基于流量重放的工控协议模糊测试方法，其特征在于具体步骤如下：

步骤1：配置文件读取；

首先读取用户填写的配置文件，其中包含需要测试的设备目标IP、指定设备所用的协议、指定重放的报文文件路径、工控协议报文格式文件路径、指定模糊测试的工控协议数据字段以及模糊测试的次数；

步骤2：协议解析器构建与协议解析；

根据配置文件中指定的协议，读取相关的协议报文格式文件，构建协议解析器；协议解析器通过读取测试协议相关的报文格式定义文件，构建协议树状结构，树状结构中的节点包含协议字段长度、字段类型、字段名称；最后使用协议解析器解析报文；

步骤3：测试协议相关报文提取；

已有的报文被加载后并不能直接用于测试，需要过滤其中不相关报文，为之后报文变异做准备；

步骤4：连接目标设备；

根据配置中指定的协议、目标IP，建立与目标之间的Socket连接，同时设置连接超时时间T，如果无法建立连接，将错误信息写入日志；

步骤5：设备存活确认；

在每次测试前，使用ICMP Ping报文确认设备处于工作状态；如果设备无响应，表明测试用例导致设备出现无响应，将异常测试用例保存；

步骤6：工控协议数据字段模糊化；

在测试报文发送到目标设备前，需要根据配置文件中指定的协议字段变异；针对协议字段的类型不同进行使用不同的变异方法，字符串类型字段使用开源工具RADAMSA，数值型字段使用随机数字；

步骤7：模糊测试报文封装和重放；

将变异后的测试用例组成新的报文发送到目标设备，等待设备响应，因为变异后的测试用例可能会被设备拒绝，如果出现连接重置，那么跳过当前测试用例之后的报文，重建与设备的连接，进入下一次测试。

3.根据权利要求2所述的基于流量重放的工控协议模糊测试方法，其特征在于步骤1具体实现如下：

步骤1.1使用配置解析器加载配置文件；首先根据传入的配置文件路径configPath打开配置文件，将读入的字节传入Python语言自带的json解析库函数，输出Python语言的字典类型表示配置信息config；

配置文件格式：字段的键在分号前，字段的值在分号后，其中配置文件必须包含字段：设备所用的工控协议protocol、目标设备IP地址dstIp、重放报文文件路径pcapPath、工控协议报文格式文件路径protocolPath、指定需要模糊测试字段fields、模糊测试次数count，模糊测试字段fields由数组表示，数组每个元素都指定需要进行变异的工控协议数据字段。

4.根据权利要求3所述的基于流量重放的工控协议模糊测试方法，其特征在于步骤2具体实现如下：

步骤2.1根据协议报文格式构建协议解析器；

首先将配置信息config中协议报文格式文件路径protocolPath作为输入，使用Python导入模块库函数import_module动态导入协议定义类，构建协议树状结构，最后测试协议报文格式类绑定到解析器指定的运输层端口上，生成解析器对象parser；

协议报文格式包含协议的运输层端口、协议字段长度、字段类型、字段名称；

步骤2.2读取重放报文文件；

将重放报文文件路径pcapPath作为输入，打开文件输入流stream，其中重放报文文件使用PCAP格式；

步骤2.3输入流解析为原始报文；

在PCAP文件中每一个报文由Packet Header和Packet Data组成，每次读取PacketHeader获得Packet Data长度dataLen，然后stream再向后读取dataLen字节数据得到原始报文数据packet，将packet保存到数组rawPacket中，重复这个步骤，直到stream读取完毕，最后输出rawPacket；

步骤2.4协议解析器解析原始报文；

将步骤2.3解析的原始报文数组rawPacket作为输入，遍历每一个rawPacket_i，调用步骤2.1中parser的parse方法得到已解析报文对象；parse方法会按照数据链路层、网络层、运输层、应用层的TCP/IP模型顺序调用每一层对应的解析器，其中应用层解析器在步骤2.1中绑定，而其他层的解析器是协议解析器自带；已解析报文对象保存在数组Packet中，最后输出Packet。

5.根据权利要求4所述的基于流量重放的工控协议模糊测试方法，其特征在于步骤3具体实现如下：

首先将已解析数据报文Packet作为输入，遍历每一个报文Packet_i，使用函数hasLayer判断如果Packet_i的运输层协议不是TCP协议，那么舍弃这个报文；如果Packet_i的TCP协议标志位tcpFlag是TCP协议的SYN、ACK、FIN标志位中的一个，那么舍弃这个报文；使用函数hasLayer判断如果Packet_i的应用层协议不是配置信息config中指定工控协议protocol，则舍弃这个报文，反之保存报文到数组ePacket中，随后将ePacket输出。

6.根据权利要求5所述的基于流量重放的工控协议模糊测试方法，其特征在于步骤6具体实现如下：

步骤6.1将提取的报文ePacket作为输入，遍历每一个报文ePacket_i,在函数hasLayer中判断其应用层是不是测试协议，如果是则进入步骤6.2，否则跳过该报文；

步骤6.2在函数mutateField中遍历该报文的协议树状结构，找到配置信息中指定的协议字段fields，根据这个字段类型选择对应的变异策略，字符串类型字段使用开源工具RADAMSA，数值型字段使用随机数字；最后将变异报文mPacket输出，进入步骤7。

7.根据权利要求6所述的基于流量重放的工控协议模糊测试方法，其特征在于步骤7具体实现如下：

步骤7.1提取数据(extractData)；将已变异的测试报文mPacket作为输入，遍历每一个报文mPacket_i，截取应用层数据data，然后封装成完整数据报文；

步骤7.2通过步骤4建立的连接conn，将完整数据报文发送到目标设备；

步骤7.3通过函数isConnectRest来判断此时连接状态，如果出现连接重置错误，则使用函数saveLog将事件记录日志，然后函数reconnect重新建立与目标的连接，此次测试之后的报文跳过，进入步骤5。