CN112073242A - 一种网络协议模糊测试用例的生成及应用方法 - Google Patents

Abstract

本发明公开了一种网络协议模糊测试用例的生成及应用方法，从捕获的网络协议报文中提取目标协议通信报文的应用层协议数据；利用输入的应用层协议数据对所述序列生成对抗网络SeqGAN中的生成模型和判别模型进行训练，在两个模型之间形成博弈，直到训练次数达到预设的阈值，得到训练好的序列生成对抗网络SeqGAN；利用序列生成对抗网络生成测试用例；测试用例通过网络发送给协议程序，对程序实施模糊测试。优点：在被测协议的协议规范未知的情况下，通过对序列生成对抗网络的训练，构造满足协议规范的测试用例，避免测试用例在模糊测试过程中由于无法通过合法性验证而被协议程序丢弃，有效提高模糊测试的测试效率和漏洞挖掘能力。

Description

一种网络协议模糊测试用例的生成及应用方法

技术领域

本发明涉及一种网络协议模糊测试用例的生成及应用方法，属于网络技术领域。

背景技术

网络协议应用广泛，是计算机网络通信的基础。对网络协议进行分析，发掘网络协议及其具体实现程序中存在的安全漏洞，并及时实施安全防护，有助于减少网络安全问题的发生。

模糊测试是一种重要的黑盒测试方法，它通过向目标系统提供非预期输入，来监视目标系统出现的异常结果，从而发现目标系统中存在的安全漏洞。

模糊测试按照测试用例的生成方法可以分为两种：基于变异的测试用例生成方法和基于生成的测试用例生成方法。基于变异的测试用例生成方法从一个正常的数据出发，按照一定的规则和策略对数据进行变化，从而生成测试用例。基于生成的测试用例生成方法一般要求测试者了解目标系统的输入格式，从而根据输入格式构造合法的测试用例。基于生成的测试用例生成方法简单高效，而且这类方法能够保证生成的测试用例通过程序的合法性检查，是当前模糊测试领域的主要研究方向。

网络协议模糊测试起源于芬兰Oulu大学研发的网络协议模糊测试软件PROTOS，在当时它能够发现很多协议程序的安全漏洞，但是PROTOS的灵活性较差，应用范围相对狭窄。

目前协议规范通常用自然语言进行描述，没有一种确定性语言描述协议规范，这给模糊测试带来了很大的困难。为了解决这个问题，研究人员提出了SPFuzz框架，它为协议规范定义了一种描述性语言，测试者能够使用该描述性语言定义生成测试用例的策略。然而使用这种描述性语言的前提是，测试者能掌握被测系统使用的协议规范。如果测试者没有被测系统协议规范的先验知识，这种模糊测试方法就会失效。

针对一些协议规范未知的协议难以针对性实施模糊测试的问题，研究人员提出了面向应用层协议的自动化模糊测试方案，方案首先使用序列比对算法逆向获取未知协议的协议规范，然后通过得到的协议规范对协议进行模糊测试。然而，协议逆向方法的准确率难以保证，这会导致测试用例无法通过程序的合法性检查。

为了解决传统模糊测试方法过于依赖协议规范的问题，研究人员提出了基于深度学习的协议漏洞挖掘方法用于挖掘网络协议的漏洞。方法选用前向反馈网络作为生成模型，支持向量机作为判别模型，构造生成对抗网络GAN进行学习，进而生成测试用例。然而，由于生成对抗网络GAN存在训练离散数据时无法从判别模型传递梯度给生成模型从而导致梯度消失的问题，所以测试用例的生成效果并不理想。也有研究人员使用GAN的变种WGAN对网络协议进行模糊测试。相比于GAN，WGAN使用Wasserstein距离代替JS散度衡量生成数据与真实数据的差距，以对生成模型进行训练。但是WGAN作为原始GAN的变种，同样存在原始GAN的局限性，在训练报文字节序列这种离散数据时，梯度可能会消失，导致生成模型的训练效果不够理想。

目前在网络协议模糊测试领域，基于生成的模糊测试方法需要网络协议的先验知识，在明确了解目标系统协议规范的前提下才能够制定出合适的测试用例生成策略。但是出于版权和安全保护等原因，越来越多的私有协议在网络中出现，它们的协议规范没有公开。要针对这些协议实施有效的模糊测试非常困难。基于协议逆向的模糊测试方法，试图通过预先对协议格式和协议状态机进行逆向，掌握被测系统协议的协议规范后再进行模糊测试。但是由于协议逆向方法的准确性难以保证，所以基于协议逆向的模糊测试方法存在很大的局限性。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种基于序列生成对抗网络的网络协议模糊测试方法。

为解决上述技术问题，本发明提供一种网络协议模糊测试用例的生成方法，

捕获网络协议报文；

从捕获的网络协议报文中提取目标协议通信报文的应用层协议数据；

将应用层协议数据输入到符合网络协议模糊测试需求的序列生成对抗网络SeqGAN，利用输入的应用层协议数据对所述序列生成对抗网络SeqGAN中的生成模型和判别模型进行训练，在两个模型之间形成博弈，直到训练次数达到预设的阈值，得到训练好的序列生成对抗网络SeqGAN；

利用所述训练好的序列生成对抗网络SeqGAN生成测试用例。

进一步的，所述从捕获的网络协议报文中提取目标协议通信报文的应用层协议数据的过程包括：

对捕获的网络协议报文进行预处理，滤除与目标协议通信无关的报文，得到目标协议通信报文，从目标协议通信报文中提取出应用层协议数据。

进一步的，所述目标协议通信报文包括基于TCP协议或者UDP协议传输的报文；

采用TCP协议传输报文且由于报文过长在传输时被切分时，需将被切分的报文重组，获得完整的应用层协议数据；

采用TCP协议传输报文且没有因为报文过长被切分时，直接将该报文作为应用层协议数据；

采用UDP协议传输报文时，直接将该报文作为应用层协议数据。

进一步的，所述得到训练好的序列生成对抗网络SeqGAN的过程包括：

所有应用层协议数据组成样本集；

将所有应用层协议数据补长至样本集中应用层协议数据的最大长度，使得所有应用层协议数据长度相同，得到训练样本集；

使用最大似然估计算法在训练样本集上对生成模型进行预训练，使得生成模型能够收敛，得到预训练好的生成模型；接着使用预训练好的生成模型生成数量和训练样本集数量相同的生成数据，将生成数据和真实协议数据输入到判别模型中，对判别模型进行预训练，使得判别模型能够收敛；

交替对生成模型和判别模型进行训练，形成博弈，直到训练次数达到预设的阈值。

进一步的，所述交替对生成模型和判别模型进行训练，形成博弈的过程包括：

在训练判别模型时，生成模型被固定，判别模型的输入是真实的数据以及生成模型生成的虚假数据，将真实数据标记为1，将生成模型生成的虚假数据标记为0，对判别模型进行训练；

在训练生成模型时，判别模型被固定，生成模型的输入是随机产生的N个变量，以及生成模型生成的虚假数据，判别模型输出的是输入数据是真实数据的概率，此概率将反馈给生成模型，促使生成模型调整内部参数，此过程反复进行，直到生成模型和判别模型的训练次数达到预设的阈值。

进一步的，利用所述训练好的序列生成对抗网络SeqGAN生成测试用例的过程包括：

随机产生N条随机向量，将它们输入生成模型，生成模型产生同等数量的生成数据；

对产生的N条生成数据进行去重处理，滤除重复的生成数据，得到最终的测试用例。

一种网络协议模糊测试用例的应用方法，用于对所述生成方法生成的测试用例进行应用，应用过程包括：

将所述测试用例通过网络发送给协议程序，对协议程序的运行情况进行监控，捕捉协议程序在运行过程中产生的异常，在发现异常时，结合网络监视和系统监控定位是哪个测试用例引发了被测系统产生的异常，并记录异常相关信息。

本发明所达到的有益效果：

在被测协议的协议规范未知的情况下，通过对序列生成对抗网络的训练，构造满足协议规范的测试用例，避免测试用例在模糊测试过程中由于无法通过合法性验证而被协议程序丢弃。本发明能够有效提高模糊测试的测试效率和漏洞挖掘能力。

附图说明

图1是本发明的整体实现流程示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，根据本发明的较优实施例，基于序列生成对抗网络的网络协议模糊测试方法，包括以下步骤：

（1）数据预处理：对捕获的网络通信流量进行预处理，通过流量过滤获得目标协议的流量，由于进行模糊测试的目标协议主要是应用层协议，因此需要从目标协议的通信报文中提取出应用层协议数据。

（2）序列生成对抗网络SeqGAN的训练：构建满足测试需求的序列生成对抗网络SeqGAN，将应用层协议数据输入到SeqGAN网络，交替对SeqGAN网络中的生成模型和判别模型进行训练，形成博弈，直到达到设定的训练轮数为止。

（3）测试用例的生成：利用训练好的序列生成对抗网络SeqGAN，由SeqGAN网络的生成模型输出足以欺骗SeqGAN中判别模型的数据，将这些输出数据作为测试用例。

（4）测试用例的输入：将生成的测试用例通过网络发送给协议程序，同时监控协议程序对于测试用例的处理，当协议程序表现出异常时进行分析和记录。

参考图1所示的整体实现流程，本实施例的基于序列生成对抗网络的网络协议模糊测试方法主要包括数据预处理、序列生成对抗网络SeqGAN的训练、测试用例的生成和测试用例的输入等4个部分，具体的实施方式以下分别说明。

（1）数据预处理

本发明实施例首先通过wireshark等网络抓包工具收集目标协议程序在网络通信过程中产生的报文。由于实际网络环境中，各类通信交杂在一起。因此需要进行流量过滤，依据协议端口等信息将无关的网络流量滤除，只保留目标网络协议的通信流量。此外，因为模糊测试所针对的协议主要是应用层协议，因此需要将应用层数据将报文中提取出来。应用层协议可以基于TCP协议或者UDP协议传输。对于采用TCP协议传输的报文，由于TCP有最大传输单元的限制，因此如果报文过长，在传输时需要进行对传输内容切分。本发明实施例在进行数据预处理时，需要将被切分的报文重组，获得完整的应用层协议数据。对于采用UDP协议传输的报文，由于应用层报文没有最大传输单元的限制，可以将每个UDP数据报的负荷看成独立的应用层协议数据，所获得的应用层协议数据作为目标网络协议的样本数据。

（2）序列生成对抗网络SeqGAN的训练

首先是构建序列生成对抗网络SeqGAN。生成对抗网络GAN是一种深度学习模型，其主要思想是让两个神经网络以博弈的方式进行学习。一个网络是生成模型，一个网络是判别模型。两个模型都需要进行训练，训练判别模型的目的是使它能够识别出输入的数据是真实数据还是构造的数据。训练生成模型的目的是使生成模型生成的数据尽可能类似真实数据，欺骗判别模型将生成数据判定为真实数据。序列生成对抗网络SeqGAN在生成对抗网络的基础上构建，它有效解决了传统GAN网络的在训练离散数据时，梯度无法从判别模型传递给生成模型的问题，能够有效处理离散类型的序列，适合于网络协议数据的处理和分析。

本发明实施例采用长短期记忆网络LSTM作为SeqGAN的生成模型，长短期记忆网络LSTM能够提取时间序列的特性，有助于分析协议数据的前后关联关系，适合作为网络协议数据的生成模型。本发明实施例采用卷积神经网络CNN作为SeqGAN的判别模型，因为卷积神经网络CNN具有强大的表征学习能力，能够高效解决分类问题。

根据样本集中协议数据的最大长度，将所有协议数据都补充固定的字节取值，扩展到该长度，这样训练样本集中所有协议数据的长度相同，便于分析处理。使用最大似然估计算法在全数据集上对生成模型进行预训练，使得生成模型能够快速地收敛。在此基础上，使用预训练好的生成模型生成数量和训练样本集数量相同的生成数据。将生成数据和真实协议数据以及它们的标签输入到判别模型中，生成数据的标签为0，真实协议数据的标签为1，对判别模型进行预训练，使得判别模型能够快速收敛。此后，交替对生成模型和判别模型进行训练，一方面，引导生成模型生成尽可能类似真实数据的数据，欺骗判别模型将生成数据判定为真实数据。另一方面，使判别模型的判别能力尽可能提高，能够分辨出真实数据和生成数据。让生成模型和判别模型形成博弈，直到训练次数达到预先设置的阈值。

（3）测试用例的生成

在完成序列生成对抗网络SeqGAN的训练工作后，利用SeqGAN中的生成模型进行测试用例的生成。向长短期记忆网络LSTM中输入N条（N为用户所设置的一个数值，如200）随机向量，长短期记忆网络LSTM将相应地产生N条生成数据。由于协议数据中往往有较多的限制和约束条件，因此，生成模型在生成协议数据时，解空间的大小比较有限，当N的数值选择得较大时，产生的N条生成数据中往往会有一些重复数据。由于没有必要使用一个测试用例反复地对系统进行测试，可以通过去重，滤除重复的生成数据，避免无意义地重复性测试。

（4）测试用例的输入

本发明主要是解决协议模糊测试用例的生成问题，本实施例子给出了对生成的测试用例的一种应用，具体为：使用Sulley模糊测试框架，使用已生成的测试用例对被测系统协议进行模糊测试。在测试过程中，使用SeqGAN生成模型生成的测试用例，同时使用Sulley的网络监视、进程监视和日志记录模块管理整个模糊测试过程。Sulley的网络监视模块将捕捉通过网络向目标协议程序发送的测试用例。进程监视模块将对协议程序（协议程序就是进行网络通信的程序，比如QQ、微信之类的应用程序）进行监控，当目标协议程序表现出异常时可以及时发现。将网络监视模块和进程监视模块相结合，就能够定位是哪个测试用例引发了目标程序的异常，并通过日志记录模块记录下来。

综上所述，本发明的基于序列生成对抗网络的网络协议模糊测试方法，首先通过数据预处理，提取目标协议通信报文中的应用层协议数据。然后，将应用层协议数据输入到序列生成对抗网络中，通过反复训练生成模型和判别模型获取协议数据的特征，使生成模型生成与真实协议数据相似的测试用例。最后，将测试用例通过网络发送给协议程序，监控协议程序的异常并及时分析处理。本发明能够在协议规范未知的情况下，通过序列生成对抗网络高效构造满足协议规范的测试用例，避免测试用例由于无法通过合法性验证而被协议程序丢弃，有利于提高模糊测试的测试效率和漏洞挖掘能力。

本发明方法能够解决协议规范未知难以实施模糊测试的问题。针对未知协议，通过序列生成对抗网络对协议通信数据进行学习，引导序列生成对抗网络中的生成模型构造与真实数据相似的生成数据，进而将生成的数据作为测试用例输入被测的协议程序。生成的测试用例与真实的协议数据不同，但是同真实的协议数据一样满足协议规范的要求，能够被协议程序作为合法数据接收处理，可以触发程序内的协议数据处理代码，有助于提高模糊测试的代码覆盖率，挖掘出协议程序中的安全漏洞。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.一种网络协议模糊测试用例的生成方法，其特征在于，

捕获网络协议报文；

从捕获的网络协议报文中提取目标协议通信报文的应用层协议数据；

将应用层协议数据输入到符合网络协议模糊测试需求的序列生成对抗网络SeqGAN，利用输入的应用层协议数据对所述序列生成对抗网络SeqGAN中的生成模型和判别模型进行训练，在两个模型之间形成博弈，直到训练次数达到预设的阈值，得到训练好的序列生成对抗网络SeqGAN；

利用所述训练好的序列生成对抗网络SeqGAN生成测试用例。

2.根据权利要求1所述的网络协议模糊测试用例的生成方法，其特征在于，所述从捕获的网络协议报文中提取目标协议通信报文的应用层协议数据的过程包括：

对捕获的网络协议报文进行预处理，滤除与目标协议通信无关的报文，得到目标协议通信报文，从目标协议通信报文中提取出应用层协议数据。

3.根据权利要求2所述的网络协议模糊测试用例的生成方法，其特征在于，

所述目标协议通信报文包括基于TCP协议或者UDP协议传输的报文；

采用TCP协议传输报文且由于报文过长在传输时被切分时，需将被切分的报文重组，获得完整的应用层协议数据；

采用TCP协议传输报文且没有因为报文过长被切分时，直接将该报文作为应用层协议数据；

采用UDP协议传输报文时，直接将该报文作为应用层协议数据。

4.根据权利要求1所述的网络协议模糊测试用例的生成方法，其特征在于，所述得到训练好的序列生成对抗网络SeqGAN的过程包括：

所有应用层协议数据组成样本集；

将所有应用层协议数据补长至样本集中应用层协议数据的最大长度，使得所有应用层协议数据长度相同，得到训练样本集；

使用最大似然估计算法在训练样本集上对生成模型进行预训练，使得生成模型能够收敛，得到预训练好的生成模型；接着使用预训练好的生成模型生成数量和训练样本集数量相同的生成数据，将生成数据和真实协议数据输入到判别模型中，对判别模型进行预训练，使得判别模型能够收敛；

交替对生成模型和判别模型进行训练，形成博弈，直到训练次数达到预设的阈值。

5.根据权利要求4所述的网络协议模糊测试用例的生成方法，其特征在于，所述交替对生成模型和判别模型进行训练，形成博弈的过程包括：

在训练判别模型时，生成模型被固定，判别模型的输入是真实的数据以及生成模型生成的虚假数据，将真实数据标记为1，将生成模型生成的虚假数据标记为0，对判别模型进行训练；

在训练生成模型时，判别模型被固定，生成模型的输入是随机产生的N个变量，生成模型生成虚假数据并将该数据输入判别模型，判别模型输出的是输入数据是真实数据的概率，此概率将反馈给生成模型，促使生成模型调整内部参数，此过程反复进行，直到生成模型和判别模型的训练次数达到预设的阈值。

6.根据权利要求1所述的网络协议模糊测试用例的生成方法，其特征在于，利用所述训练好的序列生成对抗网络SeqGAN生成测试用例的过程包括：

随机产生N条随机向量，将它们输入生成模型，生成模型产生同等数量的生成数据；

对产生的N条生成数据进行去重处理，滤除重复的生成数据，得到最终的测试用例。

7.一种网络协议模糊测试用例的应用方法，其特征在于，用于对权利要求1-6任意一项所述生成方法生成的测试用例进行应用，应用过程包括：

将所述测试用例通过网络发送给协议程序，对协议程序的运行情况进行监控，捕捉协议程序在运行过程中产生的异常，在发现异常时，结合网络监视和系统监控定位是哪个测试用例引发了被测系统产生的异常，并记录异常相关信息。

Images