CN112104525B - 基于序列生成对抗网络的dnp3协议模糊测试方法 - Google Patents

Abstract

本发明公开了一种基于序列生成对抗网络的DNP3协议模糊测试方法，包括步骤：一、构建DNP3协议样本数据库；二、DNP3协议样本数据预处理；三、预处理后的DNP3协议样本数据变异；四、生成初级测试用例；五、测试用例相似度对比去冗余；六、种子测试用例变异；七、DNP3协议模糊测试；八、漏洞验证；九、异常测试用例调试及监控。本发明利用序列生成对抗网络生成高通过率的测试用例；通过以用例相似度为指标的筛选算法，减少测试用例冗余；引入随机变异策略进行测试用例变异，提高测试用例多样性和漏洞发现概率；通过分析漏洞出现时程序的栈帧信息，找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性。

Description

基于序列生成对抗网络的DNP3协议模糊测试方法

技术领域

本发明属于DNP3协议测试及漏洞挖掘技术领域，具体涉及一种基于序列生成对抗网络的DNP3协议模糊测试方法。

背景技术

工控系统是由计算机设备与工业过程控制部件组成的自动控制系统，广泛应用于电力、水处理、石油与天然气、化工、交通运输、制造业等安全关键领域。通信协议作为工控系统中重要的组成部分，极易受到攻击。因此，如何高效挖掘协议潜在的漏洞，对于提升工控系统安全性至关重要。

工控系统的协议种类很多，其中DNP3协议主要用于电力、水利等国家基础设施的工控系统中，它包含了应用层、传输层和数据链路层。尽管DNP3协议中加入了错误检测、远程密钥更新、安全统计等功能，可以解决因输入非预期数据、授权失败、响应超时等引发的漏洞，但仍然会存在部分潜在的漏洞，而且随着协议功能的扩展更新会带来更多的漏洞。为了降低工控系统被攻击的概率、确保系统安全稳定的运行，可以利用模糊测试等漏洞挖掘方法挖掘出DNP3协议中潜在的漏洞。现有的通用漏洞挖掘方法普遍存在用例通过率及覆盖率不高，测试用例冗余等问题。因此，需要根据DNP3通信协议的特点发明出对应的漏洞挖掘方法，从而高效挖掘出DNP3协议中潜在的漏洞，这对保障工控系统安全具有重要的意义。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于序列生成对抗网络的DNP3协议模糊测试方法，用于DNP3协议漏洞挖掘。利用序列生成对抗网络生成高通过率的测试用例；通过以用例相似度为指标的筛选算法，减少测试用例冗余；引入随机变异策略进行测试用例变异，提高测试用例多样性和漏洞发现概率；通过分析漏洞出现时程序的栈帧信息找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性。

为解决上述技术问题，本发明采用的技术方案是：基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于，该方法包括以下步骤：

步骤一、构建DNP3协议样本数据库：利用公开的DNP3协议样本数据集和人工采集的DNP3工控系统中的多个随机DNP3协议样本数据构建DNP3协议样本数据库；

步骤二、DNP3协议样本数据预处理：根据DNP3协议格式对DNP3协议样本数据库中DNP3协议样本数据提取并按字段分离DNP3协议样本数据，再通过进制转换的构造方法对DNP3协议样本数据进行预处理；

步骤三、预处理后的DNP3协议样本数据变异：使用字符填充、数值位翻转或数值取反的方法对预处理后的DNP3协议样本数据的变异；

步骤四、生成初级测试用例，过程如下：

步骤401、将预处理且变异后的DNP3协议样本数据作为训练数据，输入至序列生成对抗网络SeqGAN中的LSTM生成器，学习到训练数据的一维序列特征；

步骤402、LSTM生成器生成的数据输入至嵌入层，得到数据的二维阵列，再将数据的二维阵列输入到CNN判别器，获取数据的真伪值；其中，所述LSTM生成器为步骤401训练的LSTM生成器；

步骤403、选取交叉熵作为CNN判别器的损失函数，将数据的真伪值带入至损失函数，计算数据损失目标函数，将数据损失目标函数计算的值送入Adam优化器，对步骤401中的序列生成对抗网络SeqGAN中的LSTM生成器的权重参数集合和步骤402中的CNN判别器的权重参数集合交替进行更新，进而得到优化后的LSTM生成器和CNN判别器；

步骤404、调取新的训练数据，循环步骤401至步骤403，直至数据损失目标函数计算的值小于数据损失目标函数计算的值的阈值，此时，得到LSTM生成器各个权重参数训练结果，并确定最终训练完成的LSTM生成器；

步骤405、利用训练完成的LSTM生成器自动生成多个初级测试用例；

步骤五、测试用例相似度对比去冗余：

根据公式

计算第i个初级测试用例str_i和第j个初级测试用例str_j之间的相似度s_i,j，其中，edit()为编辑函数，edit(str_i,str_j)为将第i个初级测试用例str_i变换为第j个初级测试用例str_j所用的步数，len()为字段长度函数，max()为最大值函数，i和j均为初级测试用例编号且i≠j；

当s_i,j≥Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j相似，随机去除第i个初级测试用例str_i和第j个初级测试用例str_j中的任意一个初级测试用例，将保留的初级测试用例视为种子测试用例，并存储在种子测试用例集中，其中，Δ为相似度阈值；

当s_i,j＜Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j不相似，将第i个初级测试用例str_i和第j个初级测试用例str_j均视为种子测试用例，并存储在种子测试用例集中；

步骤六、种子测试用例变异：对种子测试用例集内的种子测试用例进行变异，选取种子测试用例中随机数量长度的字段作为变异字段，使用边界值变异、字符填充、数值位翻转或数值取反方式对变异字段进行变异，完成种子测试用例的随机变异，将种子测试用例集内的种子测试用例和变异后的种子测试用例集中存储，得到测试用例集；

步骤七、DNP3协议模糊测试：将测试用例集中的测试用例输入至DNP3工控系统中进行DNP3协议模糊测试，若测试用例未引起DNP3协议异常，则该测试用例为正常测试用例，进而该测试用例未测试出DNP3协议漏洞；

若测试用例引起DNP3协议异常，则该测试用例为预异常测试用例，进而该测试用例测试出DNP3协议存在漏洞风险，执行步骤八；

步骤八、漏洞验证：将步骤七中的预异常测试用例再次输入至DNP3工控系统中进行DNP3协议模糊测试，若该预异常测试用例未引起DNP3协议异常，将该预异常测试用例更改为正常测试用例；

若该预异常测试用例再次引起DNP3协议异常，该预异常测试用例确定为异常测试用例，并记录该异常测试用例及其引起的漏洞；

步骤九、异常测试用例的调试及监控：利用调试工具检测异常测试用例，并追踪异常测试用例在DNP3工控系统中的运行信息和栈帧信息，分析并记录漏洞触发原因；

异常测试用例调试过程中同时通过监控包方式、进程监控方式和日志记录方式对异常测试用例和DNP3工控系统进行监控。

上述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤一中，所述随机DNP3协议样本数据通过抓包工具随机抓取，所述抓包工具为Wireshark抓包工具。

上述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤三中，预处理后的DNP3协议样本数据通过边界值变异算法、字符填充、数值位翻转、数值取反或随机取值算法进行变异。上述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤九中，所述调试工具为Gdb调试工具、Ping调试工具或WinDbg调试工具。

上述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤402中，所述嵌入层为Embedding嵌入层。

本发明与现有技术相比具有以下优点：

1、本发明通过进制转换对DNP3协议样本数据进行预处理，获取满足一定长度要求的DNP3协议样本数据，供序列生成对抗网络使用，再对预处理后的DNP3协议样本数据进行一次字符填充、数值位翻转或数值取反的变异，获取多样化DNP3协议样本数据，扩展DNP3协议样本数据库。

2、本发明通过对抗学习的方式学习DNP3协议样本数据对应的特征序列，提高测试用例质量，便于推广使用。

3、本发明通过以用例相似度为指标的筛选算法，减少测试用例冗余；引入随机变异策略进行测试用例变异，提高测试用例多样性和漏洞发现概率；

4、本发明方法步骤简单，通过漏洞验证避免DNP3工控系统不稳定造成种子测试用例误判，将未通过DNP3协议的种子测试用例视为预异常测试用例；针对预异常测试用例进行二次DNP3协议模糊测试，判断预异常测试用例的真伪，准确可靠；通过调试工具检测异常测试用例，并追踪异常测试用例在DNP3工控系统中的运行信息和记录的栈帧信息，通过分析漏洞出现时程序的栈帧信息，找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性，便于推广使用。

综上所述，本发明利用序列生成对抗网络生成高通过率的测试用例；通过以用例相似度为指标的筛选算法，减少测试用例冗余；引入随机变异策略进行测试用例变异，提高测试用例多样性和漏洞发现概率；通过分析漏洞出现时程序的栈帧信息，找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性，便于推广使用。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明方法的流程框图。

具体实施方式

如图1所示，本发明的基于序列生成对抗网络的DNP3协议模糊测试方法，包括以下步骤：

步骤一、构建DNP3协议样本数据库：利用公开的DNP3协议样本数据集和人工采集的DNP3工控系统中的多个随机DNP3协议样本数据构建DNP3协议样本数据库；

本实施例中，步骤一中，所述随机DNP3协议样本数据通过抓包工具随机抓取，所述抓包工具为Wireshark抓包工具。

步骤二、DNP3协议样本数据预处理：根据DNP3协议格式对DNP3协议样本数据库中DNP3协议样本数据提取并按字段分离DNP3协议样本数据，再通过进制转换的构造方法对DNP3协议样本数据进行预处理；

步骤三、预处理后的DNP3协议样本数据变异：使用字符填充、数值位翻转或数值取反的方法对预处理后的DNP3协议样本数据的变异；

本实施例中，步骤三中，预处理后的DNP3协议样本数据通过边界值变异算法、字符填充、数值位翻转、数值取反或随机取值算法进行变异。

需要说明的是，通过进制转换对DNP3协议样本数据进行预处理，获取满足一定长度要求的DNP3协议样本数据，供序列生成对抗网络使用，再对预处理后的DNP3协议样本数据进行一次边界值变异、字符填充、数值位翻转或数值取反的变异，获取多样化DNP3协议样本数据，扩展DNP3协议样本数据库。

实际实施时，由于DNP3协议样本数据库来自抓包数据，首先需要对文件进行解析，并对提取到的DNP3协议样本数据进行预处理，期间需要将整串的协议数据分割成数个子串，然后通过进制转换、变异等操作。同时由于序列生成对抗网络的输入有定长要求，需要对长度不足的数据进行补数，而子串的分割最大长度为2位16进制数，所以填充的数字选择为256，最终生成器的LSTM设置Embedding层和Hidden层维度为32、序列长度设置到26、起始字符从0开始、分割后的子串大小设置为257，通用参数的选取根据设置的参数对应提取。

步骤四、生成测试用例，过程如下：

步骤401、将预处理且变异后的DNP3协议样本数据作为训练数据，输入至序列生成对抗网络SeqGAN中的LSTM生成器，学习到训练数据的一维序列特征；

步骤402、LSTM生成器生成的数据输入至嵌入层，得到数据的二维阵列，再将数据的二维阵列输入到CNN判别器，获取数据的真伪值；其中，所述LSTM生成器为步骤401训练的LSTM生成器；

步骤403、选取交叉熵作为CNN判别器的损失函数，将数据的真伪值带入至损失函数，计算数据损失目标函数，将数据损失目标函数计算的值送入Adam优化器，对步骤401中的序列生成对抗网络SeqGAN中的LSTM生成器的权重参数集合和步骤402中的CNN判别器的权重参数集合交替进行更新，进而得到优化后的LSTM生成器和CNN判别器；

步骤404、调取新的训练数据，循环步骤401至步骤403，直至数据损失目标函数计算的值小于数据损失目标函数计算的值的阈值，此时，得到LSTM生成器各个权重参数训练结果，并确定最终训练完成的LSTM生成器；

步骤405、利用训练完成的LSTM生成器自动生成多个初级测试用例；

实际实施时，由于判别器使用的CNN提取特征，需要对生成器生成的一维序列数据经过Embedding层映射到二维，最后通过12层卷积、池化以及全连接层输出分类结果，设置Dropout层减少过拟合，训练完成后，可以使用生成器输出长度为26的DNP3协议数据。

步骤五、测试用例相似度对比去冗余：

根据公式

计算第i个初级测试用例str_i和第j个初级测试用例str_j之间的相似度s_i,j，其中，edit()为编辑函数，edit(str_i,str_j)为将第i个初级测试用例str_i变换为第j个初级测试用例str_j所用的步数，len()为字段长度函数，max()为最大值函数，i和j均为初级测试用例编号且i≠j；

当s_i,j≥Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j相似，随机去除第i个初级测试用例str_i和第j个初级测试用例str_j中的任意一个初级测试用例，将保留的初级测试用例视为种子测试用例，并存储在种子测试用例集中，其中，Δ为相似度阈值；

当s_i,j＜Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j不相似，将第i个初级测试用例str_i和第j个初级测试用例str_j均视为种子测试用例，并存储在种子测试用例集中；

需要说明的是，通过对抗学习的方式学习DNP3协议样本数据对应的特征序列，提高测试用例质量；通过以用例相似度为指标的筛选算法，减少测试用例冗余；引入随机变异策略进行测试用例变异，提高测试用例多样性和漏洞发现概率；通过分析漏洞出现时程序的栈帧信息，找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性。

实际实施时，由于协议数据分层解析的方式和序列特征，为增强测试用例的执行覆盖率，在筛选时要考虑到不同长度对执行深度的影响，通过编辑距离可以筛选出不同长度的数据，首先，删除生成的DNP3数据中值为256的字段，然后计算第i个测试用例str_i和第j个测试用例str_j之间的相似度；接着建立一个用例队列，用于存储满足相似度阈值的用例，为保证队列操作时的原子性，加入锁机制完成对队列的同步操作，避免脏数据的出现。

步骤六、种子测试用例变异：对种子测试用例集内的种子测试用例进行变异，选取种子测试用例中随机数量长度的字段作为变异字段，使用边界值变异、字符填充、数值位翻转或数值取反方式对变异字段进行变异，完成种子测试用例的随机变异，将种子测试用例集内的种子测试用例和变异后的种子测试用例集中存储，得到测试用例集；

实际实施时，首先根据设置的变异率，计算出变异字段个数的变化范围及变异方法的使用次数，在此范围内选取随机个数的字段作为变异点；然后使用随机的变异方法完成变异点的变异；同时为保证生成的数据可以经过头部校验，提升数据的到达率，可变异字段会跳过DNP3数据链路层的头部校验。

步骤七、DNP3协议模糊测试：将测试用例集中的测试用例输入至DNP3工控系统中进行DNP3协议模糊测试，若测试用例未引起DNP3协议异常，则该测试用例为正常测试用例，进而该测试用例未测试出DNP3协议漏洞；

若测试用例引起DNP3协议异常，则该测试用例为预异常测试用例，进而该测试用例测试出DNP3协议存在漏洞风险，执行步骤八；

步骤八、漏洞验证：将步骤七中的预异常测试用例再次输入至DNP3工控系统中进行DNP3协议模糊测试，若该预异常测试用例未引起DNP3协议异常，将该预异常测试用例更改为正常测试用例；

若该预异常测试用例再次引起DNP3协议异常，该预异常测试用例确定为异常测试用例，并记录该异常测试用例及其引起的漏洞；

步骤九、异常测试用例的调试及监控：利用调试工具检测异常测试用例，并追踪异常测试用例在DNP3工控系统中的运行信息和栈帧信息，分析并记录漏洞触发原因；

异常测试用例调试过程中同时通过监控包方式、进程监控方式和日志记录方式对异常测试用例和DNP3工控系统进行监控。

本实施例中，步骤九中，所述调试工具为Gdb调试工具、Ping调试工具或WinDbg调试工具。

本发明使用时，方法步骤简单，通过漏洞验证避免DNP3工控系统不稳定造成种子测试用例误判，将未通过DNP3协议的种子测试用例视为预异常测试用例；针对预异常测试用例进行二次DNP3协议模糊测试，判断预异常测试用例的真伪，准确可靠；通过调试工具检测异常测试用例，并追踪异常测试用例在DNP3工控系统中的运行信息和记录的栈帧信息，通过分析漏洞出现时程序的栈帧信息，找到并记录造成漏洞的原因，从而降低工控系统被攻击的概率、提高工控系统安全性。

以上所述，仅是本发明的较佳实施例，并非对本发明作任何限制，凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化，均仍属于本发明技术方案的保护范围内。

Claims (5)

1.基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于，该方法包括以下步骤：

步骤一、构建DNP3协议样本数据库：利用公开的DNP3协议样本数据集和人工采集的DNP3工控系统中的多个随机DNP3协议样本数据构建DNP3协议样本数据库；

步骤二、DNP3协议样本数据预处理：根据DNP3协议格式对DNP3协议样本数据库中DNP3协议样本数据进行提取，并按字段分离DNP3协议样本数据，再通过进制转换的构造方法对DNP3协议样本数据进行预处理；

步骤三、预处理后的DNP3协议样本数据变异：使用字符填充、数值位翻转或数值取反的方法对预处理后的DNP3协议样本数据进行变异；

步骤四、生成初级测试用例，过程如下：

步骤401、将预处理且变异后的DNP3协议样本数据作为训练数据，输入至序列生成对抗网络SeqGAN中的LSTM生成器，学习训练数据的一维序列特征；

步骤402、LSTM生成器生成的数据输入至嵌入层，得到数据的二维阵列，再将数据的二维阵列输入到CNN判别器，获取数据的真伪值；其中，所述LSTM生成器为步骤401训练的LSTM生成器；

步骤403、选取交叉熵作为CNN判别器的损失函数，将数据的真伪值带入至损失函数，计算数据损失目标函数，将数据损失目标函数计算的值送入Adam优化器，对步骤401中的序列生成对抗网络SeqGAN中的LSTM生成器的权重参数集合和步骤402中的CNN判别器的权重参数集合交替进行更新，进而得到优化后的LSTM生成器和CNN判别器；

步骤404、调取新的训练数据，循环步骤401至步骤403，直至数据损失目标函数计算的值小于数据损失目标函数计算的值的阈值，此时，得到LSTM生成器各个权重参数训练结果，并确定最终训练完成的LSTM生成器；

步骤405、利用训练完成的LSTM生成器自动生成多个初级测试用例；

步骤五、测试用例相似度对比去冗余：

根据公式

计算第i个初级测试用例str_i和第j个初级测试用例str_j之间的相似度s_i,j，其中，edit()为编辑函数，edit(str_i,str_j)为将第i个初级测试用例str_i变换为第j个初级测试用例str_j所用的步数，len()为字段长度函数，max()为最大值函数，i和j均为初级测试用例编号且i≠j；

当s_i,j≥Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j相似，随机去除第i个初级测试用例str_i和第j个初级测试用例str_j中的任意一个初级测试用例，将保留的初级测试用例视为种子测试用例，并存储在种子测试用例集中，其中，Δ为相似度阈值；

当s_i,j＜Δ时，说明第i个初级测试用例str_i和第j个初级测试用例str_j不相似，将第i个初级测试用例str_i和第j个初级测试用例str_j均视为种子测试用例，并存储在种子测试用例集中；

步骤六、种子测试用例变异：对种子测试用例集内的种子测试用例进行变异，选取种子测试用例中随机数量长度的字段作为变异字段，使用边界值变异、字符填充、数值位翻转或数值取反方式对变异字段进行变异，完成种子测试用例的随机变异，将种子测试用例集内的种子测试用例和变异后的种子测试用例集中存储，得到测试用例集；

步骤七、DNP3协议模糊测试：将测试用例集中的测试用例输入至DNP3工控系统中进行DNP3协议模糊测试，若测试用例未引起DNP3协议异常，则该测试用例为正常测试用例，进而该测试用例未测试出DNP3协议漏洞；

若测试用例引起DNP3协议异常，则该测试用例为预异常测试用例，进而该测试用例测试出DNP3协议存在漏洞风险，执行步骤八；

步骤八、漏洞验证：将步骤七中的预异常测试用例再次输入至DNP3工控系统中进行DNP3协议模糊测试，若该预异常测试用例未引起DNP3协议异常，将该预异常测试用例更改为正常测试用例；

若该预异常测试用例再次引起DNP3协议异常，该预异常测试用例确定为异常测试用例，并记录该异常测试用例及其引起的漏洞；

步骤九、异常测试用例的调试及监控：利用调试工具检测异常测试用例，并追踪异常测试用例在DNP3工控系统中的运行信息和栈帧信息，分析并记录漏洞触发原因；

异常测试用例调试过程中同时通过监控包方式、进程监控方式和日志记录方式对异常测试用例和DNP3工控系统进行监控。

2.按照权利要求1所述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤一中，所述随机DNP3协议样本数据通过抓包工具在DNP3工控系统中随机抓取，所述抓包工具为Wireshark抓包工具。

3.按照权利要求1所述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤三中，预处理后的DNP3协议样本数据还通过边界值变异算法或随机取值算法进行变异。

4.按照权利要求1所述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤九中，所述调试工具为Gdb调试工具、Ping调试工具或WinDbg调试工具。

5.按照权利要求1所述的基于序列生成对抗网络的DNP3协议模糊测试方法，其特征在于：步骤402中，所述嵌入层为Embedding嵌入层。

Images