CN114116500A - 一种未知协议模糊测试方法及其装置 - Google Patents
一种未知协议模糊测试方法及其装置 Download PDFInfo
- Publication number
- CN114116500A CN114116500A CN202111450649.XA CN202111450649A CN114116500A CN 114116500 A CN114116500 A CN 114116500A CN 202111450649 A CN202111450649 A CN 202111450649A CN 114116500 A CN114116500 A CN 114116500A
- Authority
- CN
- China
- Prior art keywords
- protocol
- states
- state
- unknown
- obtaining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3684—Test management for test design, e.g. generating new test cases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3692—Test management for test results analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本申请实施例提供一种未知协议模糊测试方法及其装置,其中,该方法包括:获取未知协议的流量报文和未知协议对应的协议实体;获取流量报文中的关键字;根据关键字获取多个协议状态及其对应的多个状态报文;根据多个协议状态获得协议状态转移图;根据协议状态转移图对协议实体进行模糊测试,得到测试结果。实施本申请实施例,可以提高测试准确率高,在多种网络通信系统中使用,适用性高。
Description
技术领域
本申请涉及网络通信协议测试技术领域,具体而言,涉及一种未知协议模糊测试方法及其装置。
背景技术
在工业控制、军事通信、金融信息等创新型网络中,大量未知协议(私有或半私有)被广泛采用。对通信协议及其实现进行严格的测试是确保网络系统安全性的重要手段,现有测试手段与方法大多只能针对已知协议进行,未知协议的广泛采用对未知协议测试提出了挑战。协议漏洞挖掘是保证网络通信安全的重要手段,主要包括逆向分析和模糊测试。
其中,模糊测试方法的前置引导序列和回归序列这些辅助报文在测试过程中的重复交互降低了测试效率,且因是根据协议实体所处的协议状态输入报文类型相对应的测试用例,使得无法发现由报文异常输入顺序所引出的协议缺陷,从而导致很多系统无法使用。
发明内容
本申请实施例的目的在于提供一种未知协议模糊测试方法及其装置,测试准确率高,对源代码没有过高要求,可以在多种网络通信系统中使用,适用性高。
第一方面,本申请实施例提供了一种未知协议模糊测试方法,所述方法包括:
获取未知协议的流量报文和未知协议对应的协议实体;
获取所述流量报文中的关键字;
根据所述关键字获取多个协议状态及其对应的多个状态报文;
根据所述多个协议状态获得协议状态转移图;
根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果。
在上述实现过程中,通过生成完整的协议状态转移图,再通过模糊测试对未知协议的协议状态转移图进行解析,实现自动化地对多个协议状态进行模糊测试,并且高效地完成对未知协议的模糊测试。
进一步地,所述获取所述流量报文中的关键字的步骤,包括:
对所述流量报文进行多次序列比对处理,得到所述未知协议的不可变域,作为关键字。
在上述实现过程中,通过在未知协议的流量报文中划分出关键字的方法,可以预先保留各协议状态及其对应的状态报文。
进一步地,所述根据所述关键字获取多个协议状态及其对应的多个状态报文的步骤,包括:
根据所述关键字生成特征向量;
将所述特征向量进行聚类处理,得到所述多个协议状态及其对应的多个状态报文。
在上述实现过程中,根据流量报文获得关键字,将关键字进行聚类,得到协议状态,大大提升了协议状态获得的自动化程度。
进一步地,所述根据所述多个协议状态获得协议状态转移图的步骤,包括:
获取所述未知协议中的报文时序关系;
根据所述时序关系对所述多个协议状态进行比对处理,得到所述多个协议状态的多个转移方向;
根据所述多个转移方向生成所述协议状态转移图。
在上述实现过程中,通过多个转移方向得到协议状态转移图,协议状态转移图可以反映多个协议状态和协议状态的转移方向。
进一步地,所述根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果的步骤,包括:
根据所述关键字和所述状态报文得到测试用例;
根据所述协议状态转移图得到第一动作;
根据所述第一动作对所述协议实体进行状态转移,并将所述测试用例发送给所述协议实体,以使所述协议实体返回第一响应报文;
根据所述第一响应报文得到奖励分数,并根据所述奖励分数得到第二动作;
根据所述第二动作对所述协议实体进行状态转移,并将所述测试用例发送给协议实体,以使所述协议实体返回第二响应报文;
获取判别标准,若所述第二响应报文符合所述判别标准,则输出所述第二响应报文,作为测试结果;若所述第二响应报文不符合所述判别标准,则根据所述第二响应报文得到新的奖励分数。
在上述实现过程中,通过奖励函数对第一动作作出分析,得到奖励分数,可以帮助协议实体得到更符合判别标准的第二动作,从而得到第二响应报文。
进一步地,所述根据所述协议状态转移图得到第一动作的步骤,包括:
获取所述流量报文中的辅助报文;
将Q值表输入所述辅助报文,得到动作集合;
将Q值表输入所述协议状态转移图,得到状态集合;
根据所述状态集合选择动作合集中的动作,作为所述第一动作。
在上述实现过程中,通过对奖励函数以及Q值表进行设置,可以实现对奖励分数最高的响应报文的自动选择,完成协议状态的转移引导以及针对各个协议状态的模糊测试过程。
进一步地,所述根据所述第一响应报文得到奖励分数的步骤,包括:
根据所述协议实体返回的第一响应报文获得协议实体状态;
根据奖励函数和所述协议实体状态得到奖励分数;
在上述实现过程中,奖励函数可以帮助协议实体判断测试用例是否符合要求,从而选取出奖励分数更高的响应报文。
进一步地,所述根据所述协议实体返回的第一响应报文判断协议实体状态的步骤,包括:
将所述第一响应报文和所述辅助报文进行比对处理,得到所述协议实体状态。
进一步地,所述根据所述关键字获取多个协议状态及其对应的多个状态报文的步骤,还包括:
合并所述多个协议状态中的可双向转移协议状态,消除冗余的所述多个协议状态。
在上述实现过程中,消除冗余的协议状态可以使得得到的多个协议状态更加准确,并且保证后续测试结果更加精准。
第二方面,本申请实施例还提供了一种未知协议模糊测试装置,所述装置包括:
获取模块,用于获取未知协议的流量报文和未知协议对应的协议实体;
处理模块,用于获取所述流量报文中的关键字;
解析模块,用于根据所述关键字获取多个协议状态及其对应的多个状态报文;
状态转移图获得模块,用于根据所述多个协议状态获得协议状态转移图;
模糊测试模块,用于根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果。
在上述实现过程中,通过生成完整的协议状态转移图,再通过模糊测试对未知协议的协议状态转移图进行解析,实现自动化地对多个协议状态进行模糊测试,并且高效地完成对未知协议的模糊测试。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的未知协议模糊测试方法的流程示意图;
图2为本申请实施例提供的未知协议模糊测试装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
实施例一
图1是本申请实施例提供的未知协议模糊测试方法的流程示意图,如图1所示,该方法包括:
S1,获取未知协议的流量报文和未知协议对应的协议实体;
S2,获取流量报文中的关键字;
S3,根据关键字获取多个协议状态及其对应的多个状态报文;
S4,根据多个协议状态获得协议状态转移图;
S5,根据协议状态转移图对协议实体进行模糊测试,得到测试结果。
以本实施例为例,通过对协议状态的推断等方法,生成完整的协议状态转移图,再通过模糊测试对于逆向出的未知协议的协议状态转移图进行解析,实现自动化地对多个协议状态进行模糊测试,并且高效地完成对未知协议的模糊测试。
在S1中,获取未知协议的流量报文和未知协议对应的协议实体。
以本实施例为例,协议是网络协议的简称,是通信计算机双方必须共同遵从的一组约定,未知协议为即无法获知到协议的关键信息,需要对未知协议进行模糊测试。协议实体为物理的协议,即并非抽象的协议。
在S2中,获取流量报文中的关键字,包括:
对流量报文进行多次序列比对处理,得到未知协议的不可变域,作为关键字。
示例性地,可以使用序列比对算法对流量报文进行处理,通过多次的两两序列比对识别出不可变域,从而推断出关键字,通过在未知协议的流量报文中划分出关键字的方法,可以预先保留各协议状态及其对应的状态报文。
在S3中,根据关键字获取多个协议状态及其对应的多个状态报文,包括:
根据关键字生成特征向量;
将特征向量进行聚类处理,得到多个协议状态及其对应的多个状态报文。
进一步地,根据关键字获取多个协议状态及其对应的多个状态报文,还包括:
合并多个协议状态中的可双向转移协议状态,消除冗余的多个协议状态。
以本实施例为例,根据关键字生成特征向量,通过不同状态报文间具有的共同的关键字特征向量的特点,合并有共同关键字特征向量的状态报文,聚类出多个协议状态,并记录每个协议状态对应的协议报文。
通过对关键字进行报文聚类的方法,实现对未知协议的格式提取,根据流量报文中的时序关系推断出协议状态,同时利用合并可双向转移的协议状态的方法,实现了自动化的问询过程,大大提升协议状态推断的自动化程度。
记录下每一个协议状态St以及该状态所对应的协议报文Mt,1、Mt,2、…、Mt,n,定时发送状态报文(Mt,1、Mt,2、…、Mt,n)并接收反馈,实现自动化的问询过程。
在这个过程中,对可双向转移的协议状态进行合并,例如,S1→S2为真且S2→S1为真,这样的协议状态为可可双向转移的协议状态。从而消除部分聚类过程中产生的冗余协议状态。重复对对可双向转移的协议状态进行合并的动作,直到推断出的各协议状态间均不能实现双向转移。
以本实施例为例,消除冗余的协议状态可以使得得到的多个协议状态更加准确,并且保证后续测试结果更加精准。
在S4中,根据多个协议状态获得协议状态转移图,包括:
获取未知协议中的报文时序关系;
根据时序关系对多个协议状态进行比对处理,得到多个协议状态的多个转移方向;
根据多个转移方向生成协议状态转移图。
以本实施例为例,根据报文时序关系推断出的多个协议状态进行比对,明确多个协议状态的多个转移方向,例如:S1→S2为真且S2→S1为假,则协议状态S1与协议状态S2的状态转移方向为S1→S2。
协议状态的转移是由辅助报文引起的,在这个过程中需要保存引起协议状态转移的辅助报文,最终通过多个转移方向得到协议状态转移图,协议状态转移图可以反映多个协议状态和协议状态的转移方向。
在S5中,根据协议状态转移图对协议实体进行模糊测试,得到测试结果,包括:
根据关键字和状态报文得到测试用例;
根据协议状态转移图得到第一动作;
根据第一动作对协议实体进行状态转移,并将测试用例发送给协议实体,以使协议实体返回第一响应报文。
根据第一响应报文得到奖励分数,并根据奖励分数得到第二动作;
根据第二动作对协议实体进行状态转移,并将测试用例发送给协议实体,以使协议实体返回第二响应报文;
获取判别标准,若第二响应报文符合判别标准,则输出第二响应报文,作为测试结果;若第二响应报文不符合判别标准,则根据第二响应报文得到新的奖励分数。
进一步地,根据协议状态转移图得到第一动作的步骤,包括:
获取流量报文中的辅助报文;
将Q值表输入辅助报文,得到动作集合;
将Q值表输入协议状态转移图,得到状态集合;
根据状态集合选择动作合集中的动作,作为第一动作。
Q值表是强化学习算法中的一种方法,Q即为Q(s,a),就是在某一个时刻的状态s(state)下,采取动作a(action)能够获得收益的期望,环境会根据动作反馈相应的奖赏,算法会将状态和动作构建成一张Q值来存储Q值,然后根据Q值来选取能够获得最大收益的动作。
以本实施例为例,通过对奖励函数以及Q值表进行设置,可以实现对奖励分数最高的响应报文的自动选择,完成协议状态的转移引导以及针对各个协议状态的模糊测试过程。
进一步地,根据第一响应报文得到奖励分数的步骤,包括:
根据协议实体返回的第一响应报文获得协议实体状态;
根据奖励函数和协议实体状态得到奖励分数;
奖励函数为:
其中,St为协议实体状态,At为协议实体状态对应的动作,a、b、c分别为三个不同的分数,并且每个分数对应不同的协议实体状态。
以本实施例为例,奖励函数可以帮助协议实体判断测试用例是否符合要求,从而选取出奖励分数更高的响应报文。
进一步地,根据协议实体返回的第一响应报文判断协议实体状态,包括:
将第一响应报文和辅助报文进行比对处理,得到协议实体状态。
以本实施例为例,通过奖励函数对第一动作作出判断,得到奖励分数,可以帮助协议实体得到更符合判别标准的第二动作,从而得到第二响应报文。
示例性地,本申请实施例利用强化学习算法构建模型来实现对未知协议的模糊测试,奖励分数在每一轮的算法迭代过程中都会进行累计,当训练结束时,算法迭代完成,奖励分数也会累计得到一个最终数值,并得到相应的奖励分数最高的测试用例,利用上述训练完成的模型,可以完成协议的状态转移引导以及对各个状态的模糊测试过程,高效地对协议进行漏洞挖掘。
以本实施例为例,通过对协议状态的推断等方法,生成完整的协议状态转移图,再通过模糊测试对于逆向出的未知协议的协议状态转移图进行解析,实现自动化地对多个协议状态进行模糊测试,测试准确率高,对源代码没有过高要求,可以在多种网络通信系统中使用,适用性高。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种未知协议模糊测试装置,如图2所示,该装置包括:
获取模块1,用于获取未知协议的流量报文和未知协议对应的协议实体;
处理模块2,用于获取流量报文中的关键字;
解析模块3,用于根据关键字获取多个协议状态及其对应的多个状态报文;
状态转移图获得模块4,用于根据多个协议状态获得协议状态转移图;
模糊测试模块5,用于根据协议状态转移图对协议实体进行模糊测试,得到测试结果。
进一步地,处理模块2还用于:
对流量报文进行多次序列比对处理,得到未知协议的不可变域,作为关键字。
进一步地,解析模块3还用于:
根据关键字生成特征向量;
将特征向量进行聚类处理,得到多个协议状态及其对应的多个状态报文;
合并多个协议状态中的可双向转移协议状态,消除冗余的多个协议状态。
进一步地,状态转移图获得模块4还用于:
获取未知协议中的报文时序关系;
根据时序关系对多个协议状态进行比对处理,得到多个协议状态的多个转移方向;
根据多个转移方向生成协议状态转移图。
进一步地,模糊测试模块5还用于:
根据关键字和状态报文得到测试用例;
根据协议状态转移图得到第一动作;
根据第一动作对协议实体进行状态转移,并将测试用例发送给协议实体,以使协议实体返回第一响应报文;
根据第一响应报文得到奖励分数,并根据奖励分数得到第二动作;
根据第二动作对协议实体进行状态转移,并将测试用例发送给协议实体,以使协议实体返回第二响应报文;
获取判别标准,若第二响应报文符合判别标准,则输出第二响应报文,若第二响应报文不符合判别标准,则根据第二响应报文得到新的奖励分数;
根据协议实体返回的第一响应报文判断协议实体状态;
根据奖励函数和协议实体状态得到奖励分数;
将第一响应报文和辅助报文进行比对处理,得到协议实体状态。
上述的未知协议模糊测试装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的问答模型的构建方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的问答模型的构建方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种未知协议模糊测试方法,其特征在于,所述方法包括:
获取未知协议的流量报文和未知协议对应的协议实体;
获取所述流量报文中的关键字;
根据所述关键字获取多个协议状态及其对应的多个状态报文;
根据所述多个协议状态获得协议状态转移图;
根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果。
2.根据权利要求1所述的未知协议模糊测试方法,其特征在于,所述获取所述流量报文中的关键字的步骤,包括:
对所述流量报文进行多次序列比对处理,得到所述未知协议的不可变域,作为关键字。
3.根据权利要求1所述的未知协议模糊测试方法,其特征在于,所述根据所述关键字获取多个协议状态及其对应的多个状态报文的步骤,包括:
根据所述关键字生成特征向量;
将所述特征向量进行聚类处理,得到所述多个协议状态及其对应的多个状态报文。
4.根据权利要求1所述的未知协议模糊测试方法,其特征在于,所述根据所述多个协议状态获得协议状态转移图的步骤,包括:
获取所述未知协议中的报文时序关系;
根据所述时序关系对所述多个协议状态进行比对处理,得到所述多个协议状态的多个转移方向;
根据所述多个转移方向生成所述协议状态转移图。
5.根据权利要求1所述的未知协议模糊测试方法,其特征在于,所述根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果的步骤,包括:
根据所述关键字和所述状态报文得到测试用例;
根据所述协议状态转移图得到第一动作;
根据所述第一动作对所述协议实体进行状态转移,并将所述测试用例发送给所述协议实体,以使所述协议实体返回第一响应报文;
根据所述第一响应报文得到奖励分数,并根据所述奖励分数得到第二动作;
根据所述第二动作对所述协议实体进行状态转移,并将所述测试用例发送给协议实体,以使所述协议实体返回第二响应报文;
获取判别标准,若所述第二响应报文符合所述判别标准,则输出所述第二响应报文,作为测试结果;若所述第二响应报文不符合所述判别标准,则根据所述第二响应报文得到新的奖励分数。
6.根据权利要求5所述的未知协议模糊测试方法,其特征在于,所述根据所述协议状态转移图得到第一动作的步骤,包括:
获取所述流量报文中的辅助报文;
将Q值表输入所述辅助报文,得到动作集合;
将Q值表输入所述协议状态转移图,得到状态集合;
根据所述状态集合选择动作合集中的动作,作为所述第一动作。
7.根据权利要求5所述的未知协议模糊测试方法,其特征在于,所述根据所述第一响应报文得到奖励分数的步骤,包括:
根据所述协议实体返回的第一响应报文获得协议实体状态;
根据奖励函数和所述协议实体状态得到所述奖励分数。
8.根据权利要求7所述的未知协议模糊测试方法,其特征在于,所述根据所述协议实体返回的第一响应报文判断协议实体状态的步骤,包括:
将所述第一响应报文和所述辅助报文进行比对处理,得到所述协议实体状态。
9.根据权利要求1所述的未知协议模糊测试方法,其特征在于,所述根据所述关键字获取多个协议状态及其对应的多个状态报文的步骤,还包括:
合并所述多个协议状态中的可双向转移协议状态,消除冗余的所述多个协议状态。
10.一种未知协议模糊测试装置,其特征在于,所述装置包括:
获取模块,用于获取未知协议的流量报文和未知协议对应的协议实体;
处理模块,用于获取所述流量报文中的关键字;
解析模块,用于根据所述关键字获取多个协议状态及其对应的多个状态报文;
状态转移图获得模块,用于根据所述多个协议状态获得协议状态转移图;
模糊测试模块,用于根据所述协议状态转移图对所述协议实体进行模糊测试,得到测试结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111450649.XA CN114116500A (zh) | 2021-12-01 | 2021-12-01 | 一种未知协议模糊测试方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111450649.XA CN114116500A (zh) | 2021-12-01 | 2021-12-01 | 一种未知协议模糊测试方法及其装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114116500A true CN114116500A (zh) | 2022-03-01 |
Family
ID=80368969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111450649.XA Pending CN114116500A (zh) | 2021-12-01 | 2021-12-01 | 一种未知协议模糊测试方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114116500A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150481A (zh) * | 2022-09-02 | 2022-10-04 | 浙江工企信息技术股份有限公司 | 一种面向未知通讯协议设备的码点地址探测方法及系统 |
CN117118879A (zh) * | 2023-10-23 | 2023-11-24 | 北京华云安信息技术有限公司 | 网络协议漏洞挖掘方法、装置、设备以及存储介质 |
-
2021
- 2021-12-01 CN CN202111450649.XA patent/CN114116500A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150481A (zh) * | 2022-09-02 | 2022-10-04 | 浙江工企信息技术股份有限公司 | 一种面向未知通讯协议设备的码点地址探测方法及系统 |
CN117118879A (zh) * | 2023-10-23 | 2023-11-24 | 北京华云安信息技术有限公司 | 网络协议漏洞挖掘方法、装置、设备以及存储介质 |
CN117118879B (zh) * | 2023-10-23 | 2024-01-26 | 北京华云安信息技术有限公司 | 网络协议漏洞挖掘方法、装置、设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
CN114116500A (zh) | 一种未知协议模糊测试方法及其装置 | |
US9864855B2 (en) | Verification data processing method and device and storage medium | |
EP3490223A1 (en) | System and method for simulating and foiling attacks on a vehicle on-board network | |
CN111159697B (zh) | 一种密钥检测方法、装置及电子设备 | |
CN114154990B (zh) | 一种基于在线支付的大数据防攻击方法及存储介质 | |
CN112506570B (zh) | 设备指令下发方法、系统和服务器 | |
CN101641721A (zh) | 生物特征匹配方法和设备 | |
CN113438134A (zh) | 请求报文处理方法、装置、服务器及介质 | |
CN116055067B (zh) | 一种弱口令检测的方法、装置、电子设备及介质 | |
CN111752819B (zh) | 一种异常监控方法、装置、系统、设备和存储介质 | |
CN109741073B (zh) | 区块链的审查攻击处理方法、系统及电子设备和存储介质 | |
CN112464218A (zh) | 模型训练方法、装置、电子设备及存储介质 | |
US10693855B1 (en) | Fraud detection | |
Xu et al. | Preferred answer selection in stack overflow: Better text representations... and metadata, metadata, metadata | |
CN114253920A (zh) | 一种交易重新排序方法、装置、设备及可读存储介质 | |
JP7259932B2 (ja) | 仮説検証装置、仮説検証方法、及びプログラム | |
Almagor et al. | Sensing as a complexity measure | |
CN110414251B (zh) | 数据监测方法和装置 | |
CN113691548A (zh) | 一种数据采集和分类存储方法及其系统 | |
CN115640325A (zh) | 内容推荐方法、装置、可读介质及电子设备 | |
CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
US20190288971A1 (en) | Method for Communication in a Communication Network | |
CN115001802B (zh) | 基于共享屏幕的账号异常登录检测方法及相关设备 | |
CN112711480B (zh) | 数据链路解析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |