【技術實現步驟摘要】
本專利技術屬于網絡信息安全,涉及私有網絡協議解析技術及工控系統的漏洞挖掘技術,具體涉及一種基于協議解析的工控私有網絡協議漏洞挖掘方法及系統。
技術介紹
1、隨著互聯網技術的迅速發展,數字化轉型已成為傳統行業的必然選擇。工業領域作為國家經濟的重要支柱。工業互聯網作為重要組成部分,其將互聯網技術與工業領域相結合,實現了工業系統的數字化,智能化和互聯互通。但其所存在的安全問題仍然是其轉型所面臨的重大挑戰之一。工業控制系統在設計之初主要側重實時性與穩定性,從而缺乏安全設計。在轉型過程中,原本封閉的生產環境被暴露在了互聯網上,其中所隱藏的大量安全漏洞可以輕易被遠程入侵,造成難以估量的重大損失。
2、模糊測試作為一種高效的自動化漏洞挖掘技術,在傳統網絡環境中被廣泛使用。該技術通過向被測系統(system?under?test,sut)注入大量隨機變異后的測試用例,以及時揭露潛在的安全漏洞與功能缺陷。但測試用例的變異過程仍需遵循協議規范的指導,來確保其能夠被sut有效接收。因此,盡管該技術在公有協議上已成功發現了大量漏洞,但在面對工業控制系統(industrial?control?system,ics)環境中規范未公開的私有協議時,仍存在以下局限:
3、首先傳統方法無法辨認私有協議中不可變異的關鍵字段,從而浪費大量時間生成無效測試用例。協議中的字段通常被分為攜帶重要信息的關鍵字段與僅為補充信息的非關鍵字段。而傳統方法在失去協議規范的指導后,由于無法區分兩者而采取相同的變異方法。這使得測試用例中關鍵字段的重要信息被錯誤變
技術實現思路
1、本專利技術的目的在于設計一種基于協議解析的工控私有協議漏洞挖掘方法及系統,該方法機系統基于流量對協議規范與狀態機進行解析,以指導測試用例的生成,實現對工控系統的漏洞挖掘。
2、為實現上述目的,本專利技術采用的技術方案如下:
3、一種基于協議解析的工控私有網絡協議漏洞挖掘方法,具體過程如下:
4、步驟1:以原始工控流量集合作為輸入,對集合中的數據包進行預處理,提取每個數據包的載荷字節信息,并以連續三個字節作為一個單位,將每條載荷轉換為3-gram字節序列。
5、步驟2:以步驟1得到的3-gram字節序列為輸入數據,通過關系推理模型篩除其中隨機程度較高的3-gram來提取流量的指紋作為其結構特征
6、步驟3:以步驟2得到的多組流量報文作為輸入數據,對流量指紋使用無監督聚類算法將原始流量數據劃分為具有不同格式的多組流量。針對每組流量劃分其格式中不同字段的邊界,然后根據字段熵值推斷每個字段的語義類型,從而得到該組流量所屬格式的協議規范。
7、步驟4:以原始工控流量集合作為輸入,根據步驟3得到的協議規范推斷每條流量所處的狀態,并以流量所處時間的先后作為協議狀態轉換順序,最終在去除重復狀態后構建協議的狀態機。
8、步驟5:以原始網絡流量集合作為輸入,根據步驟3和步驟4得到的協議規范與狀態機,分別指導數據包變異與組合為測試用例,對被測工控協議中的指定狀態進行測試
9、一種基于協議解析的工控私有網絡協議漏洞挖掘系統,其特征在于其包含的協議規范解析模塊,協議狀態重建模塊與模糊測試模塊,具體過程如下:
10、首先,協議規范解析模塊根據原始工控流量集合,對協議中每種格式所包含字段的邊界與語義進行劃分推斷,從而得到協議規范。之后,協議狀態重建模塊根據協議規范,提取原始工控流量中每個數據包的關鍵功能碼作為其所處狀態,并以流量的時間先后作為狀態之間轉換的順序重建協議的狀態機。最后模糊測試模塊根據解析的協議規范與重建的協議狀態機,指導原始流量變異與組合成為合格測試用例,對被測協議的指定狀態進行模糊測試。
11、本專利技術的關鍵技術點在于:
12、一、提出了新的協議解析方法,基于深度學習方法與流量指紋來提取每條流量的關鍵特征,從而實現私有協議下不同格式流量的分類與對應規范的解析。
13、二、提出了新的狀態機構建方法,根據解析的協議規范提取出每條流量的所粗狀態,從而實現私有協議下狀態機的重構。
14、三、提出了組合報文測試,根據狀態機將多條報文進行有序組合,從而實現私有協議下對指定狀態的模糊測試。
15、利用本專利的方法可以實現對私有工控的高效漏洞挖掘,與已公開的相關技術相比,具有如下優點:
16、一、本專利技術根據流量指紋對私有協議中不同格式的規范進行解析,通過解析規范指導測試用例的變異,有效提升了測試用例變異后在被測設備上的接收率,實踐證明該方法可以生成大量能夠符合協議規范的測試用例。
17、二、本專利技術使用了狀態引導的模糊測試算法,通過組合引導報文與測試用例來構造符合轉換軌跡的測試序列,有效保證了測試用例能夠準確到達目標協議狀態進行測試,實踐證明該方法在相同的測試用例數量內測試更多的協議狀態。
本文檔來自技高網...【技術保護點】
1.一種基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,包括:
2.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,所述步驟2中提取流量指紋的具體方法為:
3.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,步驟3所述的解析協議規范的具體方法包括:
4.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,所述步驟4所述的重建協議狀態機的具體方法包括:
5.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,所述步驟5所述的模糊測試的具體方法包括:
6.一種實現如權利要求1-5任一所述方法的基于協議解析的工控私有網絡協議漏洞挖掘系統,其特征在于,包括協議規范解析模塊、協議狀態重建模塊與模糊測試模塊;具體過程如下:
【技術特征摘要】
1.一種基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,包括:
2.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,所述步驟2中提取流量指紋的具體方法為:
3.根據權利要求1所述的基于協議解析的工控私有網絡協議漏洞挖掘方法,其特征在于,步驟3所述的解析協議規范的具體方法包括:
4.根據權利要求1所述的基于協議解析的工控私有...
【專利技術屬性】
技術研發人員:賴英旭,方惠民,劉靜,王子祺,
申請(專利權)人:北京工業大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。