[发明专利]一种面向Modbus协议的模糊测试方法

说明书

技术领域

本文发明属于工业控制系统的安全技术领域，具体的说是一种面向Modbus协议的模糊测方法。

背景技术

工业控制系统(IndustryControlSystem，ICS)进入电力行业较早，发展时间最长，采用的协议也最多，主要包括：Modbus、DNP3.0、IEC60870-5-101/104、ICCP(即IEC60870-6或者TASE.2)和IEC61850等；其它行业的ICS发展相对滞后，使用情况比较类似，主要包括Modbus、OPC等，所以Modbus协议是目前国内工业控制系统采用最多的协议之一，目前Modbus协议已经在石油、电力、能源、冶金等行业的工业控制系统或SCADA系统中进行了广泛应用。

工业控制系统的系统正面临新的安全威胁，针对工控系统的传统简单攻击手段已经演变为高级可持续性威胁(AdvancedPersistentThreat，APT)。APT攻击范围广、针对性强，对能源、军工、金融、制造等国家重大基础设施将造成灾难性破坏，已经关系到国家的战略安全。由于目前APT攻击采用了“0-day”漏洞，所以针对APT攻击，没有有效的防御手段，唯一的方式就是在攻击者掌握“0-day”漏洞之前，发现“0-day”漏洞，对现场设备漏洞进行补丁升级。

正由于国内工业控制系统中Modbus协议应用广，且高级可持续性威胁的出现，已经关系到国家的战略安全，目前需要针对Modbus协议进行有效的模糊测试，发现现场设备中关于处理Modbus协议的缺陷，测试设备中关于Modbus的“0-day”漏洞，给出详细出错信息，有利于设备开发人员进行修复或补丁升级。

由于工业现场设备的安全测试与IT系统的安全测试在工业通信协议、工业控制系统漏洞库、测试反馈结果要支持嵌入式电子设备的特殊输出方式等方面存在着不同之处，需要对传统IT系统的模糊测试在以上三方面进行改进，并且要提出更有效的、符合工业专有协议的模糊测试方法。

综上，为了解决面向Modbus协议的模糊测试技术，本文提出了三方面构造模糊测试用例，并通过异常变异树减小冗余测试用例的情况，能智能、高效的发现现场设备中存在的Modbus协议处理缺陷。

发明内容

有鉴于此，本发明的目的是提供一种面向Modbus协议的模糊测试方法，基于人工分析与异常变异树技术，生成模糊测试用例，并设计响应识别模型，发现工业控制系统的现场设备对Modbus协议数据的处理缺陷。

本发明提供了一种面向Modbus协议的模糊测试方法，包括以下步骤：

1)生成三种测试用例：由异常变异树生成的模糊测试用例、基于公开漏洞信息生成的测试用例、基于公开漏洞信息的相似特征生成的测试用例；

2)将三种测试用例进行冗余整合处理，最终生成面向Modbus协议的模糊测试用例；

3)对发送的模糊测试用例，针对响应信息进行判断是否存在缺陷。

所述异常变异树生成的模糊测试用例的生成方法为：

Modbus协议域分析：将Modbus请求与响应报文划分为26类模糊测试用例；

专家知识划分静态与动态协议域：将Modbus协议域分析结果划分为动态与静态部分，所述静态部分不需要组合变异，通过每个类型的模板库生成固定常亮的测试用例；所述动态部分需要组合变异，根据异常变异树的每个属性的变异规定进行每个部分的变异；

协议域通过异常变异树生成模糊测试用例：针对每类功能码确定一个模板报文，静态与动态部分基于模板报文进行模糊测试用例生成。

所述动态部分协议域采用异常变异树方式产生模糊测试用例，其中变异技术产生模糊测试用例中域变化的情况，基于污点数据区域进行裁剪，大大缩减测试用例规模；树形方式对协议域变化情况与协议域格式进行管理，组合生成模糊测试用例。

所述基于公开漏洞信息生成的测试用例给出的具体协议域异常变异特征的描述，生成测试用例，融合到模糊测试用例中，并设置最高优先级。

所述公开漏洞构造测试用例包括：

通过NVD、CVE、中国国家信息安全漏洞库的公开内容，构造Modbus相关的已知漏洞库；

构造已知漏洞特征码为核心的一组交互数据流.

所述基于公开漏洞信息的相似特征生成的测试用例的生成方法为：

相似特征提取：基于协议域分析公开漏洞信息引起故障的特征，提取多个公开漏洞具有相似特征的部分；