[发明专利]一种高效的协议客户端漏洞发掘方法与系统

说明书

本发明涉及一种高效的协议客户端漏洞发掘方法与系统，包括：协议结构识别；测试数据包生成；测试引擎；测试代理；测试目标监控。协议结构识别是基于生物信息学中基因序列比对算法，对协议数据包进行自动化分析，将数据包结构分成：会话相关数据域、数据包长度数据域、固定不变数据域、模糊测试数据域；测试数据包生成是基于前述部分获得的数据包结构，采取不同的处理方法，生成测试数据包；测试引擎对涉及到的程序进行调用，测试代理监控漏洞发掘系统的状态；试目标监控用来保存引发协议客户端漏洞的配置现场信息，对导致异常的数据包进行定位，最终确定触发的漏洞类型。本发明测试的效率和准确性高，尽早发现安全漏洞，采取相应的安全补救措施。

技术领域

本发明涉及计算机网络安全领域，更为具体地，涉及一种高效的协议客户端漏洞发掘方法与系统。

背景技术

在网络日益普及的情况下，大量的客户端接入网络，造成客户端数量呈爆炸式增长，给日常生活带了极大便利的同时，也存在极大的安全隐患。需要一款能够高效的对协议客户端进行测试的工具，及时发现客户端存在的漏洞，并采取相应的安全补救措施。目前的模糊测试主要集中在服务器一侧，造成了客户端软件安全漏洞挖掘的盲区。如果发现一个漏洞，则可能影响相当数量的客户端设备。如果不能及时发现漏洞，一旦被攻击者利用，就会造成巨大的损失。近年来不断爆发客户端遭受攻击成为“肉鸡”的事件，给人们敲响了警钟。客户端数量庞大，种类繁多，再加上使用的协议千差万别，使得对客户端的测试是比较棘手的问题。因此，首先对协议结构进行识别，然后直接和客户端进行通信并进行高效的模糊测试技术为及时发现协议客户端安全隐患提供了新的思路。

目前在协议识别方面的专利是CN104506484A，该专利需要对原始程序进行反汇编，对其汇编代码中的关键函数进行动态调试，然后抓取该协议的网络流数据,并按协议交互的不同阶段进行报文数据包分类，分别解析出每类报文数据包的字段结构。当时，反汇编的工作量极大，对报文数据包进行分类存在极大的盲目性。针对工控协议Modbus进行模糊测试的专利是CN105721230A，该专利先通过专家知识划分Modbus协议域为静态与动态部分，动态部分通过异常变异树方法构造测试数据集合，但是该专利划分的粒度较粗，无法实现精细化测试；只测试服务器端，无法测试与之相连的客户端；而且只针对公开的Modbus协议，方法不具有通用性。基于协议状态的工控协议模糊测试方法专利是CN105763392A，该专利包括协议状态机提取、报文序列库的构建、协议状态的引导、测试用例的发送与存储、基于心跳的异常监测、以及导致异常的测试报文定位，但是该专利需要大量的数据包样本才能做到协议状态机的准确提取，无法有效的对协议进行识别，也无法实现对客户端的有效测试。

综上所述，现有的针对协议客户端的漏洞发掘普遍存四方面问题：(1)通用性问题。对客户端协议支持不够，大部分工具只能针对公开协议进行测试，无法做到通用性；(2)超时限制。某些通信协议会话周期性明显，会话持续时间短，导致部分测试工具无法及时响应客户端的请求；(3)耗时较长。目前的测试工具畸形数据包数量过大，不能做到精简数据包集合，高效进行测试；(4)效率低下。全数据域的变异导致大量无效数据包在早期的数据包简单校验就被拒绝，无法到达客户端的内部处理逻辑。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种高效的协议客户端漏洞发掘方法与系统，利用生物信息学算法对通信协议结构进行识别，并有针对性的对特定的模糊测试数据域进行变异进行测试数据包生成，同时利用测试引擎调用测试过程中使用的程序，利用测试代理和测试目标监控进行辅助分析，这样就极大地减少了测试用例的数量，增强了畸形数据包发现隐藏漏洞的能力，提高了测试效率和准确性。