[发明专利]一种Modbus TCP协议模糊测试中畸形数据过滤方法

说明书

本发明涉及一种Modbus TCP协议模糊测试畸形数据过滤方法。本方法操作步骤如下：(1)用户导入抓包文件；(2)从的抓包文件中得到通信报文；(3)校验通信报文的特定字段信息，并将该字段信息加入到报文之中；(4)对报文归一化处理得到改进的应用数据单元(IADU)；(5)将多个IADU构造训练矩阵；(6)对训练矩阵进行降维得到训练数据；(7)使用训练数据构建判定机制；(8)判定机制判定待输入数据，对之进行舍弃和保留。本发明实现了对待输入畸形数据的过滤，减少了无效测试数据的输入带来的额外通信负载，在待测目标数据吞吐受限的情况下，提升了模糊测试的速率和效率。

技术领域

本发明涉及了工业网络安全领域，尤其涉及一种Modbus TCP协议模糊测试中畸形数据过滤方法。

背景技术

工业网络控制系统安全问题受到广泛重视，Modbus协议是Modicon公司1979年提出的一种工业控制协议，具有协议标准开放、支持范围广和实时性好等特点，在工业控制系统中应用十分广泛。Modbus TCP协议是运行在TCP/IP协议上的Modbus协议，Modbus协议数据单元作为传输层负载进行传播，因此Modbus TCP协议也继承了TCP/IP协议的漏洞，此外，Modbus协议本身存在如明文传输、缺乏认证机制等问题，以及实现过程中程序存在的不足也会产生一系列安全漏洞。

工业控制网络所使用的通信协议由于在其设计之初未充分考虑外来攻击和入侵等情况，其在安全性上有许多不足。Modbus协议存在缺乏加密，缺乏认证和缺乏授权等问题。又由于 Modbus TCP是运行于TCP/IP协议之上的Modbus协议，TCP/IP协议中的存在的安全性问题也会影响到工业控制网络安全。如在Modbus TCP协议中，由于Modbus协议数据单元以传输层负载的形式进行传播，通信双方可能受到中间人、拒绝服务、IP欺骗等互联网中常用攻击手段的攻击。同时由于工程师在实现工业控制网络通信协议的过程中可能存在经验不足等问题，最后实现的通信协议中也有可能存在漏洞。

针对工业控制网络攻击的种类和数量不断增多，在卡巴斯基实验室解决方案保护的能源组织工业控制系统中，有近40％在2017年下半年遭受过一次恶意攻击。恶意攻击者利用工业控制网络协议中的不足和漏洞可以对攻击对象造成严重的危害。在攻击者进行攻击之前发现不足和漏洞，以便于提前进行防范和修补具有重大意义。

模糊测试通过向待测目标输入大量的畸形数据来发现待测目标中存在的缺陷和漏洞。模糊测试常用来检测网络协议中存在的缺陷，输入文件是否合法，其测试的自动化程度较高，适用范围较广。模糊测试方法的一个评价指标是使用单位测试用例寻找到的待测目标的缺陷和漏洞的个数，个数越多则模糊测试的命中率越高。模糊测试可以被用于发现Modbus TCP 协议中的漏洞。

由于运行Modbus TCP协议的工业设备通信能力不如商业IT设备，因此对此类设备进行模糊测试时会因其可承受负载低而无法拥有可观的数据吞吐速率，进而降低了测试的速度。通过建立判定机制实现对畸形数据的实时过滤，在输入序列中保留发现待测目标漏洞可能性较高的畸形数据，舍弃可能性较低的畸形数据，一种在数据吞吐速率受限的情况下提高模糊测试的效率和速率的方法。

在处理训练判定机制的样本数据中，由于数据写入过长导致的缓冲区溢出是70％的漏洞的起因，因此样本数据的原始长度信息必须保留，且不能在后续处理中丢失，以使最终的判定机制获得对缓冲区溢出的判断能力，增加判定畸形数据能否发现漏洞的准确率。通过将在原始的样本数据格式中增加新的字段，其值为样本数据的实际长度，构造出一个改进的应用数据单元(IADU)，从而防止在后续处理中因样本数据长度发生变化导致长度信息丢失。

训练数据中字段和字段之间的重复信息会给判定机制的训练和工作带来额外的计算量，从而影响判定的实时性。因此在保留样本数据原始长度信息的前提下，通过对样本数据的降维，舍弃冗余的字段，实现保证判定的准确性的同时降低计算量，从而保证了判定实时性。