[发明专利]基于流量重放的工控协议模糊测试方法

说明书

本发明涉及工业网络安全领域，具体而言涉及一种基于流量重放的工控协议模糊测试方法。本发明旨在提供一种基于流量重放的工控协议模糊测试方法，以工控设备运行环境的真实协议流量数据为基础，通过简易的配置文件格式和工控协议报文定义格式，构建对应的协议解析器，提取设备协议状态报文，对用户指定工控协议字段进行模糊化，最后提取报文应用层数据，将其封装和重放，在保证输入有效和协议会话完整建立的前提下，快速、高效的进行工控协议模糊测试。本发明适用于已有工控协议漏洞挖掘、工控协议研发的自动化测试等工作中。

技术领域

本发明涉及工业网络安全领域，具体而言涉及一种基于流量重放的工控协议模糊测试方法。

背景技术

在过去的十几年里，计算机相关的网络技术越来越多的应用与工业控制系统中，但同时也带来了工控系统网络安全问题，工控网络成为黑客、恐怖分子、敌对势力进行攻击破坏的新目标。目前工控系统作为石化、电网、交通运输、污水处理等关键领域的重要组成部分，其安全性已成为国家信息安全的关注热点。

模糊测试是一种高度自动化的测试技术，通过大量输入随机数据，无需进入系统内部或者获得源代码，即可发现程序实现上的不足，但是这样的测试是盲目的，因为工控设备在解析这些输入时，如果不符合协议规范，设备会直接重置连接，那么这样的测试只能停留在协议状态的初级阶段。

针对这样的问题，目前很多模糊测试技术针对工控协议格式知识来构建测试用例。比如专利CN201910189084.0提出的测试方法会生成三种测试用例：1.通过专家知识将Modbus协议划分为动态与静态部分，对动态部分进行变异组合来生成测试用例。2.基于已公开漏洞信息生成测试用例。3.基于公开漏洞信息相似特征生成测试用例。这类模糊测试技术缺点在于：许多工控协议比如Siemens S7需要使用COTP协议建立应用层会话后，再进行操作，而这些技术难以建立完整的会话过程，难以挖掘出深层次的漏洞。

针对工控协议的动态会话建立问题，专利201610094014.3提出通过在协议通信报文样本的基础上使用开源协议逆向分析项目Netzob提取协议状态机，基于协议状态机将工控设备引导到待测状态，再将变异后的报文发送到目标设备，但是许多工业控制协议由多层协议组合而成，比如CIP协议(Common Industrial Protocol)使用Ethernet/IP封装，现有的协议逆向技术对于多层未知协议字段提取准确率不高，这样造成工控协议在建立会话时，需要填写的机架、槽位、密码等设备组态时设置的信息不正确，协议报文被工控设备拒绝，导致测试覆盖率低。

而现有的网络协议模糊测试框架，如Kitty、Sulley、Peach等，在每次测试前根据协议格式描述，需要人工编写大量的协议模糊测试用例等繁杂且重复的人工操作，降低了协议模糊测试工作效率，因此本发明提出一个基于工控协议流量数据重放的高效模糊测试方法。

发明内容

针对现有技术中存在的问题，本发明旨在提供一种基于流量重放的工控协议模糊测试方法。以工控设备运行环境的真实协议流量数据为基础，通过简易的配置文件格式和工控协议报文定义格式，构建对应的协议解析器，提取设备协议状态报文，对用户指定工控协议字段进行模糊化，封装和重放报文，从而快速进行工控协议模糊测试。该方法适用于已有工控协议漏洞挖掘和工控协议研发的自动化测试。

为达成上述目的，本发明所采用的技术方案步骤如下：

步骤1、配置文件读取。

首先读取用户填写的配置文件，其中包含需要测试的设备目标IP、指定设备所用的协议、指定重放的报文文件路径、工控协议报文格式文件路径、指定模糊测试的工控协议数据字段以及模糊测试的次数。

步骤2协议解析器构建与协议解析。