[发明专利]一种基于模糊测试的电网工控协议漏洞挖掘系统和方法

权利要求书

1.一种基于模糊测试的电网工控协议漏洞挖掘方法，其特征在于：所述方法通过电网工控协议漏洞挖掘系统实现，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联；

所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤，之后将过滤得到的目标进程流量发送给报文格式识别模块；

电网工控局域网包括以太网，所述以太网包括共享式以太网和交换式以太网；

针对共享式以太网，所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量；

采用数据包嗅探方式采集数据包流量通过以下两种途径实现：

1)通过数据包捕获软件采集数据包流量，所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap；

2)自行调用网络截包库采集数据包流量，所述网络截包库包括libpcap和WinPcap；

针对交换式以太网，所述流量采集模块从网络设备中采集数据包流量，通过以下两种途径实现：

1)通过基于ARP欺骗的中间人方式采集数据包流量，通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人，再通过中间人发送给流量采集模块；

2)通过交换机端口镜像功能方式采集数据包流量，将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机，从而实现数据包流量的采集；

所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别，包括：

1)报文格式识别模块对流量采集模块发送的目标进程流量进行分类，提取目标进程流量中同类型的报文序列作为一个报文组；

2)将同一个报文组内的数据报文划分为可变域和不变域；

3)对数据报文的ANSII字符串域、Unicode字符串域、二进制域和长度域进行识别，得到识别结果；

4)根据识别结果构造出完整的报文格式，并把报文格式存入报文格式库，同时报文格式识别模块将报文格式发送给模糊测试模块；

所述服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，并将漏洞类型和位置存入电网工控协议漏洞库；

所述方法包括以下步骤：

步骤1：判断电网工控协议是否为未知协议，若是则直接执行步骤2，否则表明电网工控协议为已知协议，进一步判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则从报文格式库中调取报文格式后，执行步骤3；

步骤2：对未知协议进行报文格式的识别，之后判断判断脚本库中是否存在模糊测试脚本，若是则执行步骤4，否则执行步骤3；

步骤3：模糊测试模块根据报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

步骤4：模糊测试模块根据模糊测试脚本构造测试用例，并根据测试用例对文报文格式进行模糊测试，得到模糊测试结果；

步骤5：服务器监控模块对模糊测试结果进行监控，模糊测试者对模糊测试结果进行分析、反推和归纳，进而得到漏洞类型和位置，将漏洞类型和位置存入电网工控协议漏洞库；

所述模糊测试模块基于SPIKE模糊测试器实现对报文格式的模糊测试，包括：

1)判断脚本库中是否存在报文识别模块识别的报文格式对应的模糊测试脚本，若存在则调取模糊测试脚本，若不存在模糊测试模块根据报文识别模块识别的报文格式生成模糊测试脚本，并将生成的模糊测试脚本存入脚本库；

2)模糊测试模块根据模糊测试脚本构造测试用例；

3)调用测试用例对报文格式进行模糊测试，得到模糊测试结果，同时模糊测试模块将得到的模糊测试结果发送给服务器监控模块。