[发明专利]一种基于模糊测试的电网工控协议漏洞挖掘系统和方法

说明书

本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。本发明提供了一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，解决了电网工控协议漏洞挖掘问题，通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议，有效提高模糊测试的效率和准确率。

技术领域

本发明涉及一种漏洞挖掘技术，具体涉及一种基于模糊测试的电网工控协议漏洞挖掘系统和方法。

背景技术

随着计算机技术和网络通信技术应用于电网工业控制系统，带来了电网工业控制网络的安全问题。在电网工业控制网络中，协议安全是整个系统安全的主要环节，只有协议安全可靠，才能保证系统的安全可靠，协议的漏洞是非法入侵者的主要攻击目标。

漏洞挖掘对于协议安全有重大意义，是解决当前电网工业控制协议安全问题的有效途径，它能够在威胁未发生时检测出协议存在的安全隐患，从而排除隐患，避免威胁发生。目前，国内外对于工控系统安全防护已经取得了一定的研究成果，但是对工控协议进行漏洞挖掘的研究仍然很少。

模糊测试是常见的一种漏洞挖掘方法，它的核心思想是通过大量的数据输入，通过覆盖程序的各种执行路径以发现程序的脆弱点，它能够自动完成测试数据的生成、样本构造等工作。目前针对模糊测试的研究主要集中在互联网中未知网络协议的漏洞挖掘上，结合电网工控领域特殊环境的漏洞挖掘研究非常少。因此，将模糊测试技术引入到电网工业控制系统漏洞挖掘研究中，找到一种适合电网工控协议特殊环境的漏洞挖掘方案是十分有必要的。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统和方法，解决了电网工控协议漏洞挖掘问题，通过使用本发明可以结合电网工控特殊环境灵活选择电网工控协议，有效提高模糊测试的效率和准确率。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于模糊测试的电网工控协议漏洞挖掘系统，所述系统包括流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块；所述流量采集模块、报文格式识别模块、模糊测试模块和服务器监控模块依次串联。

所述流量采集模块采集数据包流量并对采集的数据包流量进行过滤，之后将过滤得到的目标进程流量发送给报文格式识别模块。

电网工控局域网包括以太网，所述以太网包括共享式以太网和交换式以太网.

针对共享式以太网，所述流量采集模块从本地网络中采用数据包嗅探方式采集数据包流量；

采用数据包嗅探方式采集数据包流量通过以下两种途径实现：

1)通过数据包捕获软件采集数据包流量，所述数据包捕获软件包括tcpdump、Iris、Sniffer、Wireshark和winpcap；

2)自行调用网络截包库采集数据包流量，所述网络截包库包括libpcap和WinPcap。

针对交换式以太网，所述流量采集模块从网络设备中采集数据包流量，通过以下两种途径实现：

1)通过基于ARP欺骗的中间人方式采集数据包流量，通过ARP欺骗使得希望获取数据包流量的设备把数据包流量都先发送给中间人，再通过中间人发送给流量采集模块；

2)通过交换机端口镜像功能方式所述流量采集模块，将发往流量采集模块的数据包流量全部实时拷贝到指定的交换机端口并发送到相应主机，从而实现数据包流量的采集。

所述报文格式识别模块对流量采集模块发送的目标进程流量进行分析和识别，包括：