[发明专利]基于模糊测试的工控协议漏洞挖掘系统

说明书

技术领域

本发明涉及工业控制系统中的漏洞挖掘方法，特别是工业控制系统中的通信协议漏洞挖掘方法。

背景技术

工业控制系统是国家关键基础设施重要组成部分，其广泛应用在石油石化、水利电力、食品加工和污水处理等领域，主要用于数据采集、生产控制等方面。随着信息化和工业化融合的不断加深，工业控制系统由传统的封闭环境、单一系统等特点逐渐向开放环境和复杂多系统转变。深化融合带来的发展的同时也带来了许多之前所面临不到的问题，其中最严重的就是安全方面的问题。

随着新兴互联网技术的加入，发展的同时也带来了许多安全问题，例如2010年爆发的“震网”病毒。工业控制系统所面临的危险和受到攻击后会造成的严重后果，相比传统网络其所带来的危害更为严重，不仅会造成重大经济损失甚至会影响到国家安全和人民生活。

传统工业控制系统由于当时封闭环境等特点，所涉及协议等内容在设计上就在安全方面有所缺失，没有考虑到当前复杂的环境状况。基于工控系统在安全方面的的脆弱性以及其遭受攻击后的严重性,我国近些年将工控系统的安全问题提升到了国家战略层面的高度,并组织相关的主管部门积极的开展工控安全的保障工作,例如,研究制定工业控制系统相关的安全标准、加紧制定出台工控系统安全的相关政策、完善相关管理制度、加大工控安全相关技术研究的投入等,针对政策、标准、技术等方面积极布局工业控制系统安全的相关保障工作。

工业控制系统由于实时性、可靠性要求高，许多传统网络的安全手段并不能在工业控制领域发挥很好的作用。根据其自身的特点，在系统或协议上线之前对其进行漏洞挖掘测试可以很好的抵御一些潜在的风险，提高系统的安全性可靠性对危险防范于未然。

发明内容

本发明的目的在于提出一种基于Sulley模糊测试框架的工业控制系统通信协议的漏洞挖掘方法，本发明利用工控协议漏洞挖掘系统发现工业控制系统中通信协议的漏洞。

基于模糊测试的工控协议漏洞挖掘系统，该系统包含如下模块：

协议分析模块；数据构造模块；遗传变异模块；会话管理模块；代理模块；驱动模块；辅助工具模块；遗传变异模块、会话管理模块、代理模块分别与驱动模块连接，协议分析模块与数据构造模块连接后与遗传变异模块连接；驱动模块用以连接测试目标。

上述七个模块的基本功能以及交互关系为：

协议分析模块对网络网络中正常流量的数据包进行抓取和分析。通过Tshark命令来启动抓包功能，对网络中的数据包进行抓取，并利用Wireshark的解析展示功能将被测协议的数据包内容呈现出来，随后对其进行分析。将被测协议的数据包格式信息进行提取。

数据构造模块根据协议分析模块分析得到信息结合Sulley框架基于块的数据构造模式，在测试开始之前构造初始的测试用例同时作为遗传变异过程中的初始种群。

遗传变异模块根据数据构造模块所发送的测试用例作为初始种群或父代种群，结合被测目标的反馈信息和设计的遗传变异流程对测试用例进行遗传变异，之后在变异所获得的种群中加入一些新生成的测试用例，从而形成新的种群。新种群作为新的测试用例对被测目标进行测试。

会话管理模块通过调用Sulley中的connect函数与被测目标建立连接和会话，同时该模块还能通过调用代理模块来对被测目标进行监测，包括网络监控代理、进程监控代理和VM控制代理。

代理模块通过网络监控代理、进程监控代理和VM控制代理来对整个模糊测试过程进行控制。网络监控代理负责对网络通信进行监控，其通常设置在能够监控到网络流量发送和接收的位置上，主要对测试用例的传输过程进行监控，同时将测试用例保存到设置好的文件夹中，以便后续查看。进程监控代理负责监控被测目标的运行状态，通过测试用例对被测目标的测试状态进行监控来获取反馈信息，同时将测试中的错误信息记录到日志中，以便后续查看。VM控制代理负责监控虚拟机状态以及起停和重置操作，其通过API接口对虚拟机进行控制。当被测虚拟机发生错误崩溃时，负责对错误信息进行记录并重新启动被测虚拟机。

驱动模块是将整个系统进行链接的轴心模块，其负责将上述模块连接到一起并启动模糊测试。

辅助功能模块包含一些小的工具能够实现一些附加功能，所述附加功能为链接IDA的扩展库、查看存储的异常测试用例、清除测试用例等。

所述遗传变异模块所采用的遗传算法和变异过程如下步骤所示：

步骤(1)，遗传变异模块初始化，随机生成初始测试用例即初始种群。

步骤(2)，使用生成的种群用例对被测目标进行测试，记录反馈信息。