[发明专利]一种基于动态分析的智能模糊测试方法

说明书

本发明公开了一种基于动态分析的智能模糊测试方法，采用连接超时的动态调整算法，减少测试过程中不必要的等待时间，可以提高测试效率；采用响应超时的动态调整算法，避免了人为经验设置参数导致被测设备响应状态误报，可以提升测试的准确率；采用用例执行时间间隔的动态调整算法，对具有DOS防护机制的被测设备来说，测试加快，可以提高测试效率，缩短整体的测试时间；测试减慢，可以增加测试的可用性；采用IP+MAC动态调整算法，对具有DOS防护机制的被测设备来说，增大了测试的可用性，从而增强漏洞的挖掘能力。

技术领域

本发明涉及智能模糊测试方法技术领域，尤其涉及一种基于动态分析的智能模糊测试方法。

背景技术

工业自动化控制系统以及物联网系统在享受开放、互联技术带来的进步、效率与利益的同时，也面临着日益严重的安全威胁。针对这些安全威胁，目前模糊测试工具就应运而生，用来挖掘设备的未知漏洞并验证已知漏洞。模糊测试工具采用测试-探测-测试的串行模式，通过创建测试任务，针对协议不同的功能子类创建不同的脚本，针对特定的协议功能子类的字段做错误注入、结构变异、洪泛测试等，进而生成成千上万的测试用例，然后对被测设备发送变异的数据报文并通过判断对方的响应情况来完成测试。对基于TCP的应用层协议的工控设备测试往往需要建立完整的TCP连接和通讯，在创建测试任务时，对于TCP建立连接的连接超时、收发数据包的响应超时、测试用例的执行时间间隔这三个时间都是根据测试人员的测试经验、通用的ping工具测试的响应时间等因素综合考虑设置的静态的时间间隔，其中 ping工具测试的响应时间只能体现出网络延迟，不能体现被测设备应用层服务的响应时间。连接超时是对基于TCP的协议而言的，指测试工具TCP SYN包发出到收到被测设备的ACK响应包的最大等待时间。响应超时是对所有类型的协议而言，指测试工具在建立必要的连接通道的基础上发出应用协议请求包到收到回应包的最大等待时间。所谓的测试用例执行时间间隔是指两种类型变异报文发送间停顿的时间间隔，如果没有这个间隔时间，测试工具总是会以它的最大测试能力进行发包，这往往会对被测设备造成拒绝服务攻击，达不到测试效果。

连接超时设置过小，测试工具会误以为被测设备停止响应而造成误报，从而影响测试的准确性。对于固定的连接超时设置方案，在整个测试过程中，被测设备连接的响应时间可能会随着测试的进行有所变化，甚至逐渐变大，这都可能造成误报。如果设置过大，又会直接影响测试的效率，以某模糊测试工具某次测试任务为例，假设连接超时设置为200ms，有10000个用例，每个用例建立一次TCP连接，被测设备在整个测试任务中有1%的连接超时，每次超时假设测试工具都要重试4次以进行确认，这时总共的超时等待时间=4*200ms*10000*1%=80s。如果设置连接超时为1s，则总超时等待时间=400s，这便会造成320s的时间浪费。

同样的，对于响应超时，设置是否合适影响会更大。因为一个测试用例可能包含数十个甚至上百个测试数据包或测试回合。

对于上面提到的同一个测试任务，假设用例时间间隔为100ms，整个测试任务中用例间等待时间总计=100ms*10000=1000s；如果设置用例时间间隔为500ms，整个测试任务中用例间等待时间总计=500ms*10000=5000s，由此可以看出，设置不当甚至会造成长达4000s的时间浪费。

目前，某些知名的厂家的较新的设备软件还具备DOS防护机制，当它发现有超常的连接请求、或过于频繁的错误包请求时，会自动针对访问端IP或MAC提高连接的响应时间以缓解这种影响，或者限制一段时间的访问能力，甚至加入自己的黑名单。此时，模糊测试工具如果误判被测设备为停止响应，则会导致错误的结果。为了对这种类型的设备进行完整测试，可能需要测试者频繁重启被测设备，或者等待其限制时间过后再次继续，完成这样的一个测试任务往往花费几个小时甚至几十个小时，效率非常低下，甚至可以认为不可测，模糊测试工具的可用性受到影响。

现有的模糊测试工具也注意到了这些问题，这些测试参数都可以在建立测试任务时进行经验设置，也可以通过ping等通用工具进行实际探测后给出推荐值。