[发明专利]基于协议状态图遍历的IEC104协议漏洞挖掘方法

权利要求书

1.一种基于协议状态图遍历的IEC104协议漏洞挖掘方法，其特征在于，包括：

将获取的目标设备的网络数据包处理为去重后的协议基础块；

根据所述去重后的协议基础块构造协议状态图；

对所述协议状态图按照预先设定的规则进行遍历，生成至少一个畸形数据包；

对所述至少一个畸形数据包进行漏洞测试，并确定通过漏洞测试的畸形数据包对应的脚本为所述目标设备的一个漏洞。

2.根据权利要求1所述的方法，其特征在于，

所述将获取的目标设备的网络数据包处理为去重后的协议基础块，包括：

与目标设备进行交互，抓取目标设备的网络数据包；

从抓取到的网络数据包中过滤出IEC104协议的数据包，并对数据包去重，得到IEC104协议数据包集合；

利用协议自动化分析方法，对IEC104协议数据包集合中的IEC104网络数据包进行分块处理，得到去重后的协议基础块。

3.根据权利要求1所述的方法，其特征在于，

所述根据所述去重后的协议基础块构造协议状态图，包括：

获取各数据包内基础块之间的约束关联关系及数据包间的状态转移关联关系，构造协议状态图；或

获得对IEC104协议数据包集合中的数据包内或所述去重后的协议基础块内的节点内的约束关联关系；

获得所述去重后的协议基础块的节点之间的状态转移关联关系。

4.根据权利要求1所述的方法，其特征在于，

所述对协议状态图按照预先设定的规则进行遍历，生成至少一个畸形数据包，包括：

按照预先设定的最大遍历深度，采用深度优先方式对协议状态图进行遍历，依据节点内的约束关联关系及节点之间的状态转移关联关系生成至少一个畸形数据包。

5.根据权利要求1所述的方法，其特征在于，

所述针对所述至少一个畸形数据包，进行漏洞测试，包括：

发送所述畸形数据包至所述目标设备，以测定所述畸形数据包是否会触发所述目标设备崩溃；

若所述畸形数据包触发所述目标设备崩溃，则根据所述畸形数据包编写重放脚本，利用所述重放脚本进行漏洞验证；

确定经过漏洞验证后的重放脚本为对应于所述目标设备的漏洞。

6.根据权利要求5所述的方法，其特征在于，

所述测定所述畸形数据包是否会触发所述目标设备崩溃，包括：

向目标设备发送探测数据包，探测目标设备对应于所述探测数据包是存活还是崩溃；

若目标设备崩溃，则记录上一个发出的测试用例，所述测试用例与所述畸形数据包唯一对应。

7.根据权利要求6所述的方法，其特征在于，

根据所述畸形数据包编写重放脚本，利用所述重放脚本进行漏洞验证，包括：

根据所述畸形数据包和上一个发出的测试用例，生成重放脚本；

向目标设备发送所述重放脚本；若查看到所述重放脚本引起目标程序异常，则确定所述重放脚本及对应的测试用例为一个与所述目标设备对应的漏洞。

8.根据权利要求2所述的方法，其特征在于，

在所述与目标设备进行交互，抓取目标设备的网络数据包时，可以使用以下任一种工具：

Wireshark、Tcpdump、Burpsuite、Fiddler、Scapy、libpcap。

9.根据权利要求1所述的方法，其特征在于，

所述目标设备包括远动系统中的站端RTU、PLC。

10.根据权利要求2所述的方法，其特征在于，

所述协议基础块包括协议请求头及请求数据、协议关键字、协议分隔符、协议内容。