[发明专利]工控协议的模糊测试方法、装置、存储介质及处理器

说明书

本申请公开了一种工控协议的模糊测试方法、装置、存储介质及处理器。该方法包括：获取数据报文的报文协议，基于报文协议对数据报文进行聚类分析，得到聚类分析结果；对聚类分析结果进行污点检验分析，得到污点分析结果；若聚类分析结果与污点分析结果匹配，输出匹配结果；基于匹配结果对目标系统进行模糊测试。通过本申请，解决了相关技术中对工业控制协议进行模糊测试时效率较低的问题。

技术领域

本申请涉及工控测试技术领域，具体而言，涉及一种工控协议的模糊测试方法、装置、存储介质及处理器。

背景技术

工业控制系统是具有过程控制功能的电子自动化系统，也是诸如电网，石油，化工，核电，交通等等国家关键基础设施中的重要组成部分。在是指工业生产过程中的控制网络和系统，是国家关键基础设施的关键组成部分。这种与工业产业相结合的深度控制系统也突破了以往物理网络隔绝的限制，与互联网相连接的同时也引出了非常多的网络安全风险。

工业控制系统在设计之初，只考虑了鲁棒性和实用性，因此没有从安全的角度去考虑工控系统的防护问题。因此在使用中暴露了很多安全问题，也更容易被黑客攻击。同时，工控系统因为其使用的特殊性和工控私有协议的保密性，使得传统的网络漏洞挖掘方法不适用于工控系统。

相关技术中利用模糊测试对工控系统的网络漏洞挖掘是根据反馈流量的相同与否判断是否出现新的路径，这种模糊测试方法对路径不敏感，因为有可能出现新的路径了，但是反馈内容相同从而丧失对新的路径的捕捉，或者只能针对和Modbus/TCP协议规则相类似的网络协议，如果被测试的私有工控协议特征和开源协议特征差别较大，将很难根据已经开源的协议发掘出网络协议特征，从而生成的特征文本作为输入进行模糊测试的路径覆盖率不是很理想。其次对工控协议的测试，并没有生成有效的反馈，除非被fuzz的对象崩溃或者出现异常否则它无法捕捉新的路径。无法捕捉新的路径就会导致后续对程序的fuzz没有导向性，进而影响fuzz测试效率。

针对相关技术中对工业控制协议进行模糊测试时效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种工控协议的模糊测试方法、装置、存储介质及处理器，以解决相关技术中对工业控制协议进行模糊测试时效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种工控协议的模糊测试方法。该方法包括获取数据报文的报文协议，基于报文协议对数据报文进行聚类分析，得到聚类分析结果；对聚类分析结果进行污点检验分析，得到污点分析结果；若聚类分析结果与污点分析结果匹配，输出匹配结果；基于匹配结果对目标系统进行模糊测试。

进一步地，基于报文协议对数据报文进行聚类分析，得到聚类分析结果包括：若报文协议为私有数据协议，对数据报文进行分类，得到分类后的数据报文，其中，分类后的数据报文至少包括控制字段数据以及数据帧数据；对控制字段数据进行聚类分析，得到聚类分析结果，其中，聚类分析结果包括如下至少之一：目标语句、目标格式。

进一步地，控制字段数据包括如下至少之一：源地址、端口协议的标识信息、数据长度标识、目标关键字。

进一步地，获取数据报文的报文协议之前，该方法还包括：采集数据报文，获取数据报文的报文协议。

进一步地，对聚类分析结果进行污点检验分析，得到污点分析结果包括：基于目标处理器触发聚类分析结果的函数执行指令，得到函数执行结果，其中，目标处理器作为污点检验分析工具，聚类分析结果作为污点检验数据；对函数执行结果进行污点检验分析，得到污点分析结果，其中，污点分析结果包括如下至少之一：污点检验数据函数的执行操作指令信息、污点检验数据函数的函数调用链信息。

进一步地，若聚类分析结果与污点分析结果匹配，输出匹配结果包括：若聚类分析结果与污点检验数据函数的执行操作指令信息匹配，和/或，若聚类分析结果与污点检验数据函数的函数调用链信息匹配；输出匹配结果。