[发明专利]一种设备协议漏洞检测方法及装置

说明书

本发明提供了一种设备协议漏洞检测方法及装置，其中，该方法包括：确定待检测设备的待检测协议类型，获取待检测设备所在系统中的与待检测协议类型相对应的协议报文；获取协议报文中各字段之间的关系；根据协议报文对待检测设备所在系统进行协议状态机学习，获取待检测设备所在系统的状态机路径；根据状态路径确定测试用例生成方法，按照测试用例生成方法，结合各字段之间的关系生成与各状态路径对应的测试用例；将测试用例输入待检测设备，根据待检测设备的工作状态得到待检测设备的协议漏洞检测结果。本发明结合协议报文中各字段之间的关系以及状态路径生成测试用例，避免产生大量冗余的测试用例，提高了代码覆盖率，从而提高了漏洞检测效率。

技术领域

本发明涉及网络安全技术领域，具体涉及一种设备协议漏洞检测方法及装置。

背景技术

电力系统在应用工业自动化控制技术与物联网技术后，获得了效率与利益的同时，也面临着严重的安全威胁。电力设备协议可能存在漏洞，利用此类漏洞针对电力系统诸如智能电表等下游设备的攻击有可能突破电力系统防护措施，对电力系统主干网络造成影响，引起更大范围的故障。因此，发掘当前电力系统下游设备协议及系统漏洞，对于电力系统安全防护是极为必要的。

应用传统的模糊测试技术能够检测出待检测设备中的程序漏洞，但是目前能够应用于电力物联网的基于模糊测试的漏洞挖掘技术，均属于黑箱测试，即在不清楚待检测设备所采用的协议的情况下进行测试。这样的方法虽然能够极大地提升测试方法的普适性，但是同样也会造成代码覆盖率低和产生大量无效样本的情况。大量的无效样本和较低的代码覆盖率导致测试效率的低下。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中的大量的无效样本和较低的代码覆盖率导致测试效率低下的缺陷，从而提供一种设备协议漏洞检测方法及装置。

本发明第一方面提供了一种设备协议漏洞检测方法，包括：确定待检测设备的待检测协议类型，获取待检测设备所在系统中的与待检测协议类型相对应的协议报文；获取协议报文中各字段之间的关系；根据协议报文对待检测设备所在系统进行协议状态机学习，获取待检测设备所在系统的状态机路径，状态机路径包括多种不同的状态路径；根据状态路径确定测试用例生成方法，按照测试用例生成方法，结合各字段之间的关系，生成与各状态路径对应的测试用例；将测试用例输入待检测设备，根据待检测设备的工作状态得到待检测设备的协议漏洞检测结果。

可选地，在本发明提供的设备协议漏洞检测方法中，根据状态路径确定测试用例生成方法，按照测试用例生成方法，结合各字段之间的关系，生成与各状态路径对应的测试用例，包括：若状态路径为常用路径，将测试用例生成方法确定为生成方式，按照生成方式，结合各字段之间的关系生成与状态路径对应的测试用例。

可选地，在本发明提供的设备协议漏洞检测方法中，若状态路径为非常用路径，将测试用例生成方法确定为生成方式和变异方式，分别按照生成方式和变异方式，结合各字段之间的关系生成与状态路径对应的测试用例。

可选地，在本发明提供的设备协议漏洞检测方法中，按照生成方式，结合各字段之间的关系生成与状态路径对应的测试用例，包括：根据与待检测协议类型相对应的协议知识和各字段之间的关系生成测试用例模板；根据与待检测协议类型相对应的畸变知识形成畸形报文生成规则；根据测试用例模板和畸形报文生成规则生成测试用例。

可选地，在本发明提供的设备协议漏洞检测方法中，按照变异方式，结合各字段之间的关系生成与状态路径对应的测试用例，包括：根据与待检测协议类型相对应的协议知识和各字段之间的关系生成测试用例模板；根据各字段之间的关系和状态机路径，结合与待检测类型对应的变异知识，对测试用例模板进行报文变异，形成测试用例。

可选地，在本发明提供的设备协议漏洞检测方法中，根据待检测设备的工作状态得到待检测设备的协议漏洞检测结果，包括：获取待检测设备处理测试用例时存储的数据量；若待检测设备处理测试用例时存储的数据量大于目标区域存储量，则判定待检测设备存在协议漏洞。