[发明专利]一种基于模糊测试的网络协议自动化分析漏洞挖掘装置

权利要求书

1.一种基于模糊测试的网络协议自动化分析漏洞挖掘装置，其特征在于，将网络数据流输入本装置后，本装置通过对网络数据流进行分析，生成包含网络协议格式的规则树，以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，从而对未知协议格式的网络协议实现漏洞挖掘；

本装置包括数据包捕获模块、背景流量过滤模块、流量特征提取模块、规则树构造模块、模糊测试畸形数据生成模块、流量识别模块和底层发包模块，上述七个模块依次连接；模糊测试畸形数据生成模块与底层发包模块相连接；

所述的数据包捕获模块，其使用两种方式来捕获数据包，一种方式是调用libpcap库函数对互联网流量数据进行截包，把截包得到的每个数据包中的五元组信息保存下来，作为原始输入数据输入至背景流量过滤模块，另一种方式是使用wireshark自带的数据包截获保存工具，直接对流经网卡的互联网流量数据进行截包，将截包得到的数据，保存成各种类型的数据包文件；

所述的背景流量过滤模块，用于对截获到的数据包进行过滤处理，将不需要的干扰网络流量去除；背景流量过滤模块首先获得网络流量和进程之间的对应关系，将网络数据包中对应的五元组信息与对应关系进行对比，保存目标进程中的五元组信息；最后根据保存的五元组信息对截获到的数据包进行过滤和包重组，形成分析报文；

所述的流量特征提取模块，用于对两种流量特征进行提取，根据截获到的数据包的次序来对相应的分析报文进行分层，把同一层的分析报文进行特征提取；两种流量特征包括长度特征和包内byte_jump特征，流量特征提取模块检查每一层的具有同一五元组信息的分析报文长度是否相同，如果相同则认为该分析报文的长度为长度特征；所述的包内byte_jump特征，指数据包内长度特征的跳转；

所述的规则树构造模块，采用有限状态自动机来实现，其采用聚类算法将网络流量进行分类，对属于同一类的分析报文进行特征提取，按照分析报文的类别的粒度聚类划分报文层次，在对一层分析报文进行聚类划分完毕后，聚类划分下一层分析报文时，在上一层聚类划分的结果上进行再分配，对一类分析报文所提取的特征，作为一个节点，利用所有类分析报文所提取的特征构成一颗规则树；

所述的模糊测试畸形数据生成模块，首先生成符合互联网通信协议的数据包，生成该符合互联网通信协议的数据包后，在互联网通信协议没有规定的部分生成畸形数据，再利用生成的畸形数据对数据包进行填充，最后将填充后的数据包提交给底层发包模块，用于进行模糊测试的交互；畸形数据包括：超长字符串，整数溢出字符和格式化字符串；超长字符串用于检测字符串溢出；由畸形数据构成的模糊测试样本构成规则树的节点的模糊测试数据池；

所述的流量识别模块，使用模式识别算法来进行底层发包模块提交的数据包中的字符串的模式匹配，根据模式匹配结果确定规则树中与模式匹配结果相一致的节点，检查规则树的本节点的模糊测试数据池是否为空；如果为空，选择规则树的下一个节点的特征发送给模糊测试畸形数据生成模块，来生成畸形数据；如果不为空，再把该节点对应的特征发送给模糊测试畸形数据生成模块，并生成下一步要发送的畸形数据；

所述的底层发包模块用于实现网络客户端和服务端的数据发送和接收功能，将接收到目标主机发过来的分析报文提供给流量识别模块，由流量识别模块确定规则树中该分析报文相应节点的位置，底层发包模块接收模糊测试畸形数据生成模块生成的畸形数据并发送给目标主机，底层发包模块进行模糊测试。

2.如权利要求1所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置，其特征在于，

底层发包模块的工作具体流程包括：判断要发送给目标主机的数据包类型；初始化客户端和服务端信息；发送模糊测试畸形数据生成模块提交的数据给目标主机；接收对端服务器返回的消息，并将该消息提交给流量识别模块。

3.如权利要求1所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置，其特征在于，

所述的特征提取，是一种提取两个字符串的最大公共子串的算法，可用于计算两个字符串的相似度。