[发明专利]一种基于模糊测试的网络协议自动化分析漏洞挖掘装置

说明书

本发明公开了一种基于模糊测试的网络协议自动化分析漏洞挖掘装置，将网络数据流输入本装置后，本装置通过对网络数据流进行分析，生成包含网络协议格式的规则树，以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，从而对未知协议格式的网络协议实现漏洞挖掘。本发明实现了对未知协议格式的自动化分析，引导模糊测试的执行路径，不需要依赖目标程序，操作简便，通用性强。本发明以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，能够方便地对未知协议格式的网络协议实现漏洞挖掘，满足了网络安全工作者对网络协议安全分析的需求。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于模糊测试的网络协议自动化分析漏洞挖掘装置。

背景技术

随着互联网的兴起，网络安全已经成为热议话题，作为安全工作者，应当及时查找漏洞、发布补丁，保卫网络空间安全。传统的手动分析协议方法存在如下问题：手动分析协议和手动写测试路径效率低下、测试路径不全、畸形数据交互无效、无法深入测试漏洞。网络协议自动化分析漏洞挖掘工具的出现，弥补了传统手动分析方法的不足，实现了模式化的协议处理与分析，能高效快捷地解析与处理网络协议格式，为模糊测试漏洞挖掘打下坚实基础，满足了安全工作者对网络协议安全分析的需求。

在网络协议漏洞挖掘领域中，对网络协议格式的自动化分析一直是一个重要的研究点，但其通常聚焦于在模糊测试执行之前对网络协议格式进行分析，这种方法通常以数据流为输入，按照TCP/IP协议簇格式划分数据报文并提取传输数据内容。发明(CN103209173B)需要通过劫持目标系统调用、对特征数据动态变异、检测目标运行状态来判断目标程序是否有安全漏洞，需要对目标取得一定的控制权，实现难度较大。论文《网络协议的自动化模糊测试漏洞挖掘方法》采用了基于遗传算法的迭代比对算法来获取网络协议格式的方法，该方法能够达到较高的准确度，但在实现上开销较大，对使用人员有较高的要求，同时对输入数据也有较为苛刻的条件，不普遍适用于常用网络协议。

发明内容

针对现有的网络协议漏洞挖掘领域中对网络协议格式的自动化分析方法所存在的实现难度大、开销较大的问题，本发明公开了一种基于模糊测试的网络协议自动化分析漏洞挖掘装置，将网络数据流输入本装置后，本装置通过对网络数据流进行分析，生成包含网络协议格式的规则树，以规则树为导向对测试目标进行模糊测试，将模糊测试结果反馈到规则树中，实现对测试目标的协议格式遍历，从而对未知协议格式的网络协议实现漏洞挖掘。

本装置包括数据包捕获模块、背景流量过滤模块、流量特征提取模块、规则树构造模块、模糊测试畸形数据生成模块、流量识别模块和底层发包模块，上述七个模块依次连接；模糊测试畸形数据生成模块与底层发包模块相连接。

所述的数据包捕获模块，其使用两种方式来捕获数据包，一种方式是调用libpcap库函数对互联网流量数据进行截包，把截包得到的每个数据包中的五元组信息保存下来，作为原始输入数据输入至背景流量过滤模块，另一种方式是使用wireshark自带的数据包截获保存工具，直接对流经网卡的互联网流量数据进行截包，将截包得到的数据，保存成各种类型的数据包文件。

所述的五元组信息包括源IP、目的IP、源端口、目的端口、TCP/UDP的信息。

所述的背景流量过滤模块，用于对截获到的数据包进行过滤处理，将不需要的干扰网络流量去除；背景流量过滤模块首先获得网络流量和进程之间的对应关系，将网络数据包中对应的五元组信息与对应关系进行对比，保存目标进程中的五元组信息。最后根据保存的五元组信息对截获到的数据包进行过滤和包重组，形成分析报文。