[发明专利]一种基于测试用例自动化生成的协议模糊测试方法及装置

说明书

本发明提供一种基于测试用例自动化生成的协议模糊测试方法及装置。该方法包括：步骤1：捕获协议正常通信时的网络流量并对其进行过滤；步骤2：使用多序列比对方法对齐报文序列；步骤3：确定协议的关键词，基于所述关键词对所有报文序列进行聚类分析以推断出协议格式以及协议状态机模型；步骤4：根据推断出的协议格式构建模板，根据所述模板自动化生成测试用例；步骤5：根据推断出的协议状态机模型，生成测试路径；步骤6：根据所述测试路径将测试用例发送至目标程序进行模糊测试，并监测目标程序的状态。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于测试用例自动化生成的协议模糊测试方法及装置。

背景技术

网络协议描述了两个通信实体相互传递数据的规范，在计算机网络中发挥着重要的作用。然而，在实现过程中由于开发人员理解上的偏差，会在其实现中引入漏洞。一些黑客利用协议中的漏洞传播病毒，甚至在不需要访问物理主机的发起远程攻击，导致数千上万的网络设备面临灾难性的威胁。根据NVD数据库统计，2022年上半年协议中高危漏洞占比超过70％，因此及时发现并修补协议中存在的安全漏洞极为重要。

作为当前主流的协议漏洞发掘方法，模糊测试具有操作简单、效率高的特点。自1989提出了以来已经被广泛用于多个领域的安全测试。模糊测试根据测试用例的生成方式可以分为：基于突变的模糊测试技术和基于生成的模糊测试技术。基于突变的模糊测试技术不需要掌握协议的先验知识，降低了创建状态机的努力。然而，该方式生成的测试用例往往无法通过格式校验。基于生成的模糊测试技术，通过对协议的分析获取协议的格式以及状态机模型，生成尽可能符合协议规范的测试用例。该技术生成的测试用例更容易被协议实现程序所接受，然而该方法需要大量的人工分析以及对协议有着足够的了解，并且难以根据新的协议特性进行扩展。另一方面，现有的黑盒模糊测试工具不关心协议程序执行时的信息，很难探测到协议的深层次状态空间。由于基于突变的协议模糊测试工具不了解协议的状态转换关系，因此同样难以到达深层次的状态。此外，灰盒协议模糊测试工具往往会选择更短的状态迁移路径，从而忽略达到该状态的其他路径，造成测试不够完备的问题。

发明内容

为了解决或者部分地解决传统协议模糊测试方法存在的种子构造代价高，难以扩展到新的协议，以及难以探测到深层次协议状态空间的问题，本发明提供一种基于测试用例自动化生成的协议模糊测试方法及装置。

一方面，本发明提供一种基于测试用例自动化生成的协议模糊测试方法，包括：

步骤1：捕获协议正常通信时的网络流量并对其进行过滤；

步骤2：使用多序列比对方法对齐报文序列；

步骤3：确定协议的关键词，基于所述关键词对所有报文序列进行聚类分析以推断出协议格式以及协议状态机模型；

步骤4：根据推断出的协议格式构建模板，根据所述模板自动化生成测试用例；

步骤5：根据推断出的协议状态机模型，生成测试路径；

步骤6：根据所述测试路径将测试用例发送至目标程序进行模糊测试，并监测目标程序的状态。

进一步地，步骤2具体包括：

步骤2.1：计算所有初始报文序列中的最长报文序列长度l_max和最短报文序列长度l_min；针对每个初始报文序列，执行步骤2.2至步骤2.6；

步骤2.2：以字节为单位将初始报文序列划分为静态字段和动态字段；

步骤2.3：初始化字段偏移；

步骤2.4：在当前字段偏移值下，判断相邻的两个静态字段是否相同，若相同，则将两个相邻静态字段合并一个长静态字段；