[发明专利]一种基于逆向技术的未知协议模糊测试自动化方法

说明书

本发明提出了一种基于逆向技术的未知协议模糊测试自动化方法，目的是为了提高针对未知协议的模糊测试的方法的效率以及自动化程度。针对全球骨干网中存在的大量未知协议，构建一种协议逆向方法来逆向协议的格式，在逆向协议格式的基础上，编写模糊测试脚本生成方法，再利用boofuzz框架执行测试脚本，记录测试过程的测试对象状态以及数据，为进一步研究未知协议的安全问题提供基础，以便及时的改进未知协议的设计以及修复通讯实体的漏洞。

技术领域

本发明属于网络通信中未知协议逆向分析领域，具体是一种基于逆向技术的未知协议模糊测试自动化方法。

背景技术

全球安全中心的统计表明，骨干网中未知协议的流量已经高达45%，未知协议大量被使用于现如今的各类网络中，例如工控网络中的工业设备的数据交互，以及其他各类网络中各种应用层数据交互，未知协议结构五花八门的设计导致安全性同样是难以知晓的。设计协议的本意是为了使数据通信变得更加有序，高效且安全，但由于设计上难免缺陷，或许存在着一些高危的漏洞危害整个网络系统的安全。因此对挖掘协议的安全漏洞进行挖掘，及时改进协议设计与协议通讯实体设计是十分重要的。

一般而言，挖掘协议的安全漏洞的手段主要有动态分析、漏洞特征分析、模型检验以及模糊测试等方法。其中针对网络协议的模糊测试是一种通过向网络通讯实体发送大量随机生成的模糊测试数据，同时与通讯实体的交互情况，并记录通讯实体是否发生异常状态，并进一步研究其漏洞所在。模糊测试方法常被用在研究程序的健壮性上，这类方法的最大的优点是不需要有很强的挖掘技巧，也不用对目标程序进行深入的分析，同时漏洞误报率低。

但是由于未知协议的通讯实体的封闭性，难以加载监控程序，也就无法利用动态分析等方法对通讯实体进行分析，来研究未知协议的安全性，所以模糊测试作为一种泛用性强的方法，比较适合用于对未知协议的安全性进行研究。

公开号CN109462590B公开了一种基于模糊测试的未知协议逆向分析技术方法，该方法依赖模糊测试的测试对象给出的反馈来构建协议格式的方法，存在未知协议测试对象无反馈带来的问题。

公开号CN 104168288A公开了一种基于协议逆向解析的自动化漏洞挖掘技术，该专利需人工引入先验知识对报文完成聚类。

发明内容

技术目的：针对上述技术问题，本发明提出一种高效且有效的模糊测试方法在没有先验知识与不依赖对程序进行逆向分析的情况下，完成对未知协议的模糊测试，来挖掘一些可能存在的漏洞。由于协议设计上难免出现缺陷，或许存在着一些高危的漏洞危害整个网络系统的安全。因此挖掘协议的安全漏洞，及时改进协议设计是十分必要的。模糊测试作为一种常用的漏洞挖掘手段，对于提高协议安全性，有着很大的帮助。

本发明在传统的未知二进制协议模糊测试框架之上，设计出一种对未知协议进行协议逆向字段划分作为生成测试用例的基础，且能够高效有效生成测试用例，完成未知协议模糊测试的方法。使得其能够克服传统模糊测试方法测试用例生成工作量大且失效率高的问题，同时通过模糊测试方法对未知协议的安全性进行研究。

为了实现上述技术目的，本发明采用如下技术手段：

一种基于逆向技术的未知协议模糊测试自动化方法，包括以下步骤：

S1、提取报文载荷头并计算字节位置信息熵，过滤掉熵值超出区间的字节位置，提取关键字段来进行降维处理，然后对协议报文进行层次聚类并去除重复的报文；

S2、将聚类预处理好的报文进行协议格式推断，多阶段渐进式生成协议报文格式；

S3、自动化生成测试脚本，基于boofuzz框架进行模糊测试。

步骤S1具体包括以下步骤：

S11、读入报文数据，将报文按照一字节的长度进行序列化切分，并在切分的字节后增加位置信息；