(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110336827A(43)申请公布日2019.10.15(21)申请号201910633252.0(22)申请日2019.07.15(71)申请人北京工业大学地址100124北京市朝阳区平乐园100号(72)发明人赖英旭冯文倩刘静高慧娟王志东(74)专利代理机构北京思海天达知识产权代理有限公司11203代理人沈波(51)Int.Cl.H04L29/06(2006.01)G06K9/62(2006.01)权利要求书2页说明书6页附图1页(54)发明名称一种基于异常字段定位的ModbusTCP协议模糊测试方法(57)摘要本发明公开了一种基于异常字段定位的ModbusTCP协议模糊测试方法，用例生成模块依据国家信息安全漏洞共享平台(CNVD)公布的已知漏洞特征，构造畸形数据集对协议中不同字段进行变异，生成测试用例。异常监测模块用于判断被测设备运行是否正常。字段定位模块对触发被测设备漏洞的异常测试用例，采用粗糙集中基于可辨识矩阵的属性约简算法，定位触发漏洞的关键字段。最后将触发漏洞的关键字段通过变异概率函数反馈给测试用例生成阶段，动态指导后续测试用例的生成。该方法能够避免模糊测试的盲目性，提高测试效率。CN110336827ACN110336827A权利要求书1/2页1.一种基于异常字段定位的ModbusTCP协议模糊测试方法，实现本方法的测试结构包含三个模块：用例生成模块、异常监测模块和字段定位模块；用例生成模块与异常监测模块相交互，异常监测模块和字段定位模块相交互；用例生成模块，通过研究国家信息安全漏洞共享平台CNVD公布的已知漏洞信息,根据漏洞产生的原因和重现的方法对漏洞进行整理,总结出一个针对不同字段类型的畸形数据集；这些畸形数据集中的数据以一定的概率作用于正常协议报文的每个字段，构成模糊测试的测试用例，这样生成的测试用例集直接从漏洞库得来，具有更高的有效性；异常监测模块，对被测对象进行模糊测试的过程中，需要实时监控被测对象的状态，如果被测对象发生异常，则对异常情况进行实时捕获，记录被测对象出现的错误问题；由于工控系统内部无法本地部署监控程序，只能通过远程监控的方法监测被测对象的运行状态是否正常，而远程监控的方法无法获得被测对象程序的详细数据信息，因此，需要充分利用工控网络协议的协议特征，依据响应报文中携带的数据信息判断被测对象的状态；通过两种方法监测被测对象的异常情况：第一是发送心跳包；第二是对比接收报文与发送报文的协议特征，由此判断是否符合Modbus协议规约；字段定位模块，对于触发被测设备漏洞的异常测试用例，采用粗糙集中基于可辨识矩阵的属性约简算法，对异常测试用例的具体协议字段进行定位，即确定协议中具体哪一个或哪几个字段导致被测设备的漏洞；对协议字段进行属性约简前，首先需要构造决策表；决策表的论域由人工随机报文和相似流量聚类报文组成；人工随机报文是依次随机改变每个协议特征值得到的随机序列；对于有N个字段的协议，共生成个随机序列报文发送给被测设备，表示随机选择x个字段进行变异的报文数量，同时记录被测设备的响应数据是否正常；相似流量聚类报文是由Wireshark捕获的正常网络流量报文进行聚类，利用Smith-Waterman动态规划算法选取出与漏洞用例最相似的聚类的所有报文，这些报文都是与漏洞用例相似度非常大但又没有触发漏洞的报文；由于工控协议的协议特征值之间具有依赖关系，所以选择粗糙集理论中的基于分辨矩阵的属性约简算法，利用协议特征之间存在的依赖关系，对协议字段进行属性约简，定位触发漏洞的具体字段；ModbusTCP协议中，一个测试用例由6个协议特征值组成，包括TransactionID，ProtocolID，Length，UnitID，Fuction和Data，理解为一条数据信息由6个属性描述，并且该条数据信息确定了一个结果属性，该结果属性是被测对象的正常或异常情况；需要确定该数据信息中哪一个或几个特定的属性值是导致该结果属性的关键属性值；其特征在于，包括以下步骤：S1，基于工控权威漏洞库构造畸形数据，生成测试用例；S2，发送测试用例，检测是否触发被测设备漏洞；S3，对触发漏洞的异常测试用例，定位其触发漏洞的关键字段；S4，将触发漏洞的关键字段反馈给测试用例生成阶段，指导后续测试用例生成。2.根据权利要求1所述的一种基于异常字段定位的ModbusTCP协议模糊测试方法，其特征在于，步骤S3中，通过以下方法定位触发漏洞的关键字段：依据异常测试用例构造字段属性决策表，使用粗糙集中基于可辨识矩阵的属性约简方法，定位触发漏洞的关键字段。2CN110336827A权利要求书2/2页3.根据权利要求2所述的一种基于异常字段定位的ModbusTCP协议模糊