技術(shù)領域

本文發(fā)明屬于工業(yè)控制系統(tǒng)的安全技術(shù)領域，具體的說是一種面向Modbus協(xié)議的模糊測方法。

背景技術(shù)

工業(yè)控制系統(tǒng)(IndustryControlSystem，ICS)進入電力行業(yè)較早，發(fā)展時間最長，采用的協(xié)議也最多，主要包括：Modbus、DNP3.0、IEC60870-5-101/104、ICCP(即IEC60870-6或者TASE.2)和IEC61850等；其它行業(yè)的ICS發(fā)展相對滯后，使用情況比較類似，主要包括Modbus、OPC等，所以Modbus協(xié)議是目前國內(nèi)工業(yè)控制系統(tǒng)采用最多的協(xié)議之一，目前Modbus協(xié)議已經(jīng)在石油、電力、能源、冶金等行業(yè)的工業(yè)控制系統(tǒng)或SCADA系統(tǒng)中進行了廣泛應用。

工業(yè)控制系統(tǒng)的系統(tǒng)正面臨新的安全威脅，針對工控系統(tǒng)的傳統(tǒng)簡單攻擊手段已經(jīng)演變?yōu)楦呒壙沙掷m(xù)性威脅(AdvancedPersistentThreat，APT)。APT攻擊范圍廣、針對性強，對能源、軍工、金融、制造等國家重大基礎設施將造成災難性破壞，已經(jīng)關(guān)系到國家的戰(zhàn)略安全。由于目前APT攻擊采用了“0-day”漏洞，所以針對APT攻擊，沒有有效的防御手段，唯一的方式就是在攻擊者掌握“0-day”漏洞之前，發(fā)現(xiàn)“0-day”漏洞，對現(xiàn)場設備漏洞進行補丁升級。

正由于國內(nèi)工業(yè)控制系統(tǒng)中Modbus協(xié)議應用廣，且高級可持續(xù)性威脅的出現(xiàn)，已經(jīng)關(guān)系到國家的戰(zhàn)略安全，目前需要針對Modbus協(xié)議進行有效的模糊測試，發(fā)現(xiàn)現(xiàn)場設備中關(guān)于處理Modbus協(xié)議的缺陷，測試設備中關(guān)于Modbus的“0-day”漏洞，給出詳細出錯信息，有利于設備開發(fā)人員進行修復或補丁升級。

由于工業(yè)現(xiàn)場設備的安全測試與IT系統(tǒng)的安全測試在工業(yè)通信協(xié)議、工業(yè)控制系統(tǒng)漏洞庫、測試反饋結(jié)果要支持嵌入式電子設備的特殊輸出方式等方面存在著不同之處，需要對傳統(tǒng)IT系統(tǒng)的模糊測試在以上三方面進行改進，并且要提出更有效的、符合工業(yè)專有協(xié)議的模糊測試方法。

綜上，為了解決面向Modbus協(xié)議的模糊測試技術(shù)，本文提出了三方面構(gòu)造模糊測試用例，并通過異常變異樹減小冗余測試用例的情況，能智能、高效的發(fā)現(xiàn)現(xiàn)場設備中存在的Modbus協(xié)議處理缺陷。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的是提供一種面向Modbus協(xié)議的模糊測試方法，基于人工分析與異常變異樹技術(shù)，生成模糊測試用例，并設計響應識別模型，發(fā)現(xiàn)工業(yè)控制系統(tǒng)的現(xiàn)場設備對Modbus協(xié)議數(shù)據(jù)的處理缺陷。

本發(fā)明提供了一種面向Modbus協(xié)議的模糊測試方法，包括以下步驟：

1)生成三種測試用例：由異常變異樹生成的模糊測試用例、基于公開漏洞信息生成的測試用例、基于公開漏洞信息的相似特征生成的測試用例；

2)將三種測試用例進行冗余整合處理，最終生成面向Modbus協(xié)議的模糊測試用例；

3)對發(fā)送的模糊測試用例，針對響應信息進行判斷是否存在缺陷。

所述異常變異樹生成的模糊測試用例的生成方法為：

Modbus協(xié)議域分析：將Modbus請求與響應報文劃分為26類模糊測試用例；

專家知識劃分靜態(tài)與動態(tài)協(xié)議域：將Modbus協(xié)議域分析結(jié)果劃分為動態(tài)與靜態(tài)部分，所述靜態(tài)部分不需要組合變異，通過每個類型的模板庫生成固定常亮的測試用例；所述動態(tài)部分需要組合變異，根據(jù)異常變異樹的每個屬性的變異規(guī)定進行每個部分的變異；

協(xié)議域通過異常變異樹生成模糊測試用例：針對每類功能碼確定一個模板報文，靜態(tài)與動態(tài)部分基于模板報文進行模糊測試用例生成。

所述動態(tài)部分協(xié)議域采用異常變異樹方式產(chǎn)生模糊測試用例，其中變異技術(shù)產(chǎn)生模糊測試用例中域變化的情況，基于污點數(shù)據(jù)區(qū)域進行裁剪，大大縮減測試用例規(guī)模；樹形方式對協(xié)議域變化情況與協(xié)議域格式進行管理，組合生成模糊測試用例。

所述基于公開漏洞信息生成的測試用例給出的具體協(xié)議域異常變異特征的描述，生成測試用例，融合到模糊測試用例中，并設置最高優(yōu)先級。

所述公開漏洞構(gòu)造測試用例包括：

通過NVD、CVE、中國國家信息安全漏洞庫的公開內(nèi)容，構(gòu)造Modbus相關(guān)的已知漏洞庫；

構(gòu)造已知漏洞特征碼為核心的一組交互數(shù)據(jù)流.

所述基于公開漏洞信息的相似特征生成的測試用例的生成方法為：

相似特征提取：基于協(xié)議域分析公開漏洞信息引起故障的特征，提取多個公開漏洞具有相似特征的部分；