本發明公開了一種基于模糊測試的網絡協議自動化分析漏洞挖掘裝置，將網絡數據流輸入本裝置后，本裝置通過對網絡數據流進行分析，生成包含網絡協議格式的規則樹，以規則樹為導向對測試目標進行模糊測試，將模糊測試結果反饋到規則樹中，實現對測試目標的協議格式遍歷，從而對未知協議格式的網絡協議實現漏洞挖掘。本發明實現了對未知協議格式的自動化分析，引導模糊測試的執行路徑，不需要依賴目標程序，操作簡便，通用性強。本發明以規則樹為導向對測試目標進行模糊測試，將模糊測試結果反饋到規則樹中，實現對測試目標的協議格式遍歷，能夠方便地對未知協議格式的網絡協議實現漏洞挖掘，滿足了網絡安全工作者對網絡協議安全分析的需求。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于模糊測試的網絡協議自動化分析漏洞挖掘裝置。

背景技術

隨著互聯網的興起，網絡安全已經成為熱議話題，作為安全工作者，應當及時查找漏洞、發布補丁，保衛網絡空間安全。傳統的手動分析協議方法存在如下問題：手動分析協議和手動寫測試路徑效率低下、測試路徑不全、畸形數據交互無效、無法深入測試漏洞。網絡協議自動化分析漏洞挖掘工具的出現，彌補了傳統手動分析方法的不足，實現了模式化的協議處理與分析，能高效快捷地解析與處理網絡協議格式，為模糊測試漏洞挖掘打下堅實基礎，滿足了安全工作者對網絡協議安全分析的需求。

在網絡協議漏洞挖掘領域中，對網絡協議格式的自動化分析一直是一個重要的研究點，但其通常聚焦于在模糊測試執行之前對網絡協議格式進行分析，這種方法通常以數據流為輸入，按照TCP/IP協議簇格式劃分數據報文并提取傳輸數據內容。發明(CN103209173B)需要通過劫持目標系統調用、對特征數據動態變異、檢測目標運行狀態來判斷目標程序是否有安全漏洞，需要對目標取得一定的控制權，實現難度較大。論文《網絡協議的自動化模糊測試漏洞挖掘方法》采用了基于遺傳算法的迭代比對算法來獲取網絡協議格式的方法，該方法能夠達到較高的準確度，但在實現上開銷較大，對使用人員有較高的要求，同時對輸入數據也有較為苛刻的條件，不普遍適用于常用網絡協議。

發明內容

針對現有的網絡協議漏洞挖掘領域中對網絡協議格式的自動化分析方法所存在的實現難度大、開銷較大的問題，本發明公開了一種基于模糊測試的網絡協議自動化分析漏洞挖掘裝置，將網絡數據流輸入本裝置后，本裝置通過對網絡數據流進行分析，生成包含網絡協議格式的規則樹，以規則樹為導向對測試目標進行模糊測試，將模糊測試結果反饋到規則樹中，實現對測試目標的協議格式遍歷，從而對未知協議格式的網絡協議實現漏洞挖掘。

本裝置包括數據包捕獲模塊、背景流量過濾模塊、流量特征提取模塊、規則樹構造模塊、模糊測試畸形數據生成模塊、流量識別模塊和底層發包模塊，上述七個模塊依次連接；模糊測試畸形數據生成模塊與底層發包模塊相連接。

所述的數據包捕獲模塊，其使用兩種方式來捕獲數據包，一種方式是調用libpcap庫函數對互聯網流量數據進行截包，把截包得到的每個數據包中的五元組信息保存下來，作為原始輸入數據輸入至背景流量過濾模塊，另一種方式是使用wireshark自帶的數據包截獲保存工具，直接對流經網卡的互聯網流量數據進行截包，將截包得到的數據，保存成各種類型的數據包文件。

所述的五元組信息包括源IP、目的IP、源端口、目的端口、TCP/UDP的信息。

所述的背景流量過濾模塊，用于對截獲到的數據包進行過濾處理，將不需要的干擾網絡流量去除；背景流量過濾模塊首先獲得網絡流量和進程之間的對應關系，將網絡數據包中對應的五元組信息與對應關系進行對比，保存目標進程中的五元組信息。最后根據保存的五元組信息對截獲到的數據包進行過濾和包重組，形成分析報文。