CN113934621B 面向工控系统监控软件的协议实现模块的模糊测试方法 （中国科学院信息工程研究所）

面向工控系统监控软件的协议实现模块的报文中的动态字段；调整种子报文中的动态字行调整的步骤，有效提升了变异报文的形成效2获取监控软件和设备通信的网络数据包集合，对私有协议进种子报文种字段值不同的字段集合，包括：SequenceNumber字段、SessionID字段以及根据测试协议将种子报文中的动态字段实例化，并保留固定字段，构建基于代理的自动化通信报文输入机制，自动化将软件，包括：构建GUIProxy，用于提供对监控软件的GUI操作的自动化控制；构建模糊测试控制器初始化时，向GUIProxy发送启动监控软件的命令，GUIPr根据所述变异报文运行被测程序，根据Windows系统的EventLog服务监测被测程序状所述得出测试结果的步骤包括：确定所述被测程序运行异常，则将根据2.一种面向工控系统监控软件的协议实现模块的被动式模糊测试系统，其特征在于，3所述被动式模糊测试系统用于：获取监控软件和设备通信的网络数报文的差异字段确定的、在多个种子报文种字段值不同的字段集合，包括：Sequence所述被动式模糊测试系统用于：利用获取到的网络通信报文，评估每条被测程序处理通信报文执行的程序基本块的数量三包括测试模块，用于构建基于代理的自动化通信报TrafficProxy发起请求；控制器周期性请求TrafficProxy当前是否有来自监控软件的请3.一种电子设备，包括存储器、处理器及系统监控软件的协议实现模块的模糊测试方程序被处理器执行时实现如权利要求1所述面向工控系统监控软件的协议实现模块的模糊4[0003]模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件[0005]本发明提供一种面向工控系统监控软件的协议实现模块的模糊测试方法、系统、[0009]根据本发明提供的一种面向工控系统监控软件的协议实[0010]根据本发明提供的一种面向工控系统监控软件的协议实[0011]根据本发明提供的一种面向工控系统监控软件的协议实5[0014]根据本发明提供的一种面向工控系统监控软件的协议实[0016]根据本发明提供的一种面向工控系统监控软件的协议实[0018]根据本发明提供的一种面向工控系统监控软件的协议实述动态字段对应的字段值是可配置的设备运行参所述测试结果包含所述变异报文与被测程序状态的对应机程序被处理器执行时实现如上述任一种所述面向工控系统监控软件的协议实现模块的6[0035]如图1所示，本发明实施例提供一种面向工控系统监控软件的协议实现模块的模述动态字段对应的字段值是可配置的设备运行参述测试结果包含所述变异报文与被测程序状态的对应7[0051]测试系统运行GUI(图形用户界面)代理，控制所述被测软件(如监控软件)触发所[0067]这一获取思路能够解决传统漏洞挖掘工具不支持被动式通信的监控软件的问题[0070]通过分析比较重复操作产生的通信数据包，得到其中的需要动态调整的字段信89[0106]调整种子报文中动态字段的步骤需要根据所述私有协议的格式信息和通信规则工业控制系统的各种网络攻击事件日益增多，暴露出工业控制系统中存在大量的安全漏[0112]由于工业控制系统中的监控软件主动与设备通信，被动接收来自设备的响应数[0113]本实施例针对工业控制系统中的监控软件提出一种被动式模糊测试的漏洞挖掘通信的监控软件在测试过程中的GUI操作流程自动化管理难，自动化向监控软件输入畸形信数据包，得到其中的需要动态调整的字段信息，重点关注SequenceNumber字段和[0124]a)提取协议字段格式信息，包括：字段类型和字段内容。字段类型包括Number,行为，接受来自Fuzzing主程序的控制命令，调用步骤2所准备的自动化操作程序；通过TrafficProxy控制监控软件接收的响应报文，以实现在接收特定报文时提供变异的畸形的命令包括但不限于Status,Forward,Modify,Close，其中Status表示检查监控软件和TrafficProxy的连接状态以及其中缓存的通信报文，Forward表示直接利用通信模板产生反馈报文，Modify表示利用提供的变异报文输入给监控软件，Close表示关闭监控软件和现漏洞是否被触发。其中GUIProxy会主动请求Windows系统的EventLog服务来检查Application的状态，如果发现在EventLog记录的日志上发现了目标监控软件的[0142]本实施例用以解决传统漏洞挖掘工具不支持被动式通信的监控软件在测试过程洞挖掘工具不支持被动式通信的监控软件在测试过程中的GUI操作流程自动化管理难，自未知带来的漏洞挖掘效率低下的问题，本实施例提出一种被动式模糊测试的漏洞挖掘方[0145]本实施例主要是通过预处理阶段获取监控软件和PLC设备通信的网络数据包以及触发这些通信行为的GUI操作，然后基于这些捕获的通信数据包构建通信模板并准备好自率的机制定义了每条报文作为种子报文变异的优先级权重，并依此在Fuzzing时动态选择[0148]b)利用步骤a)中记录的每一个操作过程，基于AutoIT框架编写自动化触发GUI操我们能提供正确的响应或者变异对应的响应报文。具体的，我们先对通信包中的每个(请da0000ff6a020c000100ea0200100202bc5f7d2e04eda[0161]其中N表示一个GUI操作产生的去重的报文的个数，depthi表示第i个报文交互的化通信报文输入机制，具体的，设计GUIProxy用来提供对监控软件的GUI操作的自动化控个自动化输入数据操作的序列如图3所示，Fuzzing主程序是Controller，它初始化向GUIProxy发送一个启动监控软件的命令，然后GUIProxy则运行监控软件。接着，Controller向GUIProxy发送控制GUI操作触发网络通信行为的命令，此时GUIProxy则调用之前步骤b)准备好的GUI操作小程序，会触发监控软件向TrafficProxy发起请求。同时，据具体情况提供变异的报文，由TrafficProxy将该报文响应给监控软件完成畸形数据的挖掘工具不支持被动式通信的监控软件在测试过程中的GUI操作流程自动化管理难，自动[0168]本实施例能够有效发现工业控制系统监控软件的协议实现模块中的安全缺陷的述动态字段对应的字段值是可配置的设备运行参所述测试结果包含所述变异报文与被测程序状态的对应[0176]此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者