本发明专利技术公开了一种协议漏洞的测试方法、装置及存储介质,用以解决现有技术中存在的测出协议的漏洞速度慢、不够准确的技术问题,该测试方法包括:创建与待测设备进行会话的进程;在会话的过程中,进程根据有限状态机和待测设备的反馈信息,控制与待测设备进行交互的交互逻辑,并生成相应的交互报文发送给待检测设备进行漏洞测试;其中,有限状态机是通过抓取的历史会话中的交互历史进行学习得到的;对会话对应的应用在待检测设备中的运行状态进行监控,当应用的运行状态为中断时,确定待检测设备存在漏洞。备存在漏洞。备存在漏洞。
【技术实现步骤摘要】
一种协议漏洞的测试方法、装置及存储介质
[0001]本专利技术涉及数据通信领域,尤其是涉及一种协议漏洞的测试方法、装置及存储介质。
技术介绍
[0002]在通信网络中,从应用端互联网到硬件端设备,存在着大量的网络服务和对应协议,网络服务及其协议的健壮性、安全性至关重要。
[0003]例如,在现实网络中普遍存在差错和攻击流量,同时协议栈通常存在协议的软件编码漏洞和设计漏洞,这使得使用协议栈的设备中会出现相应的设备漏洞,如:缓冲区溢出、字符串溢出、格式化字符串、指针覆盖漏洞等,进而造成设备在进行网络通信时,协议栈进程对网络流量进行处理的过程中出现的一个漏洞或缺陷,都将导致进程崩溃与网络流量转发中断等严重后果。
[0004]通常,协议漏洞的测试和发掘工作,可以采用人工协议模糊测试或随机数据模糊测试进行。
[0005]采用人工协议模糊测试是在人工理解协议后,手工针对各个状态对应构造报文攻击协议栈,以查找漏洞。其优点在于可以基于协议状态进入各个状态,对每个状态发送随机数据,精确度高,如果人员知识技能储备充分,可较为准确地展开测试;其缺点是对人员技能依赖性强,前期的协议状态获取需要借助人工阅读协议,协议种类众多,不易快速展开,成本高,产出低,难以大规模实施。
[0006]采用随机数据模糊测试是完全抛开协议,报文完全随机生成,仅根据端口对协议栈进行砸包,以查找漏洞。其优点是随机生成和发送数据,对人员依赖性低;其缺点是效率低,由于报文完全随机生成,协议不可变字段也被篡改,同时,由于未按协议状态机发送,大部分报文被协议状态处理层丢弃,深层次协议状态无法进入,大部分漏洞无法触发。
[0007]鉴于此,如何快速、准确的测试出协议中的漏洞,成为一个亟待解决的技术问题。
技术实现思路
[0008]本专利技术提供一种协议漏洞的测试方法、装置及存储介质,用以解决现有技术中存在的测出协议的漏洞速度慢、不够准确的技术问题。
[0009]第一方面,为解决上述技术问题,本专利技术实施例提供的一种协议漏洞的测试方法的技术方案如下:
[0010]创建与待测设备进行会话的进程;
[0011]在所述会话的过程中,所述进程根据有限状态机和所述待测设备的反馈信息,控制与所述待测设备进行交互的交互逻辑,并生成相应的交互报文发送给所述待检测设备进行漏洞测试;其中,所述有限状态机是通过抓取的历史会话中的交互历史进行学习得到的;
[0012]对所述会话对应的应用在所述待检测设备中的运行状态进行监控,当所述应用的运行状态为中断时,确定所述待检测设备存在漏洞。
[0013]一种可能的实施方式,所述进程根据所述有限状态机和所述待测设备的反馈信息,控制与所述待测设备进行交互的交互逻辑之前,还包括:
[0014]抓取与所述待检测设备进行通信的多个历史报文;
[0015]从所述多个历史报文中获取每个历史会话包括的历史报文,获得根据所述历史会话报文确定所述每个历史会话的交互历史;
[0016]对属于同一应用协议的所有历史会话对应的交互历史进行学习,获得所述有限状态机。
[0017]一种可能的实施方式,对属于同一应用协议的所有历史会话对应的交互历史进行学习,获得所述有限状态机,包括:
[0018]根据每个历史会话对应的交互历史,构建出每个历史会话的交互轨迹;
[0019]从所有交互轨迹中确定出相似度大于等于设定阈值的相似轨迹集,以及相似度小于设定阈值的非相似轨迹集;
[0020]对所述相似轨迹集中每个交互点对应的历史报文的内容进行学习,获得每个交互点的数据交互格式;
[0021]对所述非相似轨迹集中的所有交互轨迹中相同的交互点进行合并,获得所述交互逻辑;
[0022]将所述每个交互点的数据交互格式和所述交互逻辑,构建成所述有限状态机。
[0023]一种可能的实施方式,根据每个历史会话对应的交互历史,构建出每个历史会话的交互轨迹,包括:
[0024]将所述交互历史中每个历史会话报文抽象为一个交互点;
[0025]按所述历史会话报文的交互时间的先后顺序进行串联,获得所述每个历史会话的交互轨迹。
[0026]一种可能的实施方式,对所述相似轨迹集中每个交互点对应的历史报文的内容进行学习,获得每个交互点的数据交互格式,包括:
[0027]对每个交互点对应的历史会话报文的字段进行分析,确定所述历史会话报文的基本组成部分;其中,所述基本组成部分包括通用消息部分和数据承载部分;
[0028]将所有历史会话报文中消息长度不变的位置对应的字段,确定为放置所述通用消息部分所在的第一字段,将所述第一字段中出现过的所有不同历史取值确定为所述通用消息部分的有效取值集;
[0029]将所述历史会话报文中消息长度变化的位置对应的字段,确定为放置所述数据承载部分的第二字段;
[0030]根据所述第二字段中数据长度的历史变化情况,确定所述数据承载部分的数据长度的取值范围;
[0031]将所述第一字段和所述有效取值集确定为所述数据交互格式中不变部分的数据格式;将所述第二字段和所述取值范围确定为所述数据交互格式中可变部分的数据格式。
[0032]一种可能的实施方式,生成相应的交互报文发送给所述待检测设备,包括:
[0033]对所述会话对应的交互数据中的所述可变部分进行模糊数据填充,获得所述交互报文;
[0034]将所述交互报文发送给所述待检测设备。
[0035]一种可能的实施方式,对所述会话对应的应用在所述待检测设备中的运行状态进行监控,包括:
[0036]对所述进程进行保活监控;
[0037]或,对所述待检测设备的协议栈进行监控。
[0038]第二方面,本专利技术实施例提供了一种协议漏洞的测试装置,包括:
[0039]创建单元,用于创建与待测设备进行会话的进程;
[0040]交互单元,用于在所述会话的过程中,所述进程根据有限状态机和所述待测设备的反馈信息,控制与所述待测设备进行交互的交互逻辑,并生成相应的交互报文发送给所述待检测设备进行漏洞测试;其中,所述有限状态机是通过抓取的历史会话中的交互历史进行学习得到的;
[0041]监控单元,用于对所述会话对应的应用在所述待检测设备中的运行状态进行监控,当所述应用的运行状态为中断时,确定所述待检测设备存在漏洞。
[0042]一种可能的实施方式,所述测试装置还包括训练单元,所述训练单元用于:
[0043]抓取与所述待检测设备进行通信的多个历史报文;
[0044]从所述多个历史报文中获取每个历史会话包括的历史会话报文,根据所述历史会话报文确定所述每个历史会话的交互历史;
[0045]对属于同一应用协议的所有历史会话对应的交互历史进行学习,获得所述有限状态机。
[0046]一种可能的实施方式,所述训练单元还用于:
[0047]根据每个历史会话对应的交互历史,构建出每个历史会话本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种协议漏洞的测试方法,其特征在于,包括:创建与待测设备进行会话的进程;在所述会话的过程中,所述进程根据有限状态机和所述待测设备的反馈信息,控制与所述待测设备进行交互的交互逻辑,并生成相应的交互报文发送给所述待检测设备进行漏洞测试;其中,所述有限状态机是通过抓取的历史会话中的交互历史进行学习得到的;对所述会话对应的应用在所述待检测设备中的运行状态进行监控,当所述应用的运行状态为中断时,确定所述待检测设备存在漏洞。2.如权利要求1所述的测试方法,其特征在于,所述进程根据所述有限状态机和所述待测设备的反馈信息,控制与所述待测设备进行交互的交互逻辑之前,还包括:抓取与所述待检测设备进行通信的多个历史报文;从所述多个历史报文中获取每个历史会话包括的历史会话报文,根据所述历史会话报文确定所述每个历史会话的交互历史;对属于同一应用协议的所有历史会话对应的交互历史进行学习,获得所述有限状态机。3.如权利要求2所述的测试方法,其特征在于,对属于同一应用协议的所有历史会话对应的交互历史进行学习,获得所述有限状态机,包括:根据每个历史会话对应的交互历史,构建出每个历史会话的交互轨迹;从所有交互轨迹中确定出相似度大于等于设定阈值的相似轨迹集,以及相似度小于设定阈值的非相似轨迹集;对所述相似轨迹集中每个交互点对应的历史报文的内容进行学习,获得每个交互点的数据交互格式;对所述非相似轨迹集中的所有交互轨迹中相同的交互点进行合并,获得所述交互逻辑;将所述每个交互点的数据交互格式和所述交互逻辑,构建成所述有限状态机。4.如权利要求3所述的测试方法,其特征在于,根据每个历史会话对应的交互历史,构建出每个历史会话的交互轨迹,包括:将所述交互历史中每个历史会话报文抽象为一个交互点;按所述历史会话报文的交互时间的先后顺序进行串联,获得所述每个历史会话的交互轨迹。5.如权利要求3所述的测试方法,其特征在于,对所述相似轨迹集中每个交互点对应的历史报文的内容进行学习,获得每个交互点的数据交互格式,包括:对每个交互点对应的历史会话报文的字段进行分析,确定所述历史会话报文的基本组成部分;其中,所述基本组成部分...
【专利技术属性】
技术研发人员:欧阳靖,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。