【技术实现步骤摘要】
一种基于模糊测试的网络协议自动化分析漏洞挖掘装置
[0001]本专利技术涉及网络安全
,尤其涉及一种基于模糊测试的网络协议自动化分析漏洞挖掘装置。
技术介绍
[0002]随着互联网的兴起,网络安全已经成为热议话题,作为安全工作者,应当及时查找漏洞、发布补丁,保卫网络空间安全。传统的手动分析协议方法存在如下问题:手动分析协议和手动写测试路径效率低下、测试路径不全、畸形数据交互无效、无法深入测试漏洞。网络协议自动化分析漏洞挖掘工具的出现,弥补了传统手动分析方法的不足,实现了模式化的协议处理与分析,能高效快捷地解析与处理网络协议格式,为模糊测试漏洞挖掘打下坚实基础,满足了安全工作者对网络协议安全分析的需求。
[0003]在网络协议漏洞挖掘领域中,对网络协议格式的自动化分析一直是一个重要的研究点,但其通常聚焦于在模糊测试执行之前对网络协议格式进行分析,这种方法通常以数据流为输入,按照TCP/IP协议簇格式划分数据报文并提取传输数据内容。专利技术(CN103209173B)需要通过劫持目标系统调用、对特征数据动态变异、检...
【技术保护点】
【技术特征摘要】
1.一种基于模糊测试的网络协议自动化分析漏洞挖掘装置,其特征在于,将网络数据流输入本装置后,本装置通过对网络数据流进行分析,生成包含网络协议格式的规则树,以规则树为导向对测试目标进行模糊测试,将模糊测试结果反馈到规则树中,实现对测试目标的协议格式遍历,从而对未知协议格式的网络协议实现漏洞挖掘。2.如权利要求1所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置,其特征在于,本装置包括数据包捕获模块、背景流量过滤模块、流量特征提取模块、规则树构造模块、模糊测试畸形数据生成模块、流量识别模块和底层发包模块,上述七个模块依次连接;模糊测试畸形数据生成模块与底层发包模块相连接;所述的数据包捕获模块,其使用两种方式来捕获数据包,一种方式是调用libpcap库函数对互联网流量数据进行截包,把截包得到的每个数据包中的五元组信息保存下来,作为原始输入数据输入至背景流量过滤模块,另一种方式是使用wireshark自带的数据包截获保存工具,直接对流经网卡的互联网流量数据进行截包,将截包得到的数据,保存成各种类型的数据包文件;所述的背景流量过滤模块,用于对截获到的数据包进行过滤处理,将不需要的干扰网络流量去除;背景流量过滤模块首先获得网络流量和进程之间的对应关系,将网络数据包中对应的五元组信息与对应关系进行对比,保存目标进程中的五元组信息;最后根据保存的五元组信息对截获到的数据包进行过滤和包重组,形成分析报文;所述的流量特征提取模块,用于对两种流量特征进行提取,根据截获到的数据包的次序来对相应的分析报文进行分层,把同一层的分析报文进行特征提取;两种流量特征包括长度特征和包内byte_jump特征,流量特征提取模块检查每一层的具有同一五元组信息的分析报文长度是否相同,如果相同则认为该分析报文的长度为长度特征;所述的包内byte_jump特征,指数据包内长度特征的跳转;所述的规则树构造模块,采用有限状态自动机来实现,其采用聚类算法将网络流量进行分类,对属于同一类的分析报文进行特征提取,按照分析报文的类别的粒度聚类划分报文层次,在对一层分析报文进行聚类划分完毕后,聚类划分下一层分析报文时,在上一层聚类划分的结果上进行再分配,对一类分析报文所提取的特征,作为一个节点,利用所有类分析报文所提取的特征构成一颗规则树;所述的模糊测试畸形数据生成模块,首先生成符合互联网通信协议的数据包,生成该符合互联网通信协议的数据包后,在互联网通信协议没有规定的部分生成畸形数据,再利用生成的畸形数据对数据包进行填充,最后将填充后的数据包提交给底层发包模块,用于进行模糊测试的交互;畸形数据包括:超长字符串,整数溢出字符和格式化字符串;超长字符串用于检测字符串溢出;由畸形数据构成的模糊测试样本构成规则树的节点的模糊测试数据池;所述的流量识别模块,使用模式识别算法来进行底层发包模块提交的数据包中的字符串的模式匹配,根据模式匹配结果确定规则树中与模...
【专利技术属性】
技术研发人员:张先国,杨天长,任传伦,徐军化,尹誉衡,唐然,
申请(专利权)人:中电科网络空间安全研究院有限公司中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。