(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111506440.0 (22)申请日 2021.12.10 (71)申请人 中国电子科技 集团公司第十五研究 所 地址 100083 北京市海淀区北四环中路21 1 号 申请人 中电科网络空间安全研究院有限公 司　 中国电子科技 集团公司第三十 研究 所 (72)发明人 张先国　杨天长　任传伦　徐军化　 尹誉衡　唐然　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 代理人 李学康(51)Int.Cl. H04L 9/40(2022.01) H04L 43/18(2022.01) G06V 10/762(2022.01) (54)发明名称 一种基于模糊测试的网络协议自动化分析 漏洞挖掘装置 (57)摘要 本发明公开了一种基于模糊测试的网络协 议自动化分析漏洞 挖掘装置， 将网络数据流输入 本装置后， 本装置通过对网络数据流进行分析， 生成包含网络协议格式的规则树， 以规则树为导 向对测试目标进行模糊测试， 将模糊测试结果反 馈到规则树中， 实现对测试目标的协议格式遍 历， 从而对 未知协议格式的网络协议实现漏洞 挖 掘。 本发明实现了对未知协议格式的自动化分 析， 引导模糊测试的执行路径， 不需要依赖目标 程序， 操作简便， 通用性强。 本发明以规则树为导 向对测试目标进行模糊测试， 将模糊测试结果反 馈到规则树中， 实现对测试目标的协议格式遍 历， 能够方便地对未知 协议格式的网络协议实现 漏洞挖掘， 满足了网络安全工作者对网络协议安 全分析的需求。 权利要求书2页 说明书5页 附图1页 CN 114189382 A 2022.03.15 CN 114189382 A 1.一种基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在于， 将网络数据 流输入本装置后， 本装置通过对网络数据流进行分析， 生 成包含网络协 议格式的规则树， 以 规则树为导向对测试目标进行模糊测试， 将模糊测试结果反馈到规则树中， 实现对测试目 标的协议格式遍历， 从而对未知协议格式的网络协议实现漏洞挖掘。 2.如权利要求1所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 本装置包括数据包捕获模块、 背景流量过滤模块、 流量特征提取模块、 规则树构造模 块、 模糊测试畸形数据生成模块、 流量识别模块和底层发包模块， 上述七个模块依 次连接； 模糊测试畸形 数据生成模块与底层发包 模块相连接； 所述的数据包捕获模块， 其使用两种方式来捕获数据包， 一种方式是调用libpcap库 函 数对互联网流量数据进行截包， 把截包得到的每个数据包中的五元组信息保存下来， 作为 原始输入数据输入至背景流量过滤模块， 另一种方式是使用wireshark 自带的数据包截获 保存工具， 直接对流经网卡的互联网流量数据进 行截包， 将截包得到的数据， 保存成各种类 型的数据包文件； 所述的背景流量过滤模块， 用于对截获到的数据包进行过滤处理， 将不需要的干扰网 络流量去除； 背景流量过滤模块首先获得网络流量和进程之间的对应关系， 将网络数据包 中对应的五元组信息与对应关系进行对比， 保存目标进程中的五元组信息； 最后根据保存 的五元组信息对 截获到的数据包进行 过滤和包重组， 形成分析报文； 所述的流量特征提取模块， 用于对两种流量特征进行提取， 根据截获到的数据包的次 序来对相 应的分析报文进行分层， 把同一层的分析报文进行特征提取； 两种流量特征包括 长度特征和包内byte_jump特征， 流量特征提取模块检查每一层的具有同一五元组信息的 分析报文长度是否相同， 如果相同则认为该分析报文的长度为长度特征； 所述的包内byte_ jump特征， 指数据包内长度特 征的跳转； 所述的规则树构造模块， 采用有限状态自动机来实现， 其采用聚类算法将网络流量进 行分类， 对属于同一类的分析报文进行特征提取， 按照分析报文的类别的粒度聚类划分报 文层次， 在 对一层分析报文进 行聚类划分完 毕后， 聚类划分下一层分析报文时， 在上一层聚 类划分的结果上进 行再分配， 对一类分析报文所提取的特征， 作为一个节点， 利用所有类分 析报文所提取的特 征构成一颗规则树； 所述的模糊测试畸形数据生成模块， 首先生成符合互联网通信协议的数据包， 生成该 符合互联网通信协议的数据包后， 在互联网通信协议没有规定的部分生成 畸形数据， 再利 用生成的畸形数据对数据包进行填充， 最后将填充后的数据包提交给底层发包模块， 用于 进行模糊测试的交互； 畸形数据包括： 超长字符串， 整数溢出字符和 格式化字符串； 超长字 符串用于检测字符串溢出； 由畸形数据构成的模糊测试样本构成规则树的节点的模糊测试 数据池； 所述的流量识别模块， 使用模式识别算法来进行底层发包模块提交 的数据包中的字符 串的模式匹配， 根据模式匹配结果确定规则树中与模式匹配结果相一致的节点， 检查规则 树的本节点的模糊测试数据池是否为空； 如果为空， 选择规则树的下一个节点的特征发送 给模糊测试畸形数据生成模块， 来生成畸形数据； 如果不为空， 再把该节点对应的特征发送 给模糊测试畸形 数据生成模块， 并生成下一 步要发送的畸形 数据；权　利　要　求　书 1/2 页 2 CN 114189382 A 2所述的底层发包模块用于实现网络客户端和服务端的数据发送和接收功能， 将接收到 目标主机发过来的分析报文提供给流量识别模块， 由流量识别模块确定规则树中该分析报 文相应节点的位置， 底层发包模块接收模糊测试畸形数据生成模块生成的畸形数据并发送 给目标主机， 底层发包 模块进行模糊测试。 3.如权利要求2所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 底层发包模块的工作具体流程包括： 判断要发送给目标主机的数据包类型； 初始化客 户端和服务端信息； 发送模糊测试畸形数据生成模块提交的数据给目标主机； 接 收对端服 务器返回的消息， 并将该消息提交给流 量识别模块。 4.如权利要求2所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 所述的特征提取， 是一种提取两个字符串的最大公共子串的算法， 可用于计算两个字 符串的相似度。 5.如权利要求2所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 所述的规则树构造模块根据协议、 端口、 分析报文的相似度来进行分析报文的分类， 其 具体步骤 包括： 根据TCP/UDP协议对分析报文进行分组， 将 分析报文划分为用于命令字传输的TCP报文 组和用于语音视频传输的UD P报文组； 根据端口对分析报文 进行分组， 从而区分不同功能的分析报文； 根据无监督聚类算法对分析报文进行分组， 使用字符串距离作为衡量标准， 设定阈值 来进行分析报文进行分组， 由所有分析报文组成一个报文矩阵， 报文矩阵的每一列代表的 是一条链接， 报文矩阵的行代表了同一层的分析报文； 对第一层分析报文进行聚类划分， 划 分完毕后再对第二层分析报文开始划分， 第二层的划分会继承上一层分析报文的划分结 果， 在上一层划分的结果之上继续划分， 依 次类推， 在所有层的分析报文进行聚类划分后， 利用所有类分析报文所提取的特 征形成一颗规则树。 6.如权利要求5所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 所述的无监督聚类算法， 其采用 密度聚类算法来实现， 以数据集的空间分布上的稠密 程度为依据对数据集进 行分类， 无需预先设定簇的数量； 密度聚类算法的步骤是， 只要数据 集空间的一个区域中的点的密度大于某个阈值， 就 把该区域加到与之相近的聚类中去。 7.如权利要求2所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 所述的五元组信息包括源IP、 目的IP、 源端口、 目的端口、 TCP/UD P的信息。 8.如权利要求1所述的基于模糊测试的网络协议自动化分析漏洞挖掘装置， 其特征在 于， 所述的模糊测试， 是一种向测试目标发送若干个经过构造的测试用例， 引起测试目标 崩溃而发现测试目标漏洞的漏洞挖掘方法。权　利　要　求　书 2/2 页 3 CN 114189382 A 3