基于模糊測試工控協(xié)議漏洞挖掘技術研究

劉博洋 劉潮 任藝琳 滿芮 苗晗

摘?要：隨著工業(yè)信息化的快速發(fā)展，工控系統(tǒng)利用最新的計算機網(wǎng)絡技術以提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平，由封閉的系統(tǒng)到開放式系統(tǒng)的轉(zhuǎn)變引發(fā)的網(wǎng)絡安全事件逐年增多，目前已成為工控系統(tǒng)網(wǎng)絡安全中亟待解決的問題。模糊測試（fuzzing）技術可以在保證工控系統(tǒng)實時性和業(yè)務連續(xù)性的同時，使用大量畸形數(shù)據(jù)輸入至目標程序，通過監(jiān)測異常行為達到挖掘工控系統(tǒng)中潛在漏洞的目的。傳統(tǒng)的模糊測試方法通過提取工控協(xié)議特征生成測試用例，并使用新生成的測試用例作為模糊測試的輸入，以提高目標程序。并以測試用例能否引發(fā)協(xié)議實體異常為標志，盡可能全面地挖掘協(xié)議存在的漏洞。模糊測試方法自動化程度高、不需要源代碼的支撐、可重復性強、誤報率低。模糊測試中生成測試用例傳統(tǒng)方法，針對協(xié)議的某個狀態(tài)或者單個功能類型碼發(fā)送測試用例，能發(fā)現(xiàn)對應單個協(xié)議狀態(tài)或者單個功能類型碼的漏洞，但是很多安全漏洞都是由多個協(xié)議狀態(tài)或多個功能類型碼共同作用所觸發(fā)的。所以，已有的模糊測試方法并沒有對被測對象進行全面、完整的漏洞檢測。模糊測試方法不受限于被測系統(tǒng)內(nèi)部細節(jié)和復雜程度，可以在有程序源代碼或沒有源代碼的情況下執(zhí)行，可擴展性和實用性較好，已經(jīng)成為當前最有效的漏洞挖掘方法。

關鍵詞：工控協(xié)議；模糊測試；漏洞挖掘

1?概述

工業(yè)控制系統(tǒng)（Industrial?Control?Systems，ICS）是計算機設備和工業(yè)生產(chǎn)控制部件組成的自動控制系統(tǒng)，主要包括數(shù)據(jù)采集與監(jiān)測控制系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠程終端單元（RTU）以及現(xiàn)場總線控制系統(tǒng)（FCS）等［12］。隨著工業(yè)信息化的快速發(fā)展，工控系統(tǒng)由最早專用封閉的計算機實時監(jiān)控系統(tǒng)發(fā)展到廣泛應用互聯(lián)網(wǎng)信息技術的綜合性業(yè)務系統(tǒng)。其開放性導致系統(tǒng)安全漏洞和缺陷極易被攻擊者利用，工控系統(tǒng)的安全問題愈發(fā)突顯［34］。

隨著工業(yè)化與信息化的有效融合，越來越多的工控協(xié)議與設備集成了以太網(wǎng)功能，并將嵌入式技術、現(xiàn)場總線、工業(yè)以太網(wǎng)、多種工業(yè)控制網(wǎng)絡互聯(lián)以及無線通信技術融合到工業(yè)控制網(wǎng)絡中，由此引入的網(wǎng)絡安全風險會對工控系統(tǒng)造成巨大的威脅。而工控系統(tǒng)因其具有特殊性，其中大量工控系統(tǒng)采用私有協(xié)議、系統(tǒng)穩(wěn)定性要求高、網(wǎng)絡結(jié)構和行為相對穩(wěn)定但對網(wǎng)絡防護要求相對較高。傳統(tǒng)的工控安全防護目標重點在于保護信息不泄露，而工控系統(tǒng)安全防護的重點在于保證生產(chǎn)業(yè)務的連續(xù)穩(wěn)定可用且對信息的實時性要求更高。

在電力行業(yè)工控系統(tǒng)中，從發(fā)電端到用電端的每個環(huán)節(jié)都有不同形態(tài)的電力工控終端進行數(shù)據(jù)采集、指令調(diào)度、遠程控制等工作，工控終端與主站之間的控制信息和數(shù)據(jù)均通過工控協(xié)議實現(xiàn)傳遞［5］。因工控協(xié)議存在安全設計缺陷，加之系統(tǒng)缺乏安全防護機制，在使用過程中極易暴露出安全漏洞，攻擊者可利用以上安全漏洞達到對工控系統(tǒng)控制的目的。

工控系統(tǒng)因設計漏洞，極易成為攻擊者的目標，漏洞挖掘技術作為檢測工控系統(tǒng)漏洞的關鍵技術，可以在未出現(xiàn)網(wǎng)絡安全問題的情況下及時發(fā)現(xiàn)潛在安全隱患，防范未知風險，從而達到安全防御的作用［6］。常用的漏洞挖掘技術包括人工分析技術、補丁比對技術、動靜態(tài)分析技術以及模糊測試技術。人工分析技術是一種通過人工構造輸入條件，觀察目標狀態(tài)的灰盒分析技術，該種漏洞挖掘方法高度依賴操作人員的經(jīng)驗。補丁比對技術通過反匯編調(diào)試的手段對原始文件和補丁文件進行反匯編，比較打補丁前后的二進制文件的差異，即可明確漏洞位置。靜態(tài)分析技術是通過逆向技術獲得被分析目標源代碼，并檢測程序中不符合安全規(guī)則的行為，發(fā)現(xiàn)程序中存在的漏洞的白盒分析技術。該方法因需不斷擴大特征庫而導致誤報率高，也存在較大局限性。動態(tài)分析技術是利用調(diào)試器作為動態(tài)分析工具，通過觀察執(zhí)行過程中程序的運行狀態(tài)發(fā)現(xiàn)漏洞［7］。其中，模糊測試技術（fuzz?testing）是一種基于缺陷注入的自動化軟件測試技術，它利用黑盒分析技術方法，黑盒測試是通過將大量未知數(shù)據(jù)作為模糊測試的輸入，以程序是否出現(xiàn)異常為標志，以此判斷程序中是否存在安全漏洞［810］。模糊測試技術作為動態(tài)分析技術的一種，因其操作簡單、誤報率低以及良好的自動化測試能力，近些年在漏洞挖掘領域取得了長足的發(fā)展。

2?模糊測試方法

模糊測試通過提取工控網(wǎng)絡協(xié)議的協(xié)議特征，隨機生成測試用例，將其輸入?yún)f(xié)議實體程序中，并實時監(jiān)控被測對象的狀態(tài)，對協(xié)議實體異常進行分析。該技術不依賴于被測對象的源代碼，測試原理簡單，自動化程度較高，測試范圍廣，是一種高效的網(wǎng)絡協(xié)議漏洞挖掘方法。

基于工控協(xié)議的模糊測試方法以網(wǎng)絡報文為測試用例，待被測對象接收到網(wǎng)絡報文后，對網(wǎng)絡報文進行解析，從而提取出相關數(shù)據(jù)信息，數(shù)據(jù)進入程序內(nèi)部進行業(yè)務邏輯處理的同時，可以實現(xiàn)對被測對象的運行狀態(tài)的監(jiān)控。模糊測試的工作原理是通過事先構造好的測試用例發(fā)送給測試目標后通過測試目標反饋的問題找出測試目標漏洞的過程［1113］。從執(zhí)行過程的角度來說，大致可以分為以下五個階段。

2.1?確定測試對象

模糊測試的第一步為確定測試對象，我們將確定測試對象的原則定義為：一切向測試目標程序輸入的數(shù)據(jù)都應該被認為是危險的，所有測試對象都可能是存在潛在安全風險的模糊測試變量，測試人員根據(jù)測試對象的特征選擇適合的工具以及測試框架進行模糊測試。

2.2?生成模糊測試數(shù)據(jù)

大多數(shù)模糊測試的方法是通過向目標系統(tǒng)不斷輸入可以誘發(fā)軟件缺陷的測試數(shù)據(jù)，因此測試數(shù)據(jù)的生成是模糊測試非常關鍵的環(huán)節(jié)，模糊測試數(shù)據(jù)的生成方式主要有兩種：一種是通過預先確定的值，使用基于已存在的數(shù)據(jù)通過算法將其變異，生成新的測試數(shù)據(jù)；另一種是通過分析被測試應用程序及其使用的數(shù)據(jù)格式，動態(tài)生成測試數(shù)據(jù)。

2.3?執(zhí)行模糊測試

確定測試對象以及完成模糊測試數(shù)據(jù)生成的兩個步驟后，就可以進行模糊測試。執(zhí)行模糊測試需要依據(jù)測試目標選擇對應的測試方法，該步驟通過自動化的手段向被測系統(tǒng)發(fā)送數(shù)據(jù)包、利用被測試程序打開包含測試數(shù)據(jù)的文件。

2.4?監(jiān)視異常

測試過程中，對異常和錯誤進行監(jiān)控是模糊測試過程中極為重要的步驟，模糊測試的目的不僅是確定被測試程序是否存在安全漏洞，更重要的是確定程序為何會產(chǎn)生異常。模糊測試需要根據(jù)被測應用和所決定采用的模糊測試類型來設置各種形式的監(jiān)視，從而發(fā)現(xiàn)漏洞并及時進行漏洞修復。

2.5?判定是否存在潛在的安全漏洞

模糊測試中發(fā)現(xiàn)漏洞，需要判定該漏洞是否是一個可被利用的安全漏洞，以防漏洞被攻擊者利用，導致安全問題的發(fā)生。

3?自動化模糊測試工具

工控協(xié)議自身具有協(xié)議種類多、協(xié)議構造非公開、面向控制等特點，使得模糊測試前期對協(xié)議進行解析十分困難，加之協(xié)議腳本構造過程復雜，極大降低了模糊測試方法在工控協(xié)議領域的測試效率。因此，利用生成技術或變異技術構造測試樣例就成為模糊測試過程中的關鍵問題，其決定了模糊測試的效率。目前，自動化測試工具的開發(fā)，可以快速構造測試樣例，對模糊測試效率的提升有很大幫助。常用的自動化測試工具分為兩大類，一類可以根據(jù)已知輸入數(shù)據(jù)的規(guī)范制作新的輸入，代表工具有SPIKE、Sulley、SNOOZE、Peachfuzz、Boofuzz等；另外一種是根據(jù)已知數(shù)據(jù)樣本通過變異的方法生成新的測試用例，代表工具有ProxyFuzz、SecFuzz、GPF、TaoF等［1417］。以下為幾種常用的自動化模糊測試工具。

SPIKE模糊測試工具是最具有代表性的模糊測試創(chuàng)建工具集，它可以基于網(wǎng)絡協(xié)議生成測試數(shù)據(jù)。SPIKE通過塊的概念將產(chǎn)生的數(shù)據(jù)以不同格式嵌入自身測試數(shù)據(jù)中，這樣可以通過一種易于理解的方式描述協(xié)議構成，使基于塊的協(xié)議模型有較強可讀性。當需要在特定位置嵌入精確數(shù)據(jù)時，SPIKE的塊可以極大程度上縮短計算時間，提升工作效率。

Peach模糊測試工具是一個開源的模糊測試框架，其具有兩種測試用例生成方法，基于變異的測試用例生成方法和基于生成的測試用例生成方法。前者根據(jù)已有的數(shù)據(jù)樣本中的某個元素值進行修改，用于實現(xiàn)變異測試用例的生成。但通過該方法生成的測試用例可能不被被測對象接受，適用范圍具有局限性。另外一種測試方法是根據(jù)目標協(xié)議特征，定義Peach?Pits文件中的數(shù)據(jù)結(jié)構和類型，實現(xiàn)基于協(xié)議特征的測試用例的生成。

Sulley模糊測試工具是基于Python的開源模糊測試框架，可以支持整個模糊測試流程，不僅可以簡化測試用例的生成，同樣可以對與目標系統(tǒng)之間的數(shù)據(jù)傳輸，以及目標系統(tǒng)的監(jiān)控的模糊測試全流程進行簡化。

結(jié)語

工控系統(tǒng)廣泛應用在電力、水利、交通運輸、航空航天等工業(yè)領域，是國家基礎設施的重要組成部分。隨著工業(yè)化與信息化的深度融合，二者結(jié)合使工控系統(tǒng)由獨立封閉的物理環(huán)境，變成與企業(yè)內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換的開放性網(wǎng)絡。并且打破了工控系統(tǒng)物理環(huán)境上的封閉性以及系統(tǒng)軟硬件的專用性，這給不法分子創(chuàng)造了可乘之機。在數(shù)據(jù)傳輸方面工控協(xié)議從私有化轉(zhuǎn)向通用化，攻擊者從工控通信協(xié)議中的安全漏洞入手，對整個系統(tǒng)的正常工作產(chǎn)生影響。作為安全漏洞主要的分析測試方法之一，模糊測試只需要掌握很少的目標知識，并且可以很容易地擴展到大型應用程序，可重用性好，因此已經(jīng)成為最流行的漏洞發(fā)現(xiàn)解決方案［18］。

參考文獻：

［1］周光凱.聯(lián)網(wǎng)工控設備巡查系統(tǒng)的設計與實現(xiàn)［D］.哈爾濱工業(yè)大學，2017.

［2］吳丹丹.面向工控協(xié)議的模糊測試方法研究［D］.南京理工大學.

［3］康榮保，張曉，杜艷霞.工業(yè)控制系統(tǒng)信息安全防護技術研究［J］.通信技術，2018，51（08）：19651971.

［4］周穎，郭榮華，賀惠民，等.工業(yè)網(wǎng)絡安全：智能電網(wǎng)SCADA和其他工業(yè)控制系統(tǒng)等關鍵基礎設施的網(wǎng)絡安全［M］.國防工業(yè)出版社，2014.

［5］賴英旭，楊凱翔，劉靜，等.基于模糊測試的工控網(wǎng)絡協(xié)議漏洞挖掘方法［J］.計算機集成制造系統(tǒng)，2019，25（9）：22652279.

［6］黃秀麗，張濤，馬媛媛，等.一種基于模糊測試的電網(wǎng)工控協(xié)議漏洞挖掘系統(tǒng)和方法，CN105245403A［P］.2016.

［7］任澤眾，鄭晗，張嘉元，等.模糊測試技術綜述［J］.計算機研究與發(fā)展，2021，58（05）：944963.

［8］楊凱翔.基于模糊測試的工控網(wǎng)絡協(xié)議漏洞挖掘方法研究［D］.北京工業(yè)大學.

［9］賓冬梅，楊春燕，余通，等.基于電力Modbus公開協(xié)議的模糊測試方法［J］.通信企業(yè)管理，2022（02）：7788.

［10］吳丹丹.面向工控協(xié)議的模糊測試方法研究［D］.南京理工大學.

［11］Yuan?J.Research?on?attack?graph?generation?for?industrial?control?network?security?and?vulnerability?analysis［J］.Modern?Electronics?Technique，2016.

［12］Ndiaye?M，JF?Pétin，Camerini?J，et?al.Performance?assessment?of?industrial?control?system?during?presales?uncertain?context?using?automatic?Colored?Petri?Nets?model?generation［C］//?International?Conference?on?Control.IEEE，2016.

［13］Banerjee?S，Grossmann?D.An?Electronic?Device?Description?Language?based?approach?for?communication?with?dbms?and?file?system?in?an?industrial?automation?scenario［C］//IEEE?International?Conference?on?Emerging?Technologies?&?Factory?Automation.IEEE，2016：14.

［14］羅常.工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應用研究［J］.機電工程技術，2016，45（12）：97100.

［15］Liu?B，Liang?S，Cai?Z，et?al.Software?Vulnerability?Discovery?Techniques：A?Survey［C］//?Fourth?International?Conference?on?Multimedia?Information?Networking?&?Security.IEEE，2013.

［16］黃奕.基于模糊測試的軟件安全漏洞發(fā)掘技術研究［D］.中國科學技術大學.

［17］Gan?S，Chao?Z，Qin?X，et?al.CollAFL：Path?Sensitive?Fuzzing［C］//?2018?IEEE?Symposium?on?Security?and?Privacy（SP）.IEEE?Computer?Society，2018.

［18］S?Rawat，V?Jain，A?Kumar，et?al.VUzzer：Applicationaware?Evolutionary?Fuzzing［C］//?Ndss.2017.

作者簡介：劉博洋（1994—?），女，漢族，北京人，碩士研究生，助理工程師，研究方向：網(wǎng)絡安全；劉潮（1982—?），男，漢族，河北石家莊人，工學學士，助理工程師，研究方向：網(wǎng)絡安全；任藝琳（1997—?），女，漢族，河北定州人，工學學士，助理工程師，研究方向：網(wǎng)絡安全；滿芮（1996—?），女，回族，山東德州人，碩士研究生，助理工程師，研究方向：網(wǎng)絡安全；苗晗（1993—?），女，漢族，河北廊坊人，碩士研究生，助理工程師，研究方向：網(wǎng)絡安全。