一种基于生成对抗网络的Ethernet/IP协议模糊测试方法与流程

技术特征：
1.一种基于生成对抗网络的ethernet/ip协议模糊测试方法，其特征在于，包括如下步骤：步骤一、构建ethernet/ip协议样本库；步骤二、对ethernet/ip协议样本库中的通信数据包进行处理，得到10进制ethernet/ip协议样本数据；步骤三、利用步骤二处理后的ethernet/ip协议样本数据，并通过多种聚类构建方法来构造对应种类的训练集；步骤四、利用不同种类的训练集分别进行生成对抗网络训练；步骤五、生成模糊测试样本数据，其中，所述模糊测试样本数据中包括多个测试用例；步骤六、将模糊测试样本数据中的所有测试用例逐一输入到工控系统中进行ethernet/ip协议模糊测试，如果某一测试用例引起工控系统运行异常，则记录该测试用例为异常测试用例，最后形成异常测试用例集；步骤七、将异常测试用例集中的所有异常测试用例再次逐一输入到工控系统中进行ethernet/ip协议模糊测试，人工校验每一个异常测试用例引起的工控系统运行异常是否属于误报，如果属于误报，则将该测试用例从异常测试用例集中删除，如果该异常测试用例再次引起异常，则确认该用例为异常测试用例，并记录该异常测试用例及其引起的漏洞情况。2.根据权利要求1所述的ethernet/ip协议模糊测试方法，其特征在于，还包括：步骤八、将步骤七最终记录的所有异常测试用例的数据复制后随机进行数值取反或随机取值的数据变异操作，再将变异后的异常测试用例数据返回至步骤四、步骤五，从而生成更易触发ethernet/ip协议漏洞的模糊测试样本数据。3.根据权利要求1或2所述的ethernet/ip协议模糊测试方法，其特征在于，在所述步骤一中，是采用人工采集的方式，使用wireshark抓包工具从工控系统中抓取ethernet/ip协议通信数据包，从而得到ethernet/ip协议样本库。4.根据权利要求1或2所述的ethernet/ip协议模糊测试方法，其特征在于，在所述步骤二中，是对ethernet/ip协议样本库中的通信数据包进行解析，去除其他协议首部，自动提取16进制的ethernet/ip协议样本数据，再将16进制的ethernet/ip协议样本数据逐比特转换为10进制。5.根据权利要求1或2所述的ethernet/ip协议模糊测试方法，其特征在于，在所述步骤三中，多种不同的聚类构建方法包括：按照消息长度分类构建：根据不同的消息长度，将ethernet/ip协议样本数据分成不同的训练集，并对较小的训练集进行数据扩增；按照功能码分类构建：根据ethernet/ip协议功能码种类，构建与不同的功能码相对应的训练集，再分别对不同训练集中的数据进行对齐填充；混合构建：将所有ethernet/ip协议样本数据作为一个训练数据集。6.根据权利要求5所述的ethernet/ip协议模糊测试方法，其特征在于，所述按照消息长度分类构建方法中，数据扩增包括：将较小训练集中的数据进行复制，再对复制的数据进行特定索引位的数值翻转、数值取反或随机取值的数据变异操作。
7.根据权利要求5所述的ethernet/ip协议模糊测试方法，其特征在于，所述按照功能码分类构建方法中，功能码种类包括8种，并通过如下关系式(1)对不同训练集中的数据进行对齐填充：其中，s0为任意一条原始消息，len()为长度函数，maxlen为当前训练集中消息的最大长度，x为填充字符且x＝
′
pad
′
；当len(s0)＝maxlen时，说明原始数据不需要填充，将原始数据s0保留在训练集中；当len(s0)<maxlen时，说明原始数据需要填充，填充长度为n＝maxlen-len(s0)，将原始数据s0从训练集中去除，并将填充后的消息s1加入到训练集中。8.根据权利要求1或2所述的ethernet/ip协议模糊测试方法，其特征在于，在所述步骤四中，选择长短期记忆网络lstm作为生成器模型网络，选择卷积神经网络cnn作为判别器模型网络，并采用dropout避免模型过拟合，其中，生成对抗网络训练具备包括：步骤4.1、初始化lstm生成器和cnn判别器网络参数；步骤4.2、将训练集数据输入lstm生成器的输入层，输入层再将数据输入嵌入层和隐藏层，初步学习训练数据的特征分布，并更新lstm生成器的权重参数；步骤4.3、用步骤4.2得到的lstm生成器生成负样本数据，再将真实数据作为正样本数据，利用这些数据训练一个二分类cnn判别器，初步学习区分生成数据与真实数据，并更新cnn判别器的权重参数；步骤4.4、循环对抗训练lstm生成器和cnn判别器。9.根据权利要求8所述的ethernet/ip协议模糊测试方法，其特征在于，在所述步骤4.4中，循环对抗训练lstm生成器包括：步骤4.51、循环训练lstm生成器，并生成序列数据；步骤4.52、将生成的序列数据输入到cnn判别器，获得相应的奖励reward；步骤4.53、利用policy gradient算法将reward传递给lstm生成器，实现对lstm生成器权重参数的更新；循环对抗训练cnn判别器包括：步骤4.61、利用更新后的lstm生成器生成的负样本数据与真实样本数据集循环训练cnn判别器；步骤4.62、更新权重参数，直到模型收敛。10.根据权利要求9所述的ethernet/ip协议模糊测试方法，其特征在于，所述步骤五中，生成模糊测试样本数据包括：步骤5.1、在所述步骤4.4的循环对抗训练lstm生成器和cnn判别器过程中，每5个训练周期保存一次lstm生成器模型；步骤5.2、将一次完整的生成对抗训练过程中保存的生成器模型，按照保存时间先后进行排列，并按照1:7:2的比例将生成器模型分为早期模型、中期模型和后期模型；步骤5.3、按照同比例抽取三种不同时期的生成器模型生成的ethernet/ip协议数据作为模糊测试样本数据。

技术总结
本申请属于Ethernet/IP协议测试及漏洞挖掘技术领域，具体涉及一种基于生成对抗网络的Ethernet/IP协议模糊测试方法，包括如下步骤：构建Ethernet/IP协议样本库；对Ethernet/IP协议样本库中的通信数据包进行预处理；通过多种聚类构建方法来构造对应种类的训练集；生成对抗网络训练；生成模糊测试样本数据；进行Ethernet/IP协议模糊测试，形成异常测试用例集；将异常测试用例进行Ethernet/IP协议模糊测试，确认该用例为异常测试用例及其引起的漏洞情况。本申请的基于生成对抗网络的Ethernet/IP协议模糊测试方法中，利用生成对抗网络自主地学习并生成高质量的模糊测试用例，减少了模糊测试过程中协议分析和用例构造的人力，实现了高效智能的模糊测试。实现了高效智能的模糊测试。实现了高效智能的模糊测试。


技术研发人员：龚丽 张益 刘翱 肖宇洋 张红莉
受保护的技术使用者：中国民用航空总局第二研究所
技术研发日：2021.11.11
技术公布日：2022/2/18