一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统及方法技术方案

本发明专利技术提供了一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统及方法，所述系统包括：测试仪和与其连接的被测设备；所述测试仪包括功能点遍历单元和接收其遍历结果的规约报文变异测试单元。所述方法包括如下步骤：(1).对被测设备发出的被测报文进行一致性测试；(2).对被测报文进行变异测试；(3).生成测试日志和统计报告。本发明专利技术提供的针对IEC60870-5-101/104通信规约实现缺陷的检测系统及方法，实现对被测配电网自动化系统及终端的攻击的自动检测，从而发现被测设备的规约实现缺陷，且可减少测试问题漏报、误判的情况，并有效解决测试进程中断的问题。

【技术实现步骤摘要】

本专利技术属于配电网自动化系统通信安全领域，具体涉及ー种针对IEC60870-5-101/104通信规约实现缺陷的检测系统及方法。
技术介绍
配电网自动化系统及终端的智能化和互联化，増加了配电网自动化系统通信的安全风险。传统的通信安全防护只能从防御的角度减轻电カエ控系统及终端的安全风险，并未从根本上解决配电网自动化统数据通信过程中遭受互联网恶意攻击的安全隐患。开展面向配电网自动化系统通信安全的101/104规约实现缺陷检测，成为主动排除安全隐患的迫切需要。目前用于通信设备的网络协议实现的缺陷检测和漏洞挖掘的主要测试方法是基于模糊测试原理的协议健壮性测试，并已经有成熟的协议健壮性测试工具。模糊测试的エ作原理如图I所示，模糊器以一定的方法来诱导被测对象进入目标状态，通过向目标对象发送预先精心设计的带有攻击性的输入，再监视返回的结果是否异常来发现被测对象的安全漏洞。基于协议状态机的模糊器通常由被测对象协议模板、异常用例生成、状态机协商、异常用例发送以及被测对象监控几部分組成。其中，被测对象协议模板采用參数脚本的方式实现，用来描述被测对象协议报文的基本层次结构及各字段，是其他各个部分的基础 ’异常用例生成采用多种算法来生成最終的攻击用例，是模糊测试的核心部分；状态机协商与被测对象进行正常的报文交互，诱导被测对象进入目标状态，以达到异常用例发送的条件；异常用例发送根据被测对象协议在协议栈中的位置来正确封装并发送异常用例；模糊器中的监控模块用来对被测对象的异常状态进行收集、分析，最終定位漏洞所在；通过此方法可发现被测对象在网络协议处理过程中的安全漏洞。目前没有针对IEC60870-5-101/104规约实现的缺陷检测方法，通用的协议健壮性测试方法，采用基于捕获报文的协议状态机分析，使测试范围依赖于测试人员捕获报文的质量，难以做到对101/104规约实现缺陷的深度挖掘；而且现有的协议健壮性测试方法在异常测试用例生成环节，主要依靠通用协议分析软件对报文的解析结果(报文格式、字段类型等)，由于通用协议分析软件无法深度解析IEC60870-5-101/104规约报文，生成的异常测试用例适用性差，较难保证协议健壮性测试的深度和效率；再者，现有的协议健壮性测试工具，无法正确处理104规约收、发序列号变更等情况，导致测试进程的中断或测试问题的漏报和误判。
技术实现思路
为克服上述缺陷，本专利技术提供了一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统及方法，实现对被测配电网自动化系统及终端的攻击的自动检测，从而发现、被测设备的规约实现缺陷，且可減少测试问题漏报、误判的情況，并有效解决测试进程中断的问题。为实现上述目的，本专利技术提供一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统，其包括测试仪和与其连接的被测设备；其改进之处在于，所述测试仪包括功能点遍历单元和接收其遍历结果的规约报文变异测试单元。本专利技术提供的优选技术方案中，所述功能点遍历单元设置有功能点遍历测试序列模块；所述功能点遍历单元对被测设备的通信功能点进行遍历，并记录相互对应的交互报文，生成存储在所述功能点遍历测试序列模块中的功能点遍历测试序列。本专利技术提供的第二优选技术方案中，所述功能点遍历单元顺次向所述被测设备发送接收到的被测报文Qj，所述被测设备在接收到被测报文Qj后，向所述测试仪发出应答报文An，所述功能点遍历单元将得到应答报文的所述通信功能点记录入所述功能点遍历测试序列。本专利技术提供的第三优选技术方案中，所述规约报文变异测试単元包括依次连接的测试用例设计模块、变异测试样本生成及分组模块和变异样本组测试模块，以及分别与所述测试用例设计模块连接的变异算法模块和手工编辑报文测试模块。本专利技术提供的第四优选技术方案中，所述测试用例设计模块选择被测报文中的字段，选取被测字段试用的测试类型。本专利技术提供的第五优选技术方案中，所述变异算法模块包括依次设置的基本变异组件、缓冲区溢出组件、域缺失组件和组合变异组件。本专利技术提供的第六优选技术方案中，所述变异测试样本生成及分组模块，调用基本变异组件，生成与被测字段对应的变异测试样本；所述变异测试样本生成及分组模块，针对报文中自定义字段，调用所述缓冲区溢出组件，构造超长字段的变异测试样本；所述变异测试样本生成及分组模块，调用所述域缺失组件，对被测字段进行零填充处理，省略该字段的填充；所述变异测试样本生成及分组模块，调用所述组合变异组件，根据字段变异的情况，对字段采用基本变异、缓冲区溢出和域缺失组合的方式进行变换测试。本专利技术提供的第七优选技术方案中，所述基本变异组件对被测字段为控制域和类型标识的情况，采取全变异测试，所述全变异测试的变异测试样本数=2m，m为变异字段的位数。本专利技术提供的第八优选技术方案中，所述缓冲区溢出组件测试的变异测试样本报文长度字段，取值可选择不变或加超长字段长度值。本专利技术提供的第九优选技术方案中，所述域缺失组件测试的变异测试样本报文长度字段，取值可选择不变或减省略字段长度值。本专利技术提供的第十优选技术方案中，所述变异测试样本生成及分组模块，调用所述手工编辑报文测试模块，手工输入测试报文，并设置测试报文发送的次数及顺序。本专利技术提供的较优选技术方案中，所述变异测试样本生成及分组模块，将16份变异测试样本分为ー个测试样本组，并将生成的测试样本组顺序传输给所述变异测试模块。本专利技术提供的第二较优选技术方案中，所述变异测试模块，对接收到的测试样本组进行变异测试。本专利技术提供的第三较优选技术方案中，提供一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统的检测方法，其改进之处在于，所述检测方法包括如下步骤(I).对被测设备发出的被测报文进行一致性测试； (2).对被测报文进行变异测试；(3).生成测试日志和统计报告。本专利技术提供的第四较优选技术方案中，在所述步骤I中，所述测试仪的所述功能点遍历单元对被测设备的通信功能点进行遍历，并记录相互对应的交互报文，生成存储在所述功能点遍历测试序列模块中的功能点遍历测试序列。本专利技术提供的第五较优选技术方案中，所述步骤I包括如下步骤(1-1).所述功能点遍历单元顺次向所述被测设备发送接收到的被测报文Qj ；(1-2).所述被测设备在接收到被测报文Qj后，向所述测试仪发出应答报文An ；(1-3).所述功能点遍历单元将得到应答报文的所述通信功能点记录入所述功能点遍历测试序列。本专利技术提供的第六较优选技术方案中，在所述步骤2中，所述测试用例设计模块选择被测报文中的字段，选取被测字段试用的测试类型；变异测试样本生成及分组模块，分别调用所述变异算法模块和所述手工编辑报文测试模块生成测试样本组；所述变异测试模块，对接收到的测试样本组进行变异测试。本专利技术提供的第七较优选技术方案中，所述步骤2包括如下步骤(2-1).选择变异字段、测试类型；(2-2).生成η份变异测试样本，并将每16份变异测试样本分成ー个测试样本组，共分成i个测试样本组,对生成的i个测试样本组顺序进行变异测试；(2-3).所述测试仪按序向所述被测设备发送第i个测试样本组中的变异测试样本，并判断是否接收到所述被测设备发出的响应报文，若收到，则对变异测试样本进行检测，否则进行步骤2-4;(2-4).本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对IEC60870-5-101/104通信规约实现缺陷的检测系统，其包括测试仪和与其连接的被测设备；其特征在于，所述测试仪包括功能点遍历单元和接收其遍历结果的规约报文变异测试单元。2.根据权利要求I所述的检测系统，其特征在于，所述功能点遍历单元设置有功能点遍历测试序列模块；所述功能点遍历单元对被测设备的通信功能点进行遍历，并记录相互对应的交互报文，生成存储在所述功能点遍历测试序列模块中的功能点遍历测试序列。3.根据权利要求2所述的检测系统，其特征在于，所述功能点遍历单元顺次向所述被测设备发送接收到的被测报文Qj，所述被测设备在接收到被测报文Qj后，向所述测试仪发出应答报文An，所述功能点遍历单元将得到应答报文的所述通信功能点记录入所述功能点遍历测试序列。4.根据权利要求I所述的检测系统，其特征在于，所述规约报文变异测试単元包括依次连接的测试用例设计模块、变异测试样本生成及分组模块和变异样本组测试模块，以及分别与所述测试用例设计模块连接的变异算法模块和手工编辑报文测试模块。5.根据权利要求4所述的检测系统，其特征在干，所述测试用例设计模块选择被测报文中的字段，选取被测字段试用的测试类型。6.根据权利要求5所述的检测系统，其特征在于，所述变异算法模块包括依次设置的基本变异组件、缓冲区溢出组件、域缺失组件和组合变异组件。7.根据权利要求6所述的检测系统，其特征在于，所述变异测试样本生成及分组模块，调用基本变异组件，生成与被测字段对应的变异测试样本；所述变异测试样本生成及分组模块，针对报文中自定义字段，调用所述缓冲区溢出组件，构造超长字段的变异测试样本；所述变异测试样本生成及分组模块，调用所述域缺失组件，对被测字段进行零填充处理，省略该字段的填充；所述变异测试样本生成及分组模块，调用所述组合变异组件，根据字段变异的情况，对字段采用基本变异、缓冲区溢出和域缺失组合的方式进行变换测试。8.根据权利要求7所述的检测系统，其特征在于，所述基本变异组件对被测字段为控制域和类型标识，采取全变异测试，所述全变异测试的变异测试样本数=2m，m为变异字段的位数。9.根据权利要求7所述的检测系统，其特征在于，所述缓冲区溢出组件测试的变异测试样本报文长度字段，取值选择不变或加超长字段长度值。10.根据权利要求7所述的检测系统，其特征在于，所述域缺失组件测试的变异测试样本报文长度字段，取值选择不变或减省略字段长度值。11.根据权利要求4所述的检测系统，其特征在于，所述变异测试样本生成及分组模块，调用所述手工编辑报文测试模块，手工输入测试报文，并设置测试报文发送的次数及顺序。12.根据权利要求4所述的检测系统，其特征在干，所述变异测试样本生成及分组模块，将16份变异测试样本分为ー个测试样本组，并将生成的测试样本组顺序传输给所述变异测试模块。13.根据权利要求4所述的检测系统，其特征在干，所述变异测试模块，对接收到的测试样本组进行变异测试。14.根据1-13项权利要求任一项所述的针对IEC60870-5-101/104通信规约实现缺陷的检测系统的检测方法，其特征在于，所述检测方法包括如下步骤 (1).对被测设备发出的被测报文进行一致性测试； (2).对被测报文进行变异测试； (3).生成测试日志和统计...

【专利技术属性】
技术研发人员：李焕，张波，树娟，
申请(专利权)人：中国电力科学研究院，
类型：发明
国别省市：