(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210998579.X (22)申请日 2022.08.19 (71)申请人 哈尔滨工程大 学 地址 150001 黑龙江省哈尔滨市南岗区南 通大街145号 申请人 绿盟科技 集团股份有限公司 (72)发明人 庄园　曹文芳　孙国凯　孙建国　 申林山　尤扬　王晓鹏　张云海　 (74)专利代理 机构 哈尔滨市松花江专利商标事 务所 23109 专利代理师 张换男 (51)Int.Cl. G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01)G06F 11/36(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于混合变异策略的网络协议漏洞挖 掘方法 (57)摘要 一种基于混合变异策略的网络协议漏洞挖 掘方法， 它属于网络协议的漏洞挖掘技术领域。 本发明解决了现有网络协议漏洞挖掘方法对未 知网络协议漏洞 挖掘能力差， 且现有网络协议漏 洞挖掘方法仅仅针对于单个网络协议， 无法适用 于不同网络协议的漏洞 挖掘问题。 本发明基于改 进的生成对抗网络模型和线下漏洞知识库指导 生成样本数据变异以提高漏洞触发率， 进而生成 更有效、 针对性更强的测试用例， 减少对漏洞挖 掘无效测试用例的生成， 可以智能高效地挖掘出 未知网络协议的漏洞。 本发明方法适用于大部分 不同网络协议， 大大减少人工分析数据帧的时 间， 可以迁移应用在不同网络协议上。 本发明方 法可以应用于网络协议的漏洞挖掘。 权利要求书3页 说明书8页 附图2页 CN 115238822 A 2022.10.25 CN 115238822 A 1.一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在于， 所述方法具体包括 以下步骤： 步骤1、 构建线下漏洞知识库 搜集现存的各种漏洞类型以及各种漏洞类型的特点、 各种漏洞类型在已知网络协议的 异常数据帧集 合、 异常数据帧特 征来构建线下漏洞知识库； 对于任意的一种漏洞类型， 根据该漏洞类型的特点、 漏洞类型的名称以及漏洞类型的 内容查找该漏洞类型下的异常数据帧集合和异常数据帧集合的特征； 根据查找到的异常数 据帧集合的特征从已知给定的通信数据帧集合中筛选出数据帧， 将该漏洞类型下查找到的 异常数据帧以及筛 选出的数据帧作为变异种子数据帧集 合； 根据该漏洞类型的触发频次， 对变异种子数据帧集合中的数据帧做数据帧特征变异与 特征字段变异操作， 得到变异后的数据帧集 合； 同理， 分别对每种漏洞类型进行上述处理， 最终得到每种漏洞类型对应的变异后的数 据帧集合； 步骤2、 构建生成对抗网络模型， 对得到的变异后数据帧进行预处理， 建立模型的初始 训练数据集； 步骤3、 基于初始训练数据集训练生成对抗网络模型， 并通过生成对抗网络模型生成测 试数据集； 步骤4、 对测试 数据集进行模糊测试 将测试数据集中的测试数据帧注入测试程序或测试设备， 收集测试程序或测试设备的 工作日志内容和通信记录； 步骤5、 结果分析 对测试程序或测试设备的工作 日志内容和通信记录进行分析， 筛选出异常信息； 再根 据异常信息找到触发漏洞的数据帧， 并记录触发漏洞的特点和造成的后果信息， 将触发漏 洞的数据帧、 记录的触发漏洞特点和造成的后果信息 封装在一 起， 获得异常报文信息； 根据封装的异常报文信 息与构建的线下漏洞知识库内容的动态匹配结果， 对线下漏洞 知识库进行 更新， 获得 更新后的线下漏洞知识库； 步骤6、 将步骤3 中生成对抗网络模型生成的数据帧与本次迭代所采用的变异后的数据 帧组成的集合作为预变异数据集， 并利用更新后的线 下漏洞知识库信息对 预变异数据集中 的数据帧做变异指导操作， 得到优化后的变异数据集， 并将步骤5中获得的异常报文信息直 接加入到优化后的变异数据集中； 步骤7、 将预变异数据集与优化后变异数据集结合作为下一次迭代的数据集； 步骤8、 重复步骤3至步骤7的过程， 直至满足迭代的停止条件时获得最终的线下漏洞知 识库信息， 根据最终的线下漏洞知识库中的信息进行网络协议的漏洞挖掘。 2.根据权利要求1所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述搜集的现存各种 漏洞类型包括 缓冲区溢出、 拒绝服务、 空指针、 地址越界、 Web攻击、 C&C远控攻击、 ARP流 量、 ARP攻击、 畸形包攻击和远程执 行代码。 3.根据权利要求2所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述异常数据帧集合的特征包括报文长度特征、 特殊字符、 数据帧特征字段以及漏洞触 发频率。权　利　要　求　书 1/3 页 2 CN 115238822 A 24.根据权利要求3所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述根据查找到的异常数据帧集合的特征从已知给定的通信数据帧集合中筛选出数据 帧， 将该漏洞类型下查找到的异常数据帧以及筛选出 的数据帧作为变异种子数据帧集合； 其具体过程 为： 通过比对查找到的异常数据帧集合的特征与已知给定的通信数据帧集合的特征， 从已 知给定的通信数据帧集合中分别选取出与查找到的每个异常数据帧最相似的数据帧， 将选 取出的全部数据帧作为筛 选出的数据帧； 将查找到的异常数据帧以及筛选出的数据帧作为该漏洞类型对应的变异种子数据帧 集合。 5.根据权利要求4所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述步骤2中， 对得到的变异后数据帧进 行预处理， 建立模型的初始训练数据集； 其具体 过程为： 步骤2.1： 对于变异后数据帧集合中的任一数据帧， 将数据帧形式化为序列S1:n＝(e1, e2,e3,...,ex,...,en),ex∈E， S1:n∈S*， 其中， E表示十六进制的数据集合， e1,e2,e3,..., ex,...,en表示序列S1:n中的第1,2,3,...,x,...,n个元素， n表示序列S1:n中的元素总个数， S*是变异后数据帧集 合对应的序列集； 同理， 分别获得变异后数据帧集 合中的每一数据帧所对应的序列； 步骤2.2： 将序列中的十六进制数据转换为十进制数据表示， 再对转换后的序列进行存 储； 步骤2.3： 根据转换后的序列对变异后数据帧集 合中的数据帧进行聚类； 步骤2.4： 根据聚类结果进行 数据帧增强， 获得模型的初始训练数据集。 6.根据权利要求5所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述步骤2.3中， 根据转换后的序列对变异后数据帧集合中的数据帧进行聚类， 采用的 聚类方法为帧长度聚类和K ‑means聚类。 7.根据权利要求6所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述步骤2.4中， 数据帧增强的方式为： 从聚类结果中选取出包含数据帧个数最小的类别， 对于所选取出的类别中的任意一个 数据帧a， 分别计算出该数据帧a与选取出的类别中的其它各个数据帧的欧氏距离， 得到该 数据帧a的k近邻； 设定采样倍率， 再根据设定的采样倍率从k近邻中随机选择出若干个样本， 对于选择出 的样本数据帧b， 均按照如下的方式构建新的数据帧c； c＝a+rand(0,1) ×|a‑b| 其中， rand(0,1)代表在(0,1)之间取随机数， |a ‑b|代表数据帧a与数据帧b之间的距 离； 同理， 对选取 出的类别中的每 个数据帧进行 上述处理。 8.根据权利要求7所述的一种基于混合变异策略的网络协议漏洞挖掘方法， 其特征在 于， 所述步骤2.4中， 数据帧增强的方式为： 从聚类结果中选取出包含数据帧个数最小的类别， 对于选取出的类别， 对该类别 中的 数据帧做随机截断操作， 再对随机截断的数据帧信息进行拼接操作， 获得拼接后的数据帧。权　利　要　求　书 2/3 页 3 CN 115238822 A 3