背景 

隨著信息技術的飛速發展和網絡空間的日益擴大，網絡協議作為通信雙方或多方之間信息交換的一組規則或標準，扮演著至關重要的角色。然而，在網絡通信中，并非所有的協議都是公開和透明的，有些協議可能是私有、封閉或未知的。這些未知協議可能出于商業機密、技術保護或特定應用需求等原因而未被公開，但這也為網絡安全帶來了潛在的風險。未知協議可能包含安全漏洞，這些漏洞可能被惡意攻擊者利用，導致數據泄露、服務中斷或系統被控制等嚴重后果。因此，對未知協議進行逆向分析并挖掘其潛在漏洞，成為了網絡安全領域的一個重要研究方向。

產品簡介 

博智工控漏洞挖掘平臺（Elex EIcs Vunerability Mining Platform，簡稱ELEX-ICVMP）是發現工控設備未知漏洞、測試其安全狀況的黑盒測試產品，產品采用智能Fuzzing技術，對工控設備（PLC、RTU等）、工控系統（DCS、SCADA等）進行未知漏洞挖掘、安全性及協議健壯性測試，深度挖掘工控設備或系統的各類未知漏洞，自動生成測試報告，清晰定位問題并提供測試報文便于問題回溯，能顯著提升工業控制系統的安全性。

博智工控漏洞挖掘平臺不僅支持對已知的傳統網絡協議、IT協議、工控協議、物聯網協議、總線協議等進行未知漏洞挖掘，還支持對未知協議逆向分析，可實現從數據包上載-逆向分析-測試用例生成-測試的全過程閉環測試。

三、未知協議測試案例 

為更直觀體現逆向分析的效果，本章節將使用modbus協議樣本來演示未知協議測試過程。

案例演示：

對工控系統中上位機、下位機（施耐德M340 PLC）之間的通信流量進行鏡像方式抓包，獲取對應modbus協議pcap文件樣本。

環境準備：

對應測試靶標為Modbus從站模擬器，將漏挖平臺的ETH0業務口與模擬器所在宿主機直連即可。登錄博智工控漏洞挖掘平臺WEB管理頁面，配置測試網絡連通。

第一步：數據包上載

將modbus協議對應的pcap樣本文件上傳只漏挖平臺。

第二步：BPF過濾

針對上傳的樣本文件中可能存在雜包的情況，可進行BPF過濾來篩選出modbus協議報文。

其中，BPF過濾語法參照wireshark過濾規則，可對協議、長度、端口、IP、MAC等進行過濾，以便后續更準確的進行逆向分析。

第三步：逆向分析

在進行逆向分析前，可設置分析參數。其中，【聚類相似度】是聚類時判定兩個報文是否屬于同一類的最小相似度；最小相似度的設定將直接影響分析結果，針對不同的樣本最佳相似度設置也會不同，推薦用戶多嘗試幾種設置；0% 表示將所有報文聚成一類，呈現的結果就是只會得到一種報文分類；100% 表示將所有不同的報文都分成不同的類型，呈現的結果就是有多少種原始報文就會得到多少種報文分類，這里我們默認使用50%即可。

啟用內部平滑，代表則如果兩個消息的同一個位置字節相同， 但這個字節的前、后兩個字節均不相同，則將該字節視為不同；反之亦然。設置完成后，點擊進行分析，等到分析結果即可。

第四步：生成測試用例

分析完成后，分析結果會顯示所對應的用例個數、字段、長度等信息。這里我們將分析結果里面的字段以及對應的長度與原始的Modbus樣本文件（用wireshark打開）進行對比。

對比發現，逆向分析出的報文字段劃分跟wireshark解析基本一致，大部分字段的長度也基本一致。由此可較直觀的佐證未知協議逆向分析是有效果的。

第五步：測試執行

生成未知協議測試用例后，可通過測試報文結構樹直觀的看到對應的報文結構和字段劃分，也可進行自定義的用例參數配置。

將未知協議測試用例添加至測試套件，然后到測試執行下去執行即可。

第六步：測試結果查看

測試執行結束后，可通過測試結果查看詳情信息。也可下載對應的測試抓包文件查看。通過wireshark打開查看發現測試報文大部分可識別為modbus協議，則進一步佐證逆向分析的有效性。

四、應用場景和客戶價值

應用場景如下：

1、工控系統安全評估

當需要評估一個工控系統的安全性時，但系統的通信協議未知或不完全公開，博智工控漏洞挖掘平臺能夠協助安全人員逆向分析協議，識別潛在的安全風險。

2、智能設備安全測試

在物聯網（IoT）設備日益普及的今天，許多智能設備使用自定義的通信協議。通過博智工控漏洞挖掘平臺，用戶可以對這些設備的未知協議進行分析，從而檢測潛在的安全漏洞。

3、新協議研究與分析

對于新發布的通信協議，特別是那些尚未廣泛接受和測試的協議，使用博智工控漏洞挖掘平臺可以幫助研究人員更快速地了解協議的工作原理，找出可能的安全問題，并為協議的改進提供建議。

4、網絡安全研究

網絡安全研究人員經常需要面對未知的、加密的或混淆的網絡協議。博智工控漏洞挖掘平臺能夠作為他們的重要工具，幫助他們揭示這些協議的內部結構和工作機制。

客戶價值體現：

1、提高系統安全性：

通過逆向分析未知協議并識別潛在的安全漏洞，用戶能夠及時采取措施修復這些漏洞，從而提高系統的安全性。

2、節省時間與成本：

傳統的協議分析可能需要大量的人力和時間。博智工控漏洞挖掘平臺通過自動化分析和測試，大大縮短了協議分析的時間，降低了用戶的時間和成本投入。

3、增強風險應對能力：

對于未知的、潛在的風險，用戶往往難以做出有效的應對。通過博智工控漏洞挖掘平臺對未知協議的分析，用戶能夠提前了解和應對潛在的安全風險。

4、提升研發效率：

對于研發人員來說，了解協議的詳細規范是開發兼容或互操作的設備的關鍵。博智工控漏洞挖掘平臺提供的協議分析功能，能夠幫助他們更快地理解協議，從而提升研發效率。

5、增強信任與可靠性：

通過使用博智工控漏洞挖掘平臺對未知協議進行深入的逆向分析和測試，用戶能夠增強對其系統或設備的信任度和可靠性，確保其在關鍵應用中的穩定性和安全性。

五、結語

在隨著工業自動化和信息技術的深度融合，工控系統的安全性愈發成為企業和組織關注的焦點。博智工控漏洞挖掘平臺通過其獨特的未知協議逆向分析和漏洞挖掘能力，為工控系統安全提供了一道堅實的防線。

在應對未知協議的安全挑戰時，平臺展現出了高度的專業性、全面性和高效性。它不僅能夠深入解析未知協議的每一個細節，更能夠自動化生成并執行測試用例，及時發現并驗證潛在的安全漏洞。這種能力對于保障工控系統的正常運行和信息安全至關重要。