背景 

随着信息技术的飞速发展和网络空间的日益扩大，网络协议作为通信双方或多方之间信息交换的一组规则或标准，扮演着至关重要的角色。然而，在网络通信中，并非所有的协议都是公开和透明的，有些协议可能是私有、封闭或未知的。这些未知协议可能出于商业机密、技术保护或特定应用需求等原因而未被公开，但这也为网络安全带来了潜在的风险。未知协议可能包含安全漏洞，这些漏洞可能被恶意攻击者利用，导致数据泄露、服务中断或系统被控制等严重后果。因此，对未知协议进行逆向分析并挖掘其潜在漏洞，成为了网络安全领域的一个重要研究方向。

产品简介 

博智工控漏洞挖掘平台（Elex EIcs Vunerability Mining Platform，简称ELEX-ICVMP）是发现工控设备未知漏洞、测试其安全状况的黑盒测试产品，产品采用智能Fuzzing技术，对工控设备（PLC、RTU等）、工控系统（DCS、SCADA等）进行未知漏洞挖掘、安全性及协议健壮性测试，深度挖掘工控设备或系统的各类未知漏洞，自动生成测试报告，清晰定位问题并提供测试报文便于问题回溯，能显著提升工业控制系统的安全性。

博智工控漏洞挖掘平台不仅支持对已知的传统网络协议、IT协议、工控协议、物联网协议、总线协议等进行未知漏洞挖掘，还支持对未知协议逆向分析，可实现从数据包上载-逆向分析-测试用例生成-测试的全过程闭环测试。

三、未知协议测试案例 

为更直观体现逆向分析的效果，本章节将使用modbus协议样本来演示未知协议测试过程。

案例演示：

对工控系统中上位机、下位机（施耐德M340 PLC）之间的通信流量进行镜像方式抓包，获取对应modbus协议pcap文件样本。

环境准备：

对应测试靶标为Modbus从站模拟器，将漏挖平台的ETH0业务口与模拟器所在宿主机直连即可。登录博智工控漏洞挖掘平台WEB管理页面，配置测试网络连通。

第一步：数据包上载

将modbus协议对应的pcap样本文件上传只漏挖平台。

第二步：BPF过滤

针对上传的样本文件中可能存在杂包的情况，可进行BPF过滤来筛选出modbus协议报文。

其中，BPF过滤语法参照wireshark过滤规则，可对协议、长度、端口、IP、MAC等进行过滤，以便后续更准确的进行逆向分析。

第三步：逆向分析

在进行逆向分析前，可设置分析参数。其中，【聚类相似度】是聚类时判定两个报文是否属于同一类的最小相似度；最小相似度的设定将直接影响分析结果，针对不同的样本最佳相似度设置也会不同，推荐用户多尝试几种设置；0% 表示将所有报文聚成一类，呈现的结果就是只会得到一种报文分类；100% 表示将所有不同的报文都分成不同的类型，呈现的结果就是有多少种原始报文就会得到多少种报文分类，这里我们默认使用50%即可。

启用内部平滑，代表则如果两个消息的同一个位置字节相同， 但这个字节的前、后两个字节均不相同，则将该字节视为不同；反之亦然。设置完成后，点击进行分析，等到分析结果即可。

第四步：生成测试用例

分析完成后，分析结果会显示所对应的用例个数、字段、长度等信息。这里我们将分析结果里面的字段以及对应的长度与原始的Modbus样本文件（用wireshark打开）进行对比。

对比发现，逆向分析出的报文字段划分跟wireshark解析基本一致，大部分字段的长度也基本一致。由此可较直观的佐证未知协议逆向分析是有效果的。

第五步：测试执行

生成未知协议测试用例后，可通过测试报文结构树直观的看到对应的报文结构和字段划分，也可进行自定义的用例参数配置。

将未知协议测试用例添加至测试套件，然后到测试执行下去执行即可。

第六步：测试结果查看

测试执行结束后，可通过测试结果查看详情信息。也可下载对应的测试抓包文件查看。通过wireshark打开查看发现测试报文大部分可识别为modbus协议，则进一步佐证逆向分析的有效性。

四、应用场景和客户价值

应用场景如下：

1、工控系统安全评估

当需要评估一个工控系统的安全性时，但系统的通信协议未知或不完全公开，博智工控漏洞挖掘平台能够协助安全人员逆向分析协议，识别潜在的安全风险。

2、智能设备安全测试

在物联网（IoT）设备日益普及的今天，许多智能设备使用自定义的通信协议。通过博智工控漏洞挖掘平台，用户可以对这些设备的未知协议进行分析，从而检测潜在的安全漏洞。

3、新协议研究与分析

对于新发布的通信协议，特别是那些尚未广泛接受和测试的协议，使用博智工控漏洞挖掘平台可以帮助研究人员更快速地了解协议的工作原理，找出可能的安全问题，并为协议的改进提供建议。

4、网络安全研究

网络安全研究人员经常需要面对未知的、加密的或混淆的网络协议。博智工控漏洞挖掘平台能够作为他们的重要工具，帮助他们揭示这些协议的内部结构和工作机制。

客户价值体现：

1、提高系统安全性：

通过逆向分析未知协议并识别潜在的安全漏洞，用户能够及时采取措施修复这些漏洞，从而提高系统的安全性。

2、节省时间与成本：

传统的协议分析可能需要大量的人力和时间。博智工控漏洞挖掘平台通过自动化分析和测试，大大缩短了协议分析的时间，降低了用户的时间和成本投入。

3、增强风险应对能力：

对于未知的、潜在的风险，用户往往难以做出有效的应对。通过博智工控漏洞挖掘平台对未知协议的分析，用户能够提前了解和应对潜在的安全风险。

4、提升研发效率：

对于研发人员来说，了解协议的详细规范是开发兼容或互操作的设备的关键。博智工控漏洞挖掘平台提供的协议分析功能，能够帮助他们更快地理解协议，从而提升研发效率。

5、增强信任与可靠性：

通过使用博智工控漏洞挖掘平台对未知协议进行深入的逆向分析和测试，用户能够增强对其系统或设备的信任度和可靠性，确保其在关键应用中的稳定性和安全性。

五、结语

在随着工业自动化和信息技术的深度融合，工控系统的安全性愈发成为企业和组织关注的焦点。博智工控漏洞挖掘平台通过其独特的未知协议逆向分析和漏洞挖掘能力，为工控系统安全提供了一道坚实的防线。

在应对未知协议的安全挑战时，平台展现出了高度的专业性、全面性和高效性。它不仅能够深入解析未知协议的每一个细节，更能够自动化生成并执行测试用例，及时发现并验证潜在的安全漏洞。这种能力对于保障工控系统的正常运行和信息安全至关重要。