Q/LB.□XXXXX-XXXX工業控制協議通信健壯性測試規范范圍本文件給出了工業控制協議通信健壯性的測試方法、測試項和異常監測方法。本文件適用于工業控制設備或工控上位機所采用的工業控制協議的通信健壯性測試，可用于指導檢測機構、產品供應商等開展相關測試活動，也可用于指導相關測試工具的研發。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術術語術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。工控上位機industrialcontrolhost在工業控制環境中,管理、控制工業控制設備的主機。注1：通常運行通用的操作系統，如Windows,Unix/Linux等。[來源:GB/T37962-2019，3.2]工業控制設備industrialcontroldevice對工業生產過程及裝置進行檢測與控制的設備。[來源:GB/T37962-2019，3.3]工業控制協議industrialcontrolprotocol工業控制系統中，上位機與控制設備之間以及控制設備與控制設備之間的通信報文規約。通常包括模擬量和數字量的讀寫控制。[來源:GB/T37933-2019，3.1]健壯性robustness描述網絡關鍵設備或部件在無效數據輸入或者在高強度輸入等環境下，其各項功能可保持正確運行的程度。[來源:GB40050—2021，3.5]縮略語下列縮略語適用于本文件。TLV：TLV編碼（TypeLengthValue）概述工業控制協議通信健壯性測試主要用于驗證工業控制設備或工控上位機在采用工業控制協議進行通信時，針對異常輸入或高強度輸入下的正確性和穩定性。測試對象工業控制協議通信健壯性測試對象為工業控制設備或工控上位機上實現的工業控制協議，如Modbus/TCP、Ethernet/IP、IEC60870-5-104等。測試要求工業控制協議通信健壯性測試應覆蓋相關協議規約中約定的所有報文類型和協議狀態機，應對每種報文類型進行錯誤注入測試、結構變異測試和風暴測試，對每種協議狀態進行上下文異常測試。測試環境工業控制協議通信健壯性測試環境通常由測試儀和測試對象組成，測試儀用于向測試對象發送異常報文或網絡風暴，并實時監測測試對象運行狀態。測試儀應盡量與測試對象直接相連，以避免中間網絡設備造成的干擾。圖1工控協議通信健壯性測試示意圖測試項工業控制協議通信健壯性測試包括報文錯誤注入測試、報文結構變異測試、上下文異常測試和風暴測試。報文錯誤注入測試針對協議規約的每種報文類型，構造或捕獲該類型報文的典型通信樣本，對通信樣本中各字段進行錯誤注入，即對各字段值進行變異，生成測試報文并發送給測試對象，考察測試對象處理此種異常報文的能力。單字段變異基于通信樣本報文，依次對報文各個字段值進行變異，每次只變異一個字段，直至遍歷該類型報文所有字段，考察測試對象處理單字段異常報文的能力。根據報文字段長度是否變化可將字段分為定長字段和不定長字段。定長字段變異定長字段通常包括協議標識字段、報文長度字段、功能碼/服務字段、序列號字段、校驗和字段、數字簽名字段等，字段的值類型包括有符號整型、無符號整型、字符串類型等。定長字段變異應滿足如下要求：當定長字段為N位有符號整型數值時，變異值應覆蓋兩側端點值：–2(N–1)、–2(N–1)+1、+2(N–1)–1、+2(N–1)–2和主要中間值：-2、-1、0、+1?？山Y合協議規約，將該字段的一個或多個典型非法值作為變異值引入?？勺詣由梢粋€或多個隨機值作為變異值引入。當定長字段為N位無符號整型數值時，變異值應覆蓋兩側端點值0、1、2N–2、2N–1，典型中間值2(N–1)–2、2(N–1)–1、2(N–1)、2(N–1)+1?？山Y合協議規約，將該字段的一個或多個典型非法值作為變異值引入。可自動生成一個或多個隨機值作為變異值引入。當定長字段為N字節字符串時，應根據字符串長度進行變異，變異值應包括特殊字符（如“reboot”、“shutdown”等系統命令字符，“\r”、“\n”換行符，“%s”、“%n”等格式化符）、空字符串和違反編碼規則的字符串（如非法的字符編碼或字符集）。對于重要功能字段，如功能碼、子功能碼、服務字段等，變異值可覆蓋該字段的所有合法值和典型非法值。在N較小情況下，變異值可遍歷字段所有可能數值,即從0至2N–1。在對定長字段進行變異時，應確保報文中其他非變異字段值的正確性，如校驗和字段、數字簽名字段、長度字段等。不定長字段變異不定長字段通常包括用戶名、文件名等自限制長度的字符串字段、TLV結構等。不定長字段變異應滿足如下要求：當不定長字段為自限制長度的字符串類型時，變異值應包括含特殊字符（如“reboot”、“shutdown”等系統命令字符，“\r”、“\n”換行符，“%s”、“%n”等格式化符）、空字符串、超長字符串和違反編碼規則的字符串（如非法的字符編碼或字符集）。當不定長字段為TLV結構時，應結合Type字段取值首先確定Value字段值類型，根據Value字段值類型對其變異。Length字段取值應與變異值長度保持一致。當不定長字段值超過單報文最大長度時，可根據協議規約對報文進行分片。在不對定長字段進行變異時，應確保報文中其他非變異字段值的正確性，如校驗和字段、數字簽名字段、長度字段等。字段組合變異基于通信樣本報文，選取兩個或多個報文字段同時進行變異,考察測試對象處理此種異常報文的能力。組合變異的字段可選取重要功能字段或語義相關的字段（如：對于Modbus/TCP協議，同時對協議標識和長度字段進行變異、同時對功能碼和子功能字段進行變異）。組合變異選取的字段數量不宜過大，可通過限制字段變異值數量、限制變異組合數量，將變異報文數量控制在可接受范圍內。報文結構變異測試針對協議規約的每種報文類型，根據報文結構將報文劃分為標識部分、控制部分、數據部分、選項部分等，對劃定部分進行變異，包括復制、刪除、截斷、位置變換等操作，即報文結構變異，生成測試報文，考察測試對象處理此種結構異常報文的能力。在結構變異中，應保證非變異部分字段值于有效范圍。上下文異常測試根據協議規約，發送前置報文，使測試對象協議狀態機處于指定狀態，在該狀態下向測試對象發送非預期協議報文，考察測試對象處理此種上下文異常的能力。非預期報文可從當前協議狀態下不應收到的報文類型中選取。測試應覆蓋協議狀態機所有狀態。風暴測試根據協議規約，選取一種報文類型，構造或捕獲該協議狀態的典型通信樣本，以線速或接近測試對象最大處理能力的速率發送樣本報文，并持續一段時間，考察測試對象在風暴停止后，其網絡服務能否在合理時間內恢復正常。如測試對象具備控制功能，可同時考察測試對象在風暴測試過程中其控制輸出有無異常。風暴測試應覆蓋協議規約中的所有報文類型。異常監測異常監測包括網絡服務監測和控制功能監測，主要用于考察測試對象在報文錯誤注入測試、報文結構變異測試、上下文異常測試或風暴測試中，其網絡狀態或控制功能是否出現異常。網絡服務監測網絡服務監測要求如下：在報文錯誤注入測試、報文結構變異測試和上下文異常測試過程中，應對測試對象的網絡狀態進行實時監測，考察測試對象的網絡狀態在測試過程中是否出現異常。對于風暴測試，應在風暴停止后監測測試對象的網絡狀態，考察測試對象的網絡狀態能否在合理時間內恢復正常?？蓮牟煌瑢用鎸y試對象網絡狀態進行監測，如通過ICMP協議監測測試對象的IP可達性、通過SNMP協議監測測試對象的系統狀態、通過工控協議端口狀態監測測試對象工控服務的可用性、通過工控協議狀態監測報文或控制報文監測測試對象的協議功能有無異常。應為測試對象設定合理的網絡狀態監測周期，監測周期過短會降低測試效率、過長會導致異常狀態被遺漏。對于測試對象系統或服務進程重啟速度較快、出現異常難以發現的情況，可采用基于TCP長連接的協議功能監測方式進行異常監測。控制功能監測對于具備控制功能的測試對象，可通過專用信號采集模塊對測試對象的控制輸出波形進行實時采集與分析，可根據測試對象廠商聲明的控制輸出抖動最大容差和置信度（一般不低于95%），考察測試過程中控制輸出是否出現異常抖動。注2：抖動是指信號事件被檢測到的時間與基于參考信號的預期時間之間的差異。在需要精確同步的工業場合，異常抖動會導致控制過程中的不確定性。注3：置信度以百分比表示，表示預期有該比例的抖動測量值小于最大容差。例如抖動最大容差為50ms和置信度為95%，則意味著預計95%的抖動測量值將小于50ms。測試方法報文錯誤注入測試針對協議規約的每種報文類型，構造或捕獲該類型報文的典型通信樣本，對通信樣本中各字段進行錯誤注入，生成測試報文并發送給測試對象，考察測試對象處理此種異常報文的能力。單字段變異測試單字段變異測試方法如下：預置條件：對測試對象進行配置，使其工控協議相關業務功能處于有效狀態。如測試對象支持控制功能，配置其控制輸出模塊周期性輸出指定波形，用于控制功能監測。檢測步驟：啟動異常監測器，對測試對象的網絡服務狀態或控制輸出進行實時監測。根據協議規約，選定一種協議報文類型，構造或捕獲該類型報文的通信樣本，樣本內容應與測試對象配置參數相匹配。向測試對象發送樣本報文，分析測試對象反饋報文，驗證樣本報文能否被正確處理。如樣本報文類型需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送樣本報文。如樣本報文可被正確處理，則基于樣本報文，選定一個報文字段，根據字段類型對該字段值進行變異；同時重新計算報文長度、校驗和、簽名等字段值，以保證非變異字段的有效性；生成測試報文，發送給測試對象，監測測試對象有無異常。如樣本報文需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送測試報文。重復步驟4，依次遍歷該字段需覆蓋的全部變異值。重復步驟4-5，依次對樣本報文所有字段進行變異。重復步驟2-6，依次對協議規約中約定的所有報文類型進行單字段變異測試。可根據測試對象性能調整測試報文發送速率和異常監測周期，以提升測試效率。預期結果：在測試過程中，異常監測器未檢測到測試對象的網絡狀態異常（如IP不可達、TCP/UDP工控協議服務端口不可達、協議功能異常等）或控制輸出異常。判定原則：測試結果應與預期結果相符。字段組合變異測試字段組合變異測試方法如下：預置條件：對測試對象進行配置，使其工控協議相關業務功能處于有效狀態。如測試對象支持控制功能，配置其控制輸出模塊周期性輸出指定波形，用于控制功能監測。檢測步驟：啟動異常監測器，對測試對象的網絡服務狀態或控制輸出進行實時監測。根據協議規約，選定一種協議報文類型，構造或捕獲該類型報文的通信樣本，樣本內容應與測試對象配置參數相匹配。向測試對象發送樣本報文，分析測試對象反饋報文，驗證樣本報文能否被正確處理。如樣本報文類型需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送樣本報文。如樣本報文可被正確處理，則基于樣本報文，從中選取兩個或多個字段組合進行變異；同時重新計算報文長度、校驗和、簽名等字段值，以保證非變異字段的有效性；生成測試報文，發送給測試對象，監測測試對象有無異常。如樣本報文類型需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送測試報文。重復步驟4，依次遍歷選定字段的所有變異值組合。重復步驟4-5，依次選取重要功能字段或語義相關字段進行組合變異。重復步驟2-6，依次對協議規約中約定的所有報文類型進行組合變異。可根據測試對象性能調整測試報文發送速率和異常監測周期，以提升測試效率。預期結果：在測試過程中，異常監測器未檢測到測試對象的網絡狀態異常（如IP不可達、TCP/UDP工控協議服務端口不可達、協議功能異常等）或控制輸出異常。判定原則：測試結果應與預期結果相符。報文結構變異測試報文結構變異測試方法如下：預置條件：對測試對象進行配置，使其工控協議相關業務功能處于有效狀態。如測試對象支持控制功能，配置其控制輸出模塊周期性輸出指定波形，用于控制功能監測。檢測步驟：啟動異常監測器，對測試對象的網絡服務狀態或控制輸出進行實時監測。根據協議規約，選定一種協議報文類型，構造或捕獲該類型報文的通信樣本，樣本內容應與測試對象配置參數相匹配。向測試對象發送樣本報文，分析測試對象反饋報文，驗證樣本報文能否被正確處理。如樣本報文類型需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送樣本報文。如樣本報文可被正確處理，則基于樣本報文，從中選取一個報文結構對其進行變異；同時重新計算報文長度、校驗和、簽名等字段值，以保證非變異字段值的有效性；生成測試報文，發送給測試對象，監測測試對象有無異常。如樣本報文類型需要測試對象處于特定協議狀態，則應先發送前置報文使其到達測試所需狀態，再發送測試報文。重復步驟5，依次對選定報文結構進行各種變異，包括復制、刪除、截斷、位置變換等。重復步驟4-5，依次遍歷樣本報文的所有結構。重復步驟2-6，依次對協議規約中約定的所有報文類型進行結構變異測試。可根據測試對象性能調整測試報文發送速率和異常監測周期，以提升測試效率。預期結果：在測試過程中，異常監測器未檢測到測試對象的網絡狀態異常（如IP不可達、TCP/UDP工控協議服務端口不可達、協議功能異常等）或控制輸出異常。判定原則：測試結果應與預期結果相符。上下文異常測試預置條件：對測試對象進行配置，使其工控協議相關業務功能處于有效狀態。如測試對象支持控制功能，配置其控制輸出模塊周期性輸出指定波形，用于控制功能監測。檢測步驟：啟動異常監測器，對測試對象的網絡服務狀態或控制輸出進行實時監測。根據協議規約，選定一種協議狀態，發送前置報文使測試對象到達測試所需協議狀態。向測試對象發送該協議狀態下的非預期報文，非預期報文應為格式和內容均正確且與測試對象配置參數相匹配的報文，監測測試對象有無異常。重復步驟3，至少覆蓋3種非預期報文。非預期報文類型應盡量為當前狀態語義相關報文。重復步驟2-4，依次對協議規約中約定的所有協議狀態進行上下文異常測試。預期結果：在測試過程中，異常監測器未檢測到測試對象的網絡狀態異常（如IP不可達、TCP/UDP工控協議服務端口不可達、