(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211113950.6 (22)申请日 2022.09.14 (71)申请人 中国移动通信集团有限公司 地址 100032 北京市西城区金融大街2 9号 (72)发明人 于乐　邱勤　张弘扬　马禹昇　 (74)专利代理 机构 深圳市世纪恒程知识产权代 理事务所 4 4287 专利代理师 王径武 (51)Int.Cl. H04W 12/126(2021.01) H04L 9/40(2022.01) (54)发明名称 漏洞安全检测方法、 装置、 设备及存 储介质 (57)摘要 本申请公开了一种漏洞安全检测方法、 装 置、 设备及存储介质， 所述漏洞安全检测方法包 括： 获取预设移动通信网络仿真模 型的网络协议 中各组件间的交互消息； 基于所述交互消息， 确 定所述网络协议的控制流消息状态 转换图； 基于 预设变异算法， 对所述控制流消息状态转换图中 的控制流消息进行变异， 并检测变异后控制流消 息是否异常， 生成相应的测试用例； 执行并验证 所述测试用例， 得到检测结果。 本申请对预建设 的移动通信网络仿真模型进行漏洞测试， 通过分 析模型的组件之间交互的消息序列， 得到进行测 试的控制流消息状态转换图， 并通过对控制流消 息的变异， 实现了对漏洞的全面挖掘， 以此可 以 检测出更多类型的漏洞， 提高了漏洞检测的实用 性和效率。 权利要求书2页 说明书16页 附图4页 CN 115515139 A 2022.12.23 CN 115515139 A 1.一种漏洞安全检测方法， 其特 征在于， 所述漏洞安全检测方法包括： 获取预设移动通信网络 仿真模型的网络协议中各组件间的交 互消息； 基于所述交 互消息， 确定所述网络协议的控制流消息状态转换图； 基于预设变异算法， 对所述控制流消息状态转换图中的控制流消息进行变异， 并检测 变异后控制流消息是否异常， 生成相应的测试用例； 执行并验证所述测试用例， 得到检测结果。 2.如权利要求1所述的漏洞安全检测方法， 其特征在于， 所述基于所述交互消息， 确定 所述网络协议的控制流消息状态转换图的步骤， 包括： 确定所述网络协议中包 含所述交 互消息的交 互数据包； 对所述交互数据包进行图属性分析， 得到图属性向量， 并基于所述图属性向量， 确定所 述网络协议的控制流消息状态转换图。 3.如权利要求2所述的漏洞安全检测方法， 其特征在于， 所述对所述交互数据包进行图 属性分析， 得到图属性向量， 并基于所述图属性向量， 确定所述网络协 议的控制流消息状态 转换图的步骤， 包括： 对所述交 互数据包进行粗粒度分析， 得到控制流向量； 对所述交互数据包进行细粒度分析， 得到各组件的状态向量和各组件 间消息传递的方 向向量； 基于所述控制流向量、 所述状态向量和所述方向向量， 组成所述网络协议的控制流消 息状态转换图。 4.如权利要求1所述的漏洞安全检测方法， 其特征在于， 所述基于预设变异算法， 对所 述控制流消息状态转换图中的控制流消息进行变异， 并检测变异后控制流消息是否异常， 生成相应的测试用例的步骤， 包括： 基于预设变异算法， 对所述控制流消息状态转换图中的控制流消息进行执行顺序变异 和消息值变异， 并检测变异后控制流消息是否异常， 得到第一变异结果； 筛选所述第一变异结果， 并将所述第一变异结果中的异常结果确定为测试用例。 5.如权利要求4所述的漏洞安全检测方法， 其特征在于， 所述基于预设变异算法， 对所 述控制流消息状态转换图中的控制流消息进 行执行顺序变异和消息值变异， 并检测变异后 控制流消息是否异常， 得到第一变异结果的步骤， 包括： 基于预设变异算法， 对所述控制流消息状态转换图中的控制流消息的执行顺序进行全 图随机化， 并检测变异后控制流消息是否异常， 得到第二变异结果； 对所述控制流消息状态转换图中的控制流消息的消息值进行随机化， 并检测变异后控 制流消息是否异常， 得到第三变异结果； 对所述控制流消息状态转换图中的控制流消息的执行顺序和消息值同时进行随机化， 并检测变异后控制流消息是否异常， 得到第四变异结果； 基于所述第二变异结果、 所述第三变异结果和所述第四变异结果， 组成第一变异结果。 6.如权利要求1所述的漏洞安全检测方法， 其特征在于， 所述执行并验证所述测试用 例， 得到检测结果的步骤， 包括： 执行所述测试用例， 得到异常测试 结果； 对所述异常测试 结果进行分析， 得到导 致异常的漏洞攻击原理信息；权　利　要　求　书 1/2 页 2 CN 115515139 A 2基于所述漏洞攻击原理信息， 确定攻击指令， 并在所述移动通信网络仿真模型中执行 所述攻击指令， 得到检测结果。 7.如权利要求6所述的漏洞安全检测方法， 其特征在于， 所述基于所述漏洞攻击原理， 确定相应的攻击指令， 并在所述移动通信网络仿真模型中执行所述攻击指令， 得到检测结 果的步骤， 包括： 基于所述漏洞攻击原理， 调用预设的指令攻击库中相应的攻击指令； 在所述移动 通信网络仿真模型中执行所述攻击指令， 并监 听所述移动通信网络仿真模 型的通信是否异常， 得到检测结果。 8.一种漏洞安全检测装置， 其特 征在于， 所述漏洞安全检测装置包括： 获取模块， 用于获取 预设移动通信网络 仿真模型的网络协议中各组件间的交 互消息； 确定模块， 用于基于所述交 互消息， 确定所述网络协议的控制流消息状态转换图； 变异模块， 用于基于预设变异算法， 对所述控制流消息状态转换图中的控制流消息进 行变异， 并检测变异后控制流消息是否异常， 生成相应的测试用例； 验证模块， 用于执 行并验证所述测试用例， 得到检测结果。 9.一种漏洞安全检测设备， 其特征在于， 所述漏洞安全检测设备包括： 存储器、 处理器 以及存储在存储器上的用于实现所述漏洞安全检测方法的程序， 所述存储器用于存 储实现漏洞安全检测方法的程序； 所述处理器用于执行实现所述漏洞安全检测方法的程序， 以实现如权利要求1至7中任 一项所述漏洞安全检测方法的步骤。 10.一种存储介质， 其特征在于， 所述存储介质上存储有实现漏洞安全检测方法的程 序， 所述实现漏洞安全检测方法的程序被处理器执行以实现如权利要求 1至7中任一项所述 漏洞安全检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115515139 A 3