[发明专利]一种基于反样本的工控网络协议漏洞挖掘方法

权利要求书

1.一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：包括以下步骤，

1）生成测试用例：先输入数据至生成网络中，然后输出数据构造测试用例生成模型；

2）测试用例存储：将生成的测试用例发送到工控设备时进行存储，最终漏洞检测阶段便于查询；

3）漏洞检测：对发送的测试用例，针对响应信息进行判断是否存在异常；

其中，生成网络包括协议语义分析层和生成策略层，通过协议语义分析层使用深度循环神经网络对数据集的语义进行学习；测试用例存储阶段中，对发送给工控设备的测试用例进行存储，当异常发生时，回调报文存储文件，提取发生异常的测试报文；

漏洞检测阶段中，先发送测试用例生成模型生成的测试用例再发送响应正常的测试用例的方式监控系统的运行状态；当异常发生时，再次将测试用例生成模型生成的测试用例发送至工控系统，分析工控系统异常发生前后的响应情况变化；若响应一致，判断请求与响应之间的特征关系；反之则系统运行异常，未检测出系统协议漏洞。

2.根据权利要求1所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：生成测试用例阶段将Modbus TCP协议报文分为MBAP报文头和协议数据单元两部分，其中协议数据单元部分用神经网络学习其语义。

3.根据权利要求1所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：使用大量真实工业现场Modbus TCP协议通信报文作为学习数据集。

4.根据权利要求1所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：预处理学习数据集中每一条学习报文，选取其协议数据单元部分，并为每一条报文增加一个结束数据值标志。

5.根据权利要求1所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：还包括循环神经网络用带温度参数的Softmax层作为最后一层，输出表达数据值的概率分布。

6.根据权利要求5所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：还包括生成一个0-1之间的随机值作为随机可变阈值。

7.根据权利要求1所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：当生成当前时间步的数据值时，生成策略层中通过输出的概率分布获得最大概率和最小概率，比较随机可变阈值与最大概率的关系。

8.根据权利要求7所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：比较的原则是当最大概率大于等于随机可变阈值时，选择最小概率的数据值作为输出值；当最大概率小于随机可变阈值时，选择最大概率的数据值作为输出值，直至生成结束数据值。

9.根据权利要求8所述的一种基于反样本的工控网络协议漏洞挖掘方法，其特征在于：还包括生成策略层之后根据协议规范用随机值补充协议MBAP报文头部分。