[发明专利]一种基于反样本的工控网络协议漏洞挖掘方法

说明书

本发明公开了一种基于反样本的工控网络协议漏洞挖掘方法，以Modbus TCP协议报文作为测试用例，构建工业控制系统的漏洞挖掘测试用例生成模型。该方法先通过循环神经网络学习协议数据单元的语义并使用带温度参数的Softmax层表示数据值的概率分布；之后再比较随机可变阈值与最大概率的关系决定是否用极小概率的数据值替换当前数据值以增加工控异常的可能性，最后根据协议规范用随机值补充协议MBAP报文头部分构成完整的测试用例。本方法能解决工控网络协议的高冗余与低效性问题，提高用例漏洞挖掘能力。

技术领域

本发明涉及工业控制网络安全领域，特别涉及一种基于反样本的工控网络协议语义学习和漏洞挖掘方法。

背景技术

随着工业4.0等互联网技术的提出，工业控制系统不断将自动化与智能化紧密结合，网络安全风险也随之而来。工控系统广泛应用于能源、水利、交通运输、制造等领域，利用漏洞攻击工控设备的次数有增无减。

近年来，罗克韦尔自动化公司MicroLogix 1400系列PLC中存在多项严重安全漏洞，引起拒绝服务攻击、篡改设备配置等攻击；乌克兰能源和煤炭工业部网站遭黑客攻击，造成网站瘫痪、主机中文件被加密。因此，需要时刻保护ICS免受网络攻击，维护工控系统的稳定性。目前，漏洞挖掘技术是保护工控系统安全的关键技术，快速可靠地生成有效的测试用例，便可在系统实施前发现安全漏洞，从而尽快采取安全措施防止系统遭受攻击。因此，如何快速构造大量、有效的测试用例成为了实现漏洞挖掘技术的热点问题之一。

传统的漏洞挖掘方法包括静态分析技术和动态分析技术两种，而模糊测试是实现动态分析技术的首要手段，也是挖掘工控系统漏洞的关键技术。模糊测试技术对设备所使用的网络通信协议进行健壮性测试，以此来发现工控设备协议组件的安全隐患和漏洞。国内外安全领域对漏洞挖掘技术的研究已具有一定的成功，但传统工控网络协议测试用例生成方法应用于工控漏洞挖掘过程从出现高冗余和低效性问题。面对日益严重的工控网络安全问题，工控网络协议的漏洞挖掘方法也在发展之中。

发明内容

为了解决上述问题，提出一种用于自动生成工控漏洞挖掘用例的反样本生成模型，以Modbus TCP协议报文作为测试用例。不仅能够提高用例接收率和漏洞挖掘能力，而且实现了对工控系统的快速检测。

为了达到本发明的目的，本发明采用的技术方案为一种基于反样本的工控网络协议漏洞挖掘方法，包括以下步骤：

1)生成测试用例：基于反样本算法构建的Modbus TCP报文测试用例生成模型。

2)测试用例存储：将生成的测试用例发送到工控设备同时进行用例存储，便于最终漏洞检测阶段查询引发异常的报文。

3)漏洞检测：对发送的测试用例，针对响应信息进行判断是否存在异常，异常发生时回调测试用例存储阶段的报文存储文件，查找引起异常的报文具体信息。

生成测试用例阶段的将Modbus TCP协议报文分为MBAP报文头和协议数据单元两部分，其中协议数据单元部分用神经网络学习其语义。以大量真实工业现场Modbus TCP协议通信报文作为学习数据集，预处理学习数据集中每一条学习报文，选取其协议数据单元部分，并为每一条报文增加一个结束数据值标志。

所述的生成测试用例阶段中的生成模型分为输入输出层和生成网络，生成网络分为协议语义分析层和生成策略层。协议语义分析层的作用是借助深度循环神经网络智能化的特征分析Modbus TCP报文的数据值分布特点，根据当前输入数据和已学习报文的隐藏信息通过带温度参数的Softmax层输出当前时间步的概率分布矩阵，以概率表达学习报文语义的准确程度，并生成一个0-1之间的随机值作为随机可变阈值。