[发明专利]一种报文字段相关性的评估方法、装置、系统及存储介质

说明书

本发明公开了一种报文字段相关性的评估方法、装置、系统及存储介质，该方法包括：将获取的待评估数据报文进行分组；根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算，得到多个熵值；根据由多个熵值和相应报文构成的熵数组进行作差，得到多个差值数组；根据多个差值数组分别提取每个差值数组的第m个字节进行求和，得到相关性数组；将相关性数组中超过预设阈值的数据报文作为相关性报文。本发明实施例提供的报文字段相关性的评估方法，通过信息熵的关联性来推测报文字段关联性，可以适用于未知报文和已知报文的字段相关性分析，可以有效解决报文相关性识别的难题。

技术领域

本发明涉及工业控制技术领域，具体涉及一种报文字段相关性的评估方法、装置、系统及存储介质。

背景技术

目前，随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域。与此同时，由于工业控制系统广泛采用通用软硬件、网络设施以及与企业管理信息系统的集成，导致工业控制系统越来越开放，并且与企业内网，甚至是与互联网产生了数据交换。因此需要针对工业控制设备开启工控漏洞挖掘。

目前，针对工业控制设备的漏洞挖掘较为通用的是Wurldtech的Achilles测试平台，该测试平台是针对工业控制设备对工控协议进行漏洞挖掘。现有的漏洞挖掘方法可以分为基于生成的模糊测试和基于变异的模糊测试两种，其中基于变异的方式是在正常流量下进行抓包分析后得到变异数据。同时，在采用基于变异的方式时需要生成多个测试用例。然而对于测试用例的生成，单字段往往会导致大量无效测试报文的产生，因此，如何减少无效测试报文的产生称为亟待解决的技术问题。

发明内容

有鉴于此，本发明实施例提供了一种报文字段相关性的评估方法、装置、系统及存储介质，以解决现有技术中采用单字段生成测试用例往往会导致大量无效测试报文的产生的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种报文字段相关性的评估方法，该评估方法包括：将获取的待评估数据报文进行分组；根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算，得到多个熵值；根据由多个熵值和相应报文构成的熵数组进行作差，得到多个差值数组；根据多个差值数组分别提取每个差值数组的第m个字节进行求和，得到相关性数组；将相关性数组中超过预设阈值的数据报文作为相关性报文。

进一步地，根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算之前，还包括：根据字节计算每组待评估数据报文的长度；比较每组待评估数据报文的长度，获取数据报文长度的最小值N。

进一步地，n的取值为正整数，且n小于等于N。

进一步地，根据由多个熵值和相应报文构成的熵数组进行作差，得到多个差值数组，包括：将每个熵值和计算相应熵值的报文进行组合，得到多个熵数组；根据多个熵数组将相邻两个熵数组作差，得到多个差值数组。

本发明实施例第二方面提供一种报文字段相关性的评估装置，该评估装置包括：分组模块，用于将获取的待评估数据报文进行分组；信息熵计算模块，用于根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算，得到多个熵值；作差模块，用于根据由多个熵值和相应报文构成的熵数组进行作差，得到多个差值数组；求和模块，用于根据多个差值数组分别提取每个差值数组的第m个字节进行求和，得到相关性数组；相关性确定模块，用于将相关性数组中超过预设阈值的数据报文作为相关性报文。

本发明实施例第三方面提供一种报文字段相关性的评估系统，该评估系统包括上位机、测试装置及被测设备，所述测试装置分别与所述上位机和所述被测设备连接，所述测试装置获取所述被测设备输出的待评估数据报文，应用本发明实施例第一方面及第一方面任一项所述的报文字段相关性的评估方法获取相关性报文，并输出至所述上位机。