[发明专利]一种基于改进的生成对抗网络框架的漏洞挖掘方法

说明书

本发明公开了一种基于改进的生成对抗网络框架的漏洞挖掘方法，提出一种改进的生成对抗网络模型框架，解决了测试用例生成过程中目标函数训练效果较差以及模型训练过程中的模式崩溃问题；接着，针对在训练过程中生成器网络从判别器网络中获得的反馈信息不足而造成收敛速度过慢，生成的测试用例质量不够高的问题，使得模型能够较快的完成收敛并且能够获得更高质量的测试用例；最后，设计并实现了基于Modbus‑TCP协议的漏洞挖掘系统，并在仿真环境以及真实工业环境中进行模糊测试试验；本发明提高测试用例的接收率以及能够触发被测目标的各种异常以及发现Modbus‑TCP协议的漏洞，从而解决了传统漏洞挖掘方法中存在的低接收率以及低漏洞挖掘能力的问题。

技术领域

本发明涉及工业控制系统的网络安全领域，特别是涉及一种基于改进的生成对抗网络框架的测试用例生成方法和基于Modbus-TCP协议的漏洞挖掘方法。

背景技术

工业控制系统在电力、石油、钢铁、轨道交通等影响国民生活的基建行业广泛应用，在促使传统工业进行产业升级，加快转型，社会生产力得到快速提升，制造业的生产运作过程将通过信息技术来自动化控制的同时，也迫使其自身也与外界的交互愈发频繁，使得原本相对封闭的环境逐步增大“曝光”面，导致面临的安全风险大大增加。

面对工控行业日益严峻的外部环境，找到一个有效的解决方法来提升系统的防御能力是当今的研究热点之一。漏洞挖掘技术作为一种针对未知漏洞的检测技术，作为一种检测工控系统中是否存在漏洞的关键技术，如何利用漏洞挖掘技术来挖掘工控系统中的漏洞成为近年来的研究热点之一。

传统信息系统的漏洞挖掘方法主要分为白盒方法、灰盒方法和黑盒方法3种。黑盒方法是指在对目标完全不了解的情况下进行的漏洞挖掘，典型的代表是模糊测试技术。由于工控系统私有性普遍较高的原因，模糊测试技术广泛应用在工业系统安全领域。近年来，国内外针对漏洞挖掘技术的研究已有一定的进展，但在工业控制协议测试用例构造方法在应用于漏洞挖掘实验过程中出现了低接收率和低漏洞挖掘率的问题。由于可知，如何构造大量有效的测试用例已成为工控安全领域的研究热点之一，也成为漏洞挖掘技术发展有待改进的研究点之一。

发明内容

为了解决上述问题，提出一种基于改进的生成对抗网络框架的漏洞挖掘方法，该方法以Modbus-TCP协议为研究对象，通过该框架的生成器模型能够生成大量的测试用例进行漏洞挖掘实验。通过实验表明，该方法不仅能够实时监听被测对象的运行状态，还提高了测试用例的接收率以及漏洞挖掘能力。

为了验证本发明的可用性以及实用性，本发明采用的实施方案包括以下步骤：

1)测试用例生成：基于动态的反馈学习机制的生成器模型进行对抗训练生成Modbus-TCP协议的测试用例；

2)异常监控处理：将生成的测试用例发送至测试目标并同时监控被测目标的运行状态，记录与存储异常并对被测目标的异常状态进行处理。

3)漏洞挖掘发现：对发送的测试用例，根据响应状态进行判断是否存在异常，并分析异常监控阶段存储的报文对文件，找出触发的漏洞。

在测试用例生成阶段中，减少无关信息对模型训练的影响，输送至判别器模型中的训练数据集为Modbus-TCP协议报文的协议数据单元部分；另外，模型的训练数据集是使用流量捕获工具直接从真实的工业环境中捕获原始的Modbus-TCP协议流量报文而来的。而且，在输入模型前会对每条报文序列进行预处理操作，在每条序列的头部和尾部分别插入开始标记和结束标记。

上述的测试用例生成阶段中的生成器模型包含两个模块，一个是特征转换模块，另一个是文本生成模块。其中，文本生成模块可以在系统整体开始训练前，单独使用真实样本进行有正确标签监督的预训练操作，而特征转换模块将判别器模型提取获得的高阶特征向量转换成潜因子向量，潜因子向量经过线性变换层的维度变换将与文本生成网络一起决定下一个字符的分布。