本發明公開了基于模糊測試的工控蜜罐特征提取方法、系統及介質，方法包括：構建工控蜜罐測試環境；基于所述工控蜜罐測試環境以及預設的初始種子，通過報文生成器生成第一變異請求報文，并將所述第一變異請求報文發送給聯網測試設備；將所述聯網測試設備返回的響應報文傳送至所述報文生成器；通過所述報文生成器對所述響應報文進行分析；根據分析結果，基于預設的目標函數對所述第一變異請求報文進行迭代處理，生成滿足所述目標函數的閾值要求的第二變異請求報文；從所述第二變異請求報文中確定探測報文，并通過所述探測報文獲取蜜罐識別的特征。本發明能夠高效地構建出探測報文，提高了特征提取的準確性，可廣泛應用于工業控制系統技術領域。

技術領域

本發明涉及工業控制系統技術領域，尤其是基于模糊測試的工控蜜罐特征提取方法、系統及介質。

背景技術

工業4.0的背景下，工業控制系統(Industrial Control System,ICS)開放程度不斷加快，越來越多工業控制系統開始采用互聯網協議實現業務間的互聯互通。傳統的封閉模式到開放模式的轉變使得針對ICS的攻擊行為大幅度增長，ICS脆弱性逐漸顯現，其面臨的網絡安全問題也日益突出。工控系統安全研究已成為工業和信息化領域的重要研究方向。

為應對來自互聯網的網絡探測和入侵攻擊，越來越多的企業通過部署工控蜜罐的方式保護工控系統。工控蜜罐是一種檢測危險來源和收集攻擊數據的主動防御技術，通過欺騙攻擊者對工控蜜罐進行探測和入侵，從而收集攻擊者的攻擊信息，發現潛在的安全威脅。一方面，工控蜜罐可對攻擊來源進行溯源，對攻擊來源采取有針對性的預防措施；另一方面，工控蜜罐通過對不同攻擊的審計分析，發現和強化ICS的薄弱環節。然而，工控蜜罐的欺騙和反欺騙是一個攻防博弈的過程，隨著信息技術的不斷發展，針對蜜罐的識別技術也在相應的提高。因此，從攻擊者的角度來分析工控蜜罐識別技術，有助于針對性對工控蜜罐進行優化，提高工控蜜罐真實性。

工控蜜罐識別多采用基于業務交互的識別方法、基于數據包分片的識別方法和基于機器學習的識別方法等，這些方法的本質是基于工控蜜罐的特征進行識別，不同特征能夠從不同的方面判斷目標是否為工控蜜罐。工控蜜罐識別或者采用其中一種特征進行識別單一類型的工控蜜罐；或者采用多種特征，為每個特征分配識別權重和識別概率，權重通過機器學習方法獲取，初始識別概率由經驗值獲取，再通過機器學習進行校準，再由目標函數生成綜合的識別概率，通過識別概率和閾值比較判定目標是否為工控蜜罐。

目前，工控蜜罐的識別特征按照特征跟蜜罐的關系可劃分為：內部特征和外部特征。外部特征與蜜罐內部功能實現無關，如節點部署信息、操作系統指紋、網絡交互信息等；內部特征與蜜罐功能實現相關，如工控協議深度交互信息、組態程序調試信息、默認配置信息、蜜罐固有缺陷等。外部特征獲取已比較成熟，基于傳統方法即可獲??；內部特征涉及工控蜜罐的特性，需要專門方法獲取。目前，工控蜜罐內部特征一般基于專家知識通過人工分析方式找到特征，并有目的地構造探測報文，效率較低。

發明內容

有鑒于此，本發明實施例提供一種高效的基于模糊測試的工控蜜罐特征提取方法、系統及介質。

本發明的第一方面提供了一種基于模糊測試的工控蜜罐特征提取方法，包括：

構建工控蜜罐測試環境；

基于所述工控蜜罐測試環境以及預設的初始種子，通過報文生成器生成第一變異請求報文，并將所述第一變異請求報文發送給聯網測試設備；

將所述聯網測試設備返回的響應報文傳送至所述報文生成器；

通過所述報文生成器對所述響應報文進行分析；

根據分析結果，基于預設的目標函數對所述第一變異請求報文進行迭代處理，生成滿足所述目標函數的閾值要求的第二變異請求報文；

從所述第二變異請求報文中確定探測報文，并通過所述探測報文獲取蜜罐識別的特征。