PGNFuzz:基于指针生成网络的工业控制协议模糊测试框架

工业安全问题一直是重要而紧迫的全球性问题,工控协议被广泛应用于工业控制系统(Industrial Control System, ICS)组件之间的通信,其安全性关系到整个系统的安全稳定运行,迫切需要保证所有工控协议的安全。网络协议模糊测试对保证ICS的安全性和可靠性起着重要的作用,传统的模糊测试方法提高了工控协议的安全性,其中许多方法具有实际应用价值。然而,传统的模糊测试方法严重依赖于工控协议的规范,使得测试过程昂贵、耗时、麻烦和枯燥,如果规范不存在,任务就很难进行。因此,文中提出了一种基于指针生成网络(Pointer-Generator Networks, PGN)的智能且自动的协议模糊测试方法,并给出了一系列的性能指标。在此基础之上,设计了一个自动化智能应用模糊测试框架PGNFuzz,可用于各种工业控制协议。采用Modbus和EtherCAT等几种典型的工控协议对该框架的有效性和效率进行测试,实验结果表明,该方法在便捷性、有效性和效率方面均优于其他通用型模糊器(General Purpose Fuzzer, GPF)和其他基于深度学习的模糊测试方法。

基于LSTM和动态策略的定向灰盒模糊测试技术

定向模糊测试旨在快速生产测试用例,达到给定的程序目标位置区域并发现程序错误。但目前的定向模糊测试工具普遍存在测试效率较低的问题,为此提出了一种基于神经网络的定向灰盒模糊测试方法,通过学习过去的模糊探索输入文件中不同位置的变异模式以生成模型来预测当前种子能够产生输入增益的位置,从而指导模糊器进行优化突变。同时为了解决定向灰盒模糊器中探索与开发的权衡问题,引入了一种动态策略在模糊测试过程中自适应协调两个阶段。基于现有的模糊测试框架AFL实现了一个原型系统,命名为DYNFuzz,并在3个基准上对其进行了测试和评估,实验结果表明,DYNFuzz具有比其他模糊器更高的定向性能和测试效率,并且不会陷入由探索开发不平衡导致的局部困境。

基于设备行为的异常流量检测

为减少异常流量检测技术中流量特征的信息冗余,对不同类型流量多层面进行特征提取,提出一种基于设备行为的异常流量检测技术,对流量数据进行深度学习特征提取,综合提取到的数据时序特征、流量统计特征、协议,得到能够表征设备行为的特征。利用引入注意力机制的长短期记忆网络(long short-term memory,LSTM)训练数据提取时序特征,利用卷积神经网络(convolutional neural network,CNN)模型训练由时序特征矢量、流量统计特征、协议组成的高维流量特征完成深层次特征提取。通过在开源入侵检测数据集上进行实验,验证了该方法的有效性以及准确性。