JP2024037666A - Fragility mining method and system for competitive industrial control system - Google Patents

Fragility mining method and system for competitive industrial control system Download PDF

Info

Publication number
JP2024037666A
JP2024037666A JP2023035068A JP2023035068A JP2024037666A JP 2024037666 A JP2024037666 A JP 2024037666A JP 2023035068 A JP2023035068 A JP 2023035068A JP 2023035068 A JP2023035068 A JP 2023035068A JP 2024037666 A JP2024037666 A JP 2024037666A
Authority
JP
Japan
Prior art keywords
model
industrial control
detection target
vulnerability
firmware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2023035068A
Other languages
Japanese (ja)
Other versions
JP7421260B1 (en
Inventor
楊浩
Hao Yang
肖勇才
Yongcai Xiao
徐健
Chen Dong
章玲玲
Lingling Zhang
劉曠也
Kuangye Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Application granted granted Critical
Publication of JP7421260B1 publication Critical patent/JP7421260B1/en
Publication of JP2024037666A publication Critical patent/JP2024037666A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a fragility mining method and system for a competitive industrial control system.
SOLUTION: The method includes: step S100 of receiving an industrial control model uploaded by an employee and dividing the industrial control model to obtain a sub model including a number; step S200 of, based on the sub model including the number, generating a virtual detection target model corresponding to the industrial control model; step S300 of transmitting the virtual detection target model to a pre-set detection end and receiving fragility information fed back from the detection end; and step S400 of subjecting the fragility information to statistics processing to update the detection end, wherein after securing information security, a plural side competitive fragility identification architecture is provided to enhance a fragility identification ability.
SELECTED DRAWING: Figure 1
COPYRIGHT: (C)2024,JPO&INPIT

Description

本発明は、モノのインターネット検出の技術分野、具体的には競合型工業制御システムの脆弱性マイニング方法及びシステムに関する。 The present invention relates to the technical field of Internet of Things detection, specifically to a method and system for vulnerability mining of competitive industrial control systems.

工業制御システムの脆弱性識別プロセスは、通常、社内の人員によって行われ、社内の人員の数は多くないため、多くの脆弱性を見出すことが困難であるが、これらの脆弱性は、使用中に暴露される可能性が高く、脆弱性識別プロセスにおいて複数側の人が参加できれば、脆弱性の識別プロセスをより完全にすることができる。 The vulnerability identification process for industrial control systems is usually done by in-house personnel, and the number of in-house personnel is not large, so it is difficult to find many vulnerabilities, but these vulnerabilities are The vulnerability identification process can be made more complete if multiple parties can participate in the vulnerability identification process.

具体的には、機器又はモジュールに脆弱性が存在するか否かを判断しようとすると、それをパイプライン全体に配置し、全体的に分析する必要があるが、パイプライン、特に制御コード付きのパイプライン自体は、企業の機密であり、それをその他の検出側に送信すると、商業秘密を漏洩しやすい。なお、検出側が脆弱性を検出した場合、検出側が脆弱性を隠すことを選択し、そしてこの脆弱性を利用して工業制御モデルを攻撃することができ、これには大きなセキュリティ上の危険性がある。そのため、どのように複数側の検出プロセスの安全性を高めるかは、本発明の技術案が解決しようとする技術課題である。 Specifically, when trying to determine whether a vulnerability exists in a device or module, it is necessary to place it throughout the pipeline and analyze it holistically. The pipeline itself is a company secret, and sending it to other detection parties is likely to compromise commercial secrets. Note that if the detector detects a vulnerability, the detector can choose to hide the vulnerability and use this vulnerability to attack the industrial control model, which poses a major security risk. be. Therefore, how to improve the security of the multi-side detection process is a technical problem that the technical solution of the present invention is intended to solve.

本発明の目的は、上記背景技術における問題を解決するための競合型工業制御システムの脆弱性マイニング方法及びシステムを提供することである。 An object of the present invention is to provide a method and system for mining vulnerabilities in competitive industrial control systems to solve the problems in the background art described above.

上記目的を実現するために、本発明は、以下の技術案を提供する。 In order to achieve the above object, the present invention provides the following technical solution.

競合型工業制御システムの脆弱性マイニング方法であって、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得ることと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成することであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であることと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信することであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信することと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新することとを含む。 A vulnerability mining method for competitive industrial control systems, the method comprising:
receiving an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and dividing the industrial control model to obtain a submodel including a number;
generating a virtual detection target model corresponding to an industrial control model based on a submodel including a number, wherein the virtual detection target model includes only one real submodel, and the other submodels are is also a replacement model, and the label of the virtual detection target model is the number of the real submodel;
transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end, the method comprising: transmitting one virtual detection target model to at least two different detection ends; and,
The method includes statistically processing vulnerability information and updating a detection end based on the vulnerability information.

本発明のさらなる態様としては、前記の、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るステップは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得ることと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視することと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定することと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けすることとを含む。 In a further aspect of the invention, the step of receiving an industrial control model uploaded by an employee and dividing the industrial control model to obtain sub-models including numbers includes:
receiving a firmware model and its data transmission relationship uploaded by an employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
inputting progressive input data to a starting firmware model of the industrial control model and monitoring output data of each firmware model in real time;
Calculating a stable value of output data of each firmware model and determining a dividing point based on the stable value;
dividing the industrial control model based on the dividing points to obtain sub-models, and numbering the sub-models based on the position order of the sub-models in the industrial control model.

本発明のさらなる態様としては、前記の、各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するステップは、
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。 As a further aspect of the present invention, the step of calculating the stable value of the output data of each firmware model and determining the dividing point based on the stable value,
establishing a temporary storage table corresponding to the firmware model;
When new output data is read, this output data is compared with the last data in the temporary storage table and a deviation rate is calculated;
When the deviation rate reaches a preset deviation rate threshold, inserting new output data into a temporary storage table as end data;
After inputting all the input data, query the input data corresponding to each data in the temporary storage table, calculate the difference between corresponding adjacent input data, and obtain a difference sequence;
calculating a stable value of this firmware model based on the difference sequence, and marking this firmware model as a dividing point when the stable value reaches a preset stability threshold.

本発明のさらなる態様としては、前記の、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するステップは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングすることと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会することと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成することとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。 As a further aspect of the present invention, the step of generating a virtual detection target model corresponding to the industrial control model based on the submodel including the number,
reading the submodel including the number and marking the submodel as a real submodel in the copied industrial control model based on the number;
sequentially reading non-marking submodels in the copied industrial control model and querying a preset model registration library for a replacement model;
Connecting the replacement model and the real sub-model to generate a virtual detection target model corresponding to the industrial control model,
Here, the label of the virtual detection target model is determined by the number of the marked real sub-model.

本発明のさらなる態様としては、前記の、前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するステップは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去することと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録することと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信することとを含む。 As a further aspect of the present invention, the step of transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end includes:
inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
A virtual detection target model with identity information removed and a preset information template are sent to at least two registered detection ends, and when the detection end receives the virtual detection target model, vulnerability information is generated based on the information template. to record the
and receiving vulnerability information fed back by the sensing end, which includes an identification code of the sensing end.

本発明のさらなる態様としては、前記の、脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するステップは、
各仮想検出対象モデルに対応する脆弱性情報を順に統計することと、
各脆弱性情報とその他の脆弱性情報との類似度を順に演算し、各脆弱性情報の類似度配列を得ることと、
前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定することと、
前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新することとを含む。 As a further aspect of the present invention, the step of statistically processing the vulnerability information and updating the detection end based on the vulnerability information,
Sequentially statistics vulnerability information corresponding to each virtual detection target model;
Sequentially calculating the similarity between each vulnerability information and other vulnerability information to obtain a similarity array for each vulnerability information;
determining a difference value between each piece of vulnerability information and other vulnerability information based on the similarity array;
The method includes modifying the accuracy of each detection end based on the difference value, and updating the detection end in real time based on the accuracy.

本発明の技術案は、競合型工業制御システムの脆弱性マイニングシステムをさらに提供し、前記システムは、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュールと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュールであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュールと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュールであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュールと、
脆弱性情報を統計し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュールとを含む。 The technical solution of the present invention further provides a vulnerability mining system for competitive industrial control systems, the system comprising:
A model for receiving an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and dividing said industrial control model to obtain sub-models including numbers. split module;
A model replacement module for generating a virtual detection target model corresponding to an industrial control model based on a submodel including a number, the virtual detection target model including only one real submodel, and other submodels. The models are all replacement models, and the label of the virtual detection target model is the number of the real sub-model, a model replacement module;
A feedback information receiving module for transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end, the feedback information receiving module transmitting the virtual detection target model to at least two different detection ends. a feedback information receiving module to send to the end;
and a vulnerability information statistics module for statistics on vulnerability information and updating a detection end based on the vulnerability information.

本発明のさらなる態様としては、前記モデル分割モジュールは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。 As a further aspect of the present invention, the model division module comprises:
a connection unit for receiving a firmware model and its data transmission relationship uploaded by an employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
a data monitoring unit for inputting progressive input data to the starting firmware model of the industrial control model and monitoring output data of each firmware model in real time;
a division point determination unit for calculating a stable value of output data of each firmware model and determining division points based on the stable value;
and a number unit for dividing the industrial control model based on the dividing point to obtain sub-models, and numbering the sub-models based on the position order of the sub-models in the industrial control model.

本発明のさらなる態様としては、前記モデル置き換えモジュールは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。 In a further aspect of the invention, the model replacement module comprises:
a marking unit for reading a submodel including a number and marking the submodel as a real submodel in the copied industrial control model based on the number;
a query unit for sequentially reading non-marking submodels in the copied industrial control model and querying a replacement model in a preset model registration library;
an execution unit for connecting the replacement model and the real sub-model and generating a virtual detection target model corresponding to the industrial control model;
Here, the label of the virtual detection target model is determined by the number of the marked real sub-model.

本発明のさらなる態様としては、前記フィードバック情報受信モジュールは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。 As a further aspect of the present invention, the feedback information receiving module comprises:
a removal unit for inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
A virtual detection target model with identity information removed and a preset information template are sent to at least two registered detection ends, and when the detection end receives the virtual detection target model, vulnerability information is generated based on the information template. a data transmission unit for recording;
and a data receiving unit for receiving vulnerability information fed back by the detection end, which includes an identification code of the detection end.

従来技術と比較すると、本発明の有益な効果は、以下のとおりである。本発明では、工業制御モデルを分割し、サブモデルを得、そしてサブモデルをベースとして、いくつかの仮想モデルを拡張し、拡張後の仮想モデルを複数の検出側に送信し、複数の検出側によりフィードバックされた脆弱性情報を受信する時、脆弱性情報を統計処理する一方、統計した脆弱性情報に基づいて検出側を調整し、情報安全を確保した上で、競合型の複数側の脆弱性識別アーキテクチャを提供し、脆弱性識別能力を高める。 Compared with the prior art, the beneficial effects of the present invention are as follows. In the present invention, an industrial control model is divided, sub-models are obtained, several virtual models are expanded based on the sub-models, and the expanded virtual models are sent to multiple detection sides. When receiving vulnerability information fed back by Provides a gender identification architecture and enhances vulnerability identification capabilities.

本発明の実施例における技術案をより明瞭に説明するために、以下に実施例又は従来技術の記述において使用する必要がある図面を簡単に説明し、自明なことに、以下の記述における図面は、本発明のいくつかの実施例に過ぎない。
競合型工業制御システムの脆弱性マイニング方法のフローチャートである。 競合型工業制御システムの脆弱性マイニング方法の第一のサブフローチャートである。 競合型工業制御システムの脆弱性マイニング方法の第二のサブフローチャートである。 競合型工業制御システムの脆弱性マイニング方法の第三のサブフローチャートである。 競合型工業制御システムの脆弱性マイニング方法の第四のサブフローチャートである。 競合型工業制御システムの脆弱性マイニングシステムの構成構造ブロック図である。 In order to more clearly explain the technical solutions in the embodiments of the present invention, the drawings that need to be used in the embodiments or the description of the prior art are briefly described below, and it is self-evident that the drawings in the following description are , are just some embodiments of the invention.
2 is a flowchart of a vulnerability mining method for competitive industrial control systems. 1 is a first sub-flowchart of a vulnerability mining method for a competitive industrial control system; 2 is a second sub-flowchart of the competitive industrial control system vulnerability mining method; 3 is a third sub-flowchart of a vulnerability mining method for a competitive industrial control system; FIG. 4 is a fourth sub-flowchart of the competitive industrial control system vulnerability mining method; FIG. FIG. 2 is a block diagram of the configuration of a vulnerability mining system for a competitive industrial control system.

本発明が解決しようとする技術課題、技術案及び有益な効果をより明瞭にするために、以下、図面及び実施例を結び付けながら、本発明についてさらに詳細に説明する。理解すべきこととして、ここに記述されている具体的な実施例は、本発明を解釈するためのものに過ぎず、且つ本発明を限定するためのものではない。 In order to make the technical problems, technical solutions, and beneficial effects to be solved by the present invention more clearly, the present invention will be described in more detail below with reference to the drawings and embodiments. It is to be understood that the specific examples described herein are merely for interpretation of the invention and are not intended to limit the invention.

図1は、競合型工業制御システムの脆弱性マイニング方法のフローチャートであり、本発明の実施例では、競合型工業制御システムの脆弱性マイニング方法であって、前記方法は、ステップS100~ステップS400を含む。 FIG. 1 is a flowchart of a vulnerability mining method for a competitive industrial control system, and in an embodiment of the present invention, the method includes steps S100 to S400. include.

ステップS100:接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得、
前記ファームウェアモデルは、インテリジェント化プラントにおける各機器又は機器における集積モジュールに対応し、前記工業制御モデルは、インテリジェント化プラントにおける各機器が共同で構成するパイプラインに対応し、工業制御モデルは、従業員によって構築され且つアップロードされ、前記工業制御モデルは、複数のファームウェアモデルによって接続されてなり、各ファームウェアモデルにはいずれも、従業員によって書き込まれた制御コードが存在し、従業員は、工業制御モデルをアップロードするとともに、該当する制御コードをアップロードする。 Step S100: Receive an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and divide the industrial control model to obtain a sub-model containing a number. ,
The firmware model corresponds to each device or an integrated module in the device in the intelligent plant, the industrial control model corresponds to a pipeline jointly constituted by each device in the intelligent plant, and the industrial control model corresponds to a pipeline jointly constituted by each device in the intelligent plant. The industrial control model is built and uploaded by a company, and the industrial control model is connected by multiple firmware models, each firmware model has a control code written by an employee, and the industrial control model and the corresponding control code.

ステップS200:番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成し、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であり、
ファームウェアモデルに脆弱性が存在するか否かを判断しようとすると、それを工業制御モデルに配置し、全体的に分析する必要があるが、工業制御モデル、特に制御コード付きの工業制御モデル自体は、企業の機密であり、それをその他の検出側に送信すると、商業秘密を漏洩しやすい。なお、検出側が脆弱性を検出した場合、彼は脆弱性を隠し、そしてこの脆弱性を利用して工業制御モデルを攻撃することができ、これには大きなセキュリティ上の危険性がある。 Step S200: Generate a virtual detection target model corresponding to the industrial control model based on the submodel including the number, and the virtual detection target model includes only one real submodel and does not include any other submodels. is a replacement model, and the label of the virtual detection target model is the number of the real submodel,
When trying to determine whether a vulnerability exists in a firmware model, it is necessary to place it in an industrial control model and analyze it as a whole, but the industrial control model itself, especially the industrial control model with control code, , is a company secret, and sending it to other detection parties is likely to leak commercial secrets. Note that if the detector detects a vulnerability, he can hide the vulnerability and use this vulnerability to attack the industrial control model, which has a big security risk.

上記問題を解決する方式は、いずれか一つのサブモデル(ファームウェアモデルのセット)に対して脆弱性の識別を行おうとすると、実工業制御モデルからこのサブモデルを抽出し、そしてその他の位置でのサブモデルを置き換え、最終的に工業制御モデルと類似するモデル、即ち仮想検出対象モデルを得ることである。 The method to solve the above problem is that when attempting to identify vulnerabilities for any one submodel (a set of firmware models), this submodel is extracted from the actual industrial control model, and then The purpose is to replace the submodels and finally obtain a model similar to the industrial control model, that is, a virtual detection target model.

ステップS300:前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信し、ここで、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信し、
仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報は、仮想検出対象モデル全体の脆弱性情報であり、ここで、本格的に価値があるのは、実サブモデルに関する部分である。 Step S300: Send the virtual detection target model to a preset detection end, receive vulnerability information fed back by the detection end, and transmit one virtual detection target model to at least two different detection ends. death,
The virtual detection target model is sent to a preset detection end, and the vulnerability information fed back by the detection end is the vulnerability information of the entire virtual detection target model. Here, the real value is: This is the part related to the actual submodel.

注意すべきこととして、脆弱性識別プロセスをより正確にするために、同じ仮想検出対象モデルを異なる検出端に送信し、検出端の検出方式は、コンピュータ機器に基づくインテリジェント化識別プロセスであってもよく、検出端により自律的に決定される人工識別プロセスであってもよく、具体的に限定しない。 It should be noted that in order to make the vulnerability identification process more accurate, the same virtual detection target model can be sent to different detection ends, and the detection method of the detection end may be an intelligent identification process based on computer equipment. It may also be an artificial identification process that is determined autonomously by the detection end, and is not specifically limited.

ステップS400:脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新し、
すべての脆弱性情報を統計処理し、工業制御モデルの脆弱性情報を得る。その上で、各仮想検出対象モデルは、いずれも異なる検出端に対応するため、脆弱性情報に基づいてさらに検出端に対して実力又は信用面の評価を行うことができる。 Step S400: Statistically processing the vulnerability information and updating the detection end based on the vulnerability information,
Statistically process all vulnerability information to obtain vulnerability information for industrial control models. In addition, since each virtual detection target model corresponds to a different detection end, it is possible to further evaluate the ability or trustworthiness of the detection end based on the vulnerability information.

図2は、競合型工業制御システムの脆弱性マイニング方法の第一のサブフローチャートであり、前記の、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るステップは、ステップS101~ステップS104を含む。 FIG. 2 is a first sub-flowchart of a vulnerability mining method for a competitive industrial control system, in which the industrial control model uploaded by an employee is received, the industrial control model is divided, and the industrial control model is divided into numbers. The step of obtaining a sub-model includes steps S101 to S104.

ステップS101:従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得、
ステップS102:工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視し、
ステップS103:各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定し、
ステップS104:前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けし、
上記内容は、サブモデルの分割プロセスについて具体的に記述し、一般的に、サブモデルの分割プロセスは、工業制御モデルにおけるファームウェアモデルを分類することであり、同じ種類のファームウェアモデルは、共同で一つのサブモデルを構成する。その重点は、分割点の決定プロセスにあると考えられる。 Step S101: receiving the firmware model and its data transmission relationship uploaded by the employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
Step S102: input progressive input data to the starting firmware model of the industrial control model, monitor the output data of each firmware model in real time,
Step S103: Calculate the stable value of the output data of each firmware model, determine the dividing point based on the stable value,
Step S104: dividing the industrial control model based on the dividing points to obtain submodels, and numbering the submodels based on the positional order of the submodels in the industrial control model;
The above content specifically describes the sub-model division process. Generally speaking, the sub-model division process is to classify the firmware models in the industrial control model, and the same type of firmware models are jointly integrated. consists of two submodels. The emphasis is thought to be on the process of determining the dividing points.

工業制御モデルでは、各ファームウェアモデルは、順序があり、信号伝送方向に順に配列されている。始めてのファームウェアモデルに信号を入力し、すべてのファームウェアモデルは、いずれも出力し、入力信号が絶えずに変化する(規則的な漸進型)とともに、各ファームウェアモデルの出力も変化し、あるファームウェアモデルの出力変化幅が大きくなければ、その出力位置を一つの分割とすることができる。 In the industrial control model, each firmware model is ordered and arranged in sequence in the signal transmission direction. A signal is input to the first firmware model, and all firmware models output a signal, and as the input signal changes continuously (regularly progressive), the output of each firmware model also changes, and the output of each firmware model changes. If the output change range is not large, the output position can be divided into one division.

さらに、前記の、各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するステップは、
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。 Furthermore, the step of calculating the stable value of the output data of each firmware model and determining the dividing point based on the stable value,
establishing a temporary storage table corresponding to the firmware model;
When new output data is read, this output data is compared with the last data in the temporary storage table and a deviation rate is calculated;
When the deviation rate reaches a preset deviation rate threshold, inserting new output data into a temporary storage table as end data;
After inputting all the input data, query the input data corresponding to each data in the temporary storage table, calculate the difference between corresponding adjacent input data, and obtain a difference sequence;
calculating a stable value of this firmware model based on the difference sequence, and marking this firmware model as a dividing point when the stable value reaches a preset stability threshold.

本発明の技術案の一つの実例では、ファームウェアモデルの出力がある程度変化した場合、二つの出力に対応する入力信号がどのくらい変化したかを照会し、変化が多ければ多いほど、このファームウェアモデルが安定していることが説明される。前記一時記憶テーブルの機能は、ある程度変化したいくつかの出力データを見つけることであり、これらの出力データによって、対応する入力信号を照会することができ、これらの入力信号間の差分は、数列を構成することができ、この数列は、入力信号がどのくらい変化するたびに、出力データが変化するかを表し、これは、その安定性に関連する。 In one example of the technical solution of the present invention, when the output of the firmware model changes to a certain extent, it inquires how much the input signals corresponding to the two outputs have changed, and the more changes, the more stable this firmware model becomes. What is being done is explained. The function of said temporary storage table is to find some output data that has changed to a certain extent, and by these output data, the corresponding input signals can be queried, and the difference between these input signals can be expressed as a number sequence. This number sequence represents how much the input signal changes each time the output data changes, which is related to its stability.

具体的に、数列によって安定値を決定するプロセスは、変換式を介する必要があり、この変換式は、経験式に属し、従業員によって自律的に決定される。 Specifically, the process of determining a stable value by a numerical sequence needs to go through a conversion formula, and this conversion formula belongs to the empirical formula and is determined autonomously by employees.

図3は、競合型工業制御システムの脆弱性マイニング方法の第二のサブフローチャートであり、前記の、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するステップは、ステップS201~ステップS203を含む。 FIG. 3 is a second sub-flowchart of the vulnerability mining method for a competitive industrial control system, in which the step of generating a virtual detection target model corresponding to the industrial control model based on the sub-model including the number is , including steps S201 to S203.

ステップS201:番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングし、
ステップS202:コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会し、
ステップS203:置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成し、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。 Step S201: reading a submodel including a number, and marking the submodel as a real submodel in the copied industrial control model based on the number;
Step S202: Read the non-marking submodels in the copied industrial control model in order, and inquire for a replacement model in a preset model registration library,
Step S203: Connect the replacement model and the real sub-model to generate a virtual detection target model corresponding to the industrial control model,
Here, the label of the virtual detection target model is determined by the number of the marked real sub-model.

上記内容は、仮想検出対象モデルの生成プロセスを限定し、注意すべきこととして、従来の工業制御モデルは、読み取り専用ファイルであり、後続の修正を行うには、まずコピーする必要がある。 The above content limits the generation process of the virtual detection target model, and it should be noted that the traditional industrial control model is a read-only file and needs to be copied first for subsequent modifications.

図4は、競合型工業制御システムの脆弱性マイニング方法の第三のサブフローチャートであり、前記の、前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するステップは、ステップS301~ステップS303を含む。 FIG. 4 is a third sub-flowchart of the vulnerability mining method for a competitive industrial control system, in which the virtual detection target model is transmitted to a preset detection end, and the vulnerability information is fed back by the detection end. The step of receiving information includes steps S301 to S303.

ステップS301:前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去し、
ステップS302:アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録し、
ステップS303:検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信する。 Step S301: inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
Step S302: Send the virtual detection target model from which identity information has been removed and a preset information template to at least two registered detection terminals, and when the detection terminal receives the virtual detection target model, based on the information template, Record vulnerability information,
Step S303: Receive vulnerability information fed back by the detection end, including the identification code of the detection end.

仮想検出対象モデルを検出端に送信する必要があり、検出端に送信する前、仮想検出対象モデルにおけるアイデンティティ情報を除去し、安全性をさらに高める必要がある。なお、検出端に仮想検出対象モデルを送信するとともに、情報テンプレートを送信する必要があり、検出端の脆弱性情報は、この情報テンプレートに基づいて生成され、その目的は、後続の処理を容易にすることである。 It is necessary to send the virtual detection object model to the detection end, and before sending it to the detection end, it is necessary to remove the identity information in the virtual detection object model to further improve security. In addition, it is necessary to send an information template along with the virtual detection target model to the detection end, and the vulnerability information of the detection end is generated based on this information template, and its purpose is to facilitate subsequent processing. It is to be.

図5は、競合型工業制御システムの脆弱性マイニング方法の第四のサブフローチャートであり、前記の、脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するステップは、ステップS401~ステップS404を含む。 FIG. 5 is a fourth sub-flowchart of the vulnerability mining method for a competitive industrial control system, in which the step of statistically processing the vulnerability information and updating the detection end based on the vulnerability information is the step of Includes steps S401 to S404.

ステップS401:各仮想検出対象モデルに対応する脆弱性情報を順に蓄積し、
ステップS402:各脆弱性情報とその他の脆弱性情報との類似度を順に計算しし、各脆弱性情報の類似度配列を得、
ステップS403:前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定し、
ステップS404:前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新する。 Step S401: Sequentially accumulate vulnerability information corresponding to each virtual detection target model,
Step S402: Calculate the similarity between each vulnerability information and other vulnerability information in order, obtain a similarity array for each vulnerability information,
Step S403: Based on the similarity array, determine the difference value between each vulnerability information and other vulnerability information,
Step S404: Correct the accuracy of each detection end based on the difference value, and update the detection end in real time based on the accuracy.

脆弱性情報の統計処理プロセスについては、詳細に説明する必要はなく、従来のデータベース技術を利用して完了することができる。上記内容は、検出端の更新プロセスを記述し、その原理は、以下のとおりである。脆弱性情報が予め設定される情報テンプレートに基づいて取得されるため、簡単な比較プロセスにより、各脆弱性情報とその他の脆弱性情報との差異度(類似度配列)を判断することができることによって、その他の脆弱性情報と明らかに異なるいくつかの脆弱性情報をスクリーニングすることができ、この時、従業員は、これらの明らかに異なる脆弱性情報を検証することで、どれらの検出端の結果に問題が存在するかを迅速に判断し、さらにその正確度を修正することができ、ある検出端の正確度が低すぎる場合、検出端から除去する。 The statistical processing process of vulnerability information does not need to be explained in detail and can be completed using conventional database technology. The above content describes the updating process of the detection end, the principle of which is as follows. Since vulnerability information is obtained based on a preset information template, it is possible to determine the degree of difference (similarity array) between each vulnerability information and other vulnerability information through a simple comparison process. , some vulnerability information that is clearly different from other vulnerability information can be screened, and at this time, employees can check which vulnerability information is detected by verifying these clearly different vulnerability information. It is possible to quickly determine if there is a problem with the results and further correct its accuracy; if a detector has too low accuracy, remove it from the detector.

図6は、競合型工業制御システムの脆弱性マイニングシステムの構成構造ブロック図であり、本発明の実施例では、競合型工業制御システムの脆弱性マイニングシステムであって、前記システム10は、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュール11と、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュール12であって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュール12と、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュール13であって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュール13と、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュール14とを含む。 FIG. 6 is a structural block diagram of a vulnerability mining system for a competitive industrial control system. In an embodiment of the present invention, the system 10 is a vulnerability mining system for a competitive industrial control system.
A model for receiving an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and dividing said industrial control model to obtain sub-models including numbers. division module 11;
A model replacement module 12 for generating a virtual detection target model corresponding to an industrial control model based on a submodel including a number, wherein the virtual detection target model includes only one real submodel and other A model replacement module 12 in which each of the submodels is a replacement model, and the label of the virtual detection target model is the number of the real submodel;
A feedback information receiving module 13 for transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end, the feedback information receiving module 13 transmitting one virtual detection target model to at least two different a feedback information receiving module 13 that transmits to the detection end;
It includes a vulnerability information statistics module 14 for statistically processing vulnerability information and updating a detection end based on the vulnerability information.

前記モデル分割モジュール11は、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。 The model division module 11 includes:
a connection unit for receiving a firmware model and its data transmission relationship uploaded by an employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
a data monitoring unit for inputting progressive input data to the starting firmware model of the industrial control model and monitoring output data of each firmware model in real time;
a division point determination unit for calculating a stable value of output data of each firmware model and determining division points based on the stable value;
and a number unit for dividing the industrial control model based on the dividing point to obtain sub-models, and numbering the sub-models based on the position order of the sub-models in the industrial control model.

前記モデル置き換えモジュール12は、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。 The model replacement module 12 includes:
a marking unit for reading a submodel including a number and marking the submodel as a real submodel in the copied industrial control model based on the number;
a query unit for sequentially reading non-marking submodels in the copied industrial control model and querying a replacement model in a preset model registration library;
an execution unit for connecting the replacement model and the real sub-model and generating a virtual detection target model corresponding to the industrial control model;
Here, the label of the virtual detection target model is determined by the number of the marked real sub-model.

前記フィードバック情報受信モジュール13は、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。 The feedback information receiving module 13 includes:
a removal unit for inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
A virtual detection target model with identity information removed and a preset information template are sent to at least two registered detection ends, and when the detection end receives the virtual detection target model, vulnerability information is generated based on the information template. a data transmission unit for recording;
and a data receiving unit for receiving vulnerability information fed back by the detection end, which includes an identification code of the detection end.

以上は、本発明の好適な実施例にすぎず、本発明を限定するためのものではなく、本発明の精神と原則内に行われた任意の修正、等価置換や改良などは、いずれも本発明の保護範囲内に含まれるべきである。 The foregoing is only a preferred embodiment of the present invention, and is not intended to limit the present invention, and any modifications, equivalent substitutions, improvements, etc. made within the spirit and principles of the present invention are not intended to limit the present invention. should be included within the scope of protection of the invention.

Claims (10)

競合型工業制御システムの脆弱性マイニング方法であって、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得ることであって、前記ファームウェアモデルは、インテリジェント化プラントにおける各機器又は機器における集積モジュールに対応し、前記工業制御モデルは、インテリジェント化プラントにおける各機器が共同で構成するパイプラインに対応することと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成することであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であることと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信することであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信することと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新することとを含む、ことを特徴とする競合型工業制御システムの脆弱性マイニング方法。 A vulnerability mining method for competitive industrial control systems, the method comprising:
Receiving an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and dividing said industrial control model to obtain a sub-model including a number. The firmware model corresponds to each device in the intelligent plant or an integrated module in the device, and the industrial control model corresponds to a pipeline configured jointly by each device in the intelligent plant;
generating a virtual detection target model corresponding to an industrial control model based on a submodel including a number, wherein the virtual detection target model includes only one real submodel, and the other submodels are is also a replacement model, and the label of the virtual detection target model is the number of the real submodel;
transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end, the method comprising: transmitting one virtual detection target model to at least two different detection ends; and,
1. A method for mining vulnerabilities in a competitive industrial control system, comprising the steps of statistically processing vulnerability information and updating a detection end based on the vulnerability information. 前記の、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るステップは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得ることと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視することと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定することと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けすることとを含む、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニング方法。 The step of receiving the industrial control model uploaded by the employee and dividing the industrial control model to obtain sub-models including the numbers includes:
receiving a firmware model and its data transmission relationship uploaded by an employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
inputting progressive input data to a starting firmware model of the industrial control model and monitoring output data of each firmware model in real time;
Calculating a stable value of output data of each firmware model and determining a dividing point based on the stable value;
1 . The method of claim 1 , further comprising dividing the industrial control model based on the division points to obtain submodels, and numbering the submodels based on the positional order of the submodels in the industrial control model. Vulnerability mining method for competitive industrial control systems described in . 前記の、各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するステップは、
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む、ことを特徴とする請求項2に記載の競合型工業制御システムの脆弱性マイニング方法。 The step of calculating the stable value of the output data of each firmware model and determining the dividing point based on the stable value,
establishing a temporary storage table corresponding to the firmware model;
When new output data is read, this output data is compared with the last data in the temporary storage table and a deviation rate is calculated;
When the deviation rate reaches a preset deviation rate threshold, inserting new output data into a temporary storage table as end data;
After inputting all the input data, query the input data corresponding to each data in the temporary storage table, calculate the difference between corresponding adjacent input data, and obtain a difference sequence;
Calculating a stable value of this firmware model based on the difference sequence, and marking this firmware model as a dividing point when the stable value reaches a preset stability threshold. The method for mining vulnerabilities in a competitive industrial control system according to item 2. 前記の、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するステップは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングすることと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会することと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成することとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニング方法。 The step of generating a virtual detection target model corresponding to the industrial control model based on the sub-model including the number,
reading the submodel including the number and marking the submodel as a real submodel in the copied industrial control model based on the number;
sequentially reading non-marking submodels in the copied industrial control model and querying a preset model registration library for a replacement model;
Connecting the replacement model and the real sub-model to generate a virtual detection target model corresponding to the industrial control model,
2. The vulnerability mining method for a competitive industrial control system according to claim 1, wherein the label of the virtual detection target model is determined by a number of a marked real sub-model. 前記の、前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するステップは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去することと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録することと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信することとを含む、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニング方法。 The step of transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end includes:
inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
A virtual detection target model with identity information removed and a preset information template are sent to at least two registered detection ends, and when the detection end receives the virtual detection target model, vulnerability information is generated based on the information template. to record the
2. The vulnerability mining method for a competitive industrial control system according to claim 1, further comprising receiving vulnerability information fed back by the detection end, which includes an identification code of the detection end. 前記の、脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するステップは、
各仮想検出対象モデルに対応する脆弱性情報を順に蓄積することと、
各脆弱性情報とその他の脆弱性情報との類似度を順に計算し、各脆弱性情報の類似度配列を得ることと、
前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定することと、
前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新することとを含む、ことを特徴とする請求項5に記載の競合型工業制御システムの脆弱性マイニング方法。 The step of statistically processing the vulnerability information and updating the detection end based on the vulnerability information,
Sequentially accumulating vulnerability information corresponding to each virtual detection target model,
Sequentially calculating the similarity between each vulnerability information and other vulnerability information to obtain a similarity array for each vulnerability information;
determining a difference value between each piece of vulnerability information and other vulnerability information based on the similarity array;
The competitive industrial control system according to claim 5, further comprising: correcting the accuracy of each detection end based on the difference value, and updating the detection end in real time based on the accuracy. Vulnerability mining methods. 競合型工業制御システムの脆弱性マイニングシステムであって、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュールと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュールであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュールと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュールであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュールと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュールとを含む、ことを特徴とする競合型工業制御システムの脆弱性マイニングシステム。 A vulnerability mining system for competitive industrial control systems,
A model for receiving an industrial control model uploaded by an employee, including a connected firmware model and a control code downloaded to the firmware model, and dividing said industrial control model to obtain sub-models including numbers. split module;
A model replacement module for generating a virtual detection target model corresponding to an industrial control model based on a submodel including a number, the virtual detection target model including only one real submodel, and other submodels. The models are all replacement models, and the label of the virtual detection target model is the number of the real sub-model, a model replacement module;
A feedback information receiving module for transmitting the virtual detection target model to a preset detection end and receiving vulnerability information fed back by the detection end, the feedback information receiving module transmitting the virtual detection target model to at least two different detection ends. a feedback information receiving module to send to the end;
A vulnerability mining system for a competitive industrial control system, comprising a vulnerability information statistics module for statistically processing vulnerability information and updating a detection end based on the vulnerability information. 前記モデル分割モジュールは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む、ことを特徴とする請求項7に記載の競合型工業制御システムの脆弱性マイニングシステム。 The model division module is
a connection unit for receiving a firmware model and its data transmission relationship uploaded by an employee, and connecting the firmware model based on the data transmission relationship to obtain an industrial control model;
a data monitoring unit for inputting progressive input data to the starting firmware model of the industrial control model and monitoring output data of each firmware model in real time;
a division point determination unit for calculating a stable value of output data of each firmware model and determining division points based on the stable value;
and a number unit for dividing the industrial control model based on the dividing point to obtain submodels and numbering the submodels based on the positional order of the submodels in the industrial control model. The vulnerability mining system for competitive industrial control systems according to claim 7. 前記モデル置き換えモジュールは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される、ことを特徴とする請求項7に記載の競合型工業制御システムの脆弱性マイニングシステム。 The model replacement module is
a marking unit for reading a submodel including a number and marking the submodel as a real submodel in the copied industrial control model based on the number;
a query unit for sequentially reading non-marking submodels in the copied industrial control model and querying a replacement model in a preset model registration library;
an execution unit for connecting the replacement model and the real sub-model and generating a virtual detection target model corresponding to the industrial control model;
8. The vulnerability mining system for a competitive industrial control system according to claim 7, wherein the label of the virtual detection target model is determined by the number of the marked real sub-model. 前記フィードバック情報受信モジュールは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む、ことを特徴とする請求項7に記載の競合型工業制御システムの脆弱性マイニングシステム。 The feedback information receiving module includes:
a removal unit for inputting the virtual detection target model into a trained data desensitization model and removing identity information in the virtual detection target model;
A virtual detection target model with identity information removed and a preset information template are sent to at least two registered detection ends, and when the detection end receives the virtual detection target model, vulnerability information is generated based on the information template. a data transmission unit for recording;
8. Vulnerability mining for a competitive industrial control system according to claim 7, further comprising: a data receiving unit for receiving vulnerability information fed back by the detecting end, the data receiving unit including an identification code of the detecting end. system.
JP2023035068A 2022-09-07 2023-03-07 Vulnerability mining method and system for competitive industrial control systems Active JP7421260B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202211087380.8A CN115174276B (en) 2022-09-07 2022-09-07 Competitive industrial control system vulnerability mining method and system
CN202211087380.8 2022-09-07

Publications (2)

Publication Number Publication Date
JP7421260B1 JP7421260B1 (en) 2024-01-24
JP2024037666A true JP2024037666A (en) 2024-03-19

Family

ID=83481519

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023035068A Active JP7421260B1 (en) 2022-09-07 2023-03-07 Vulnerability mining method and system for competitive industrial control systems

Country Status (2)

Country Link
JP (1) JP7421260B1 (en)
CN (1) CN115174276B (en)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4396585B2 (en) 2005-06-21 2010-01-13 三菱電機株式会社 Vulnerability diagnosis program and recording medium recording vulnerability diagnosis program
US9692778B1 (en) * 2014-11-11 2017-06-27 Symantec Corporation Method and system to prioritize vulnerabilities based on contextual correlation
CN106487813A (en) * 2016-12-13 2017-03-08 北京匡恩网络科技有限责任公司 Industry control network safety detecting system and detection method
EP3402153A1 (en) * 2017-05-12 2018-11-14 Nokia Solutions and Networks Oy Cloud infrastructure vulnerabilities assessment background
US10505955B2 (en) * 2017-08-22 2019-12-10 General Electric Company Using virtual sensors to accommodate industrial asset control systems during cyber attacks
US10805329B2 (en) * 2018-01-19 2020-10-13 General Electric Company Autonomous reconfigurable virtual sensing system for cyber-attack neutralization
CN109558736B (en) * 2018-11-22 2022-12-09 浙江国利网安科技有限公司 Industrial unknown threat construction method and threat generation system for enriching industrial control system attack samples
CN110059726A (en) * 2019-03-22 2019-07-26 中国科学院信息工程研究所 The threat detection method and device of industrial control system
CN110661778A (en) * 2019-08-14 2020-01-07 中国电力科学研究院有限公司 Method and system for testing industrial control network protocol based on reverse analysis fuzzy
CN110825630B (en) * 2019-10-31 2023-04-21 浙江国利信安科技有限公司 Vulnerability mining method and device
CN112231062A (en) * 2020-10-23 2021-01-15 中国航天系统工程有限公司 Safety test system and method for programmable industrial controller
JP2022103894A (en) 2020-12-28 2022-07-08 株式会社日立製作所 Risk evaluation device and risk evaluation method
CN114037270A (en) * 2021-11-08 2022-02-11 奇安信科技集团股份有限公司 Industrial control safety evaluation system and method
CN114265360A (en) * 2021-12-28 2022-04-01 四川启睿克科技有限公司 Industrial control system network security test box, fuzzy test method and attack demonstration method
CN114579972A (en) * 2022-01-17 2022-06-03 北京中科微澜科技有限公司 Vulnerability identification method and system for embedded development program

Also Published As

Publication number Publication date
CN115174276A (en) 2022-10-11
CN115174276B (en) 2022-12-30
JP7421260B1 (en) 2024-01-24

Similar Documents

Publication Publication Date Title
CN114915478B (en) Network attack scene identification method, system and storage medium of intelligent park industrial control system based on multi-agent distributed correlation analysis
CN114022904B (en) Noise robust pedestrian re-identification method based on two stages
CN111190792A (en) Log storage method and device, electronic equipment and readable storage medium
CN109615080B (en) Unsupervised model evaluation method and device, server and readable storage medium
CN115526641A (en) Flexible board product production quality tracing method, system, device and storage medium
CN114493255A (en) Enterprise abnormity monitoring method based on knowledge graph and related equipment thereof
CN109445406B (en) Industrial control system safety detection method based on scene test and transaction search
CN112380073B (en) Fault position detection method and device and readable storage medium
JP7421260B1 (en) Vulnerability mining method and system for competitive industrial control systems
Ma et al. A parallel heuristic reduction based approach for distribution network fault diagnosis
CN117240522A (en) Vulnerability intelligent mining method based on attack event model
CN115660540B (en) Cargo tracking method, cargo tracking device, computer equipment and storage medium
CN108040067B (en) Cloud platform intrusion detection method, device and system
CN111935089B (en) Data processing method based on big data and edge calculation and artificial intelligence server
CN114969761A (en) Log anomaly detection method based on LDA theme characteristics
CN111722977A (en) System inspection method and device and electronic equipment
KR20210043925A (en) Data collection device including hardware collector
CN111143643A (en) Element identification method and device, readable storage medium and electronic equipment
CN114926154B (en) Protection switching method and system for multi-scene data identification
CN112632609B (en) Abnormality detection method, abnormality detection device, electronic device, and storage medium
CN116488948B (en) Machine behavior abnormality detection method, device, equipment and medium
US20220366666A1 (en) Feature Vector Generation using Neural Networks
CN117216597A (en) Data anomaly detection method and device, storage medium and computer equipment
CN117914526A (en) Method and system for analyzing and tracing abnormal communication behaviors of persistent storage
CN113469833A (en) Remote intelligent detection and processing method supporting industrial internet equipment

Legal Events

Date Code Title Description
A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230626

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230627

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231031

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240111

R150 Certificate of patent or registration of utility model

Ref document number: 7421260

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150