▶ 国網江西省電力有限公司電力科学研究院の特許一覧 ▶ 国家電網有限公司の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-01-16
(45)【発行日】2024-01-24
(54)【発明の名称】競合型工業制御システムの脆弱性マイニング方法及びシステム
(51)【国際特許分類】
G06F 21/57 20130101AFI20240117BHJP
【FI】
G06F21/57 370
【請求項の数】
4
(21)【出願番号】P 2023035068
(22)【出願日】2023-03-07
【審査請求日】2023-06-27
(31)【優先権主張番号】202211087380.8
(32)【優先日】2022-09-07
(33)【優先権主張国・地域又は機関】CN
【早期審査対象出願】
(73)【特許権者】
【識別番号】523083610
【氏名又は名称】国網江西省電力有限公司電力科学研究院
【氏名又は名称原語表記】State Grid Jiangxi Electric Power Research Institute
【住所又は居所原語表記】No.88, Minqiang Road, Qingshanhu District, Nanchang City, Jiangxi Province, 330096 China
(73)【特許権者】
【識別番号】518453590
【氏名又は名称】国家電網有限公司
(74)【代理人】
【識別番号】100088063
【弁理士】
【氏名又は名称】坪内 康治
(72)【発明者】
【氏名】楊浩
(72)【発明者】
【氏名】肖勇才
(72)【発明者】
【氏名】徐健
(72)【発明者】
【氏名】章玲玲
(72)【発明者】
【氏名】劉曠也
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2022-103894(JP,A)
【文献】特開2007-004291(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
競合型工業制御システムの脆弱性マイニングシステムであって、接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュールと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュールであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュールと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュールであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュールと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュールとを含む、ことを特徴とする競合型工業制御システムの脆弱性マイニングシステム。
【請求項2】
前記モデル分割モジュールは、従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニングシステム。
【請求項3】
前記モデル置き換えモジュールは、番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニングシステム。
【請求項4】
前記フィードバック情報受信モジュールは、前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む、ことを特徴とする請求項1に記載の競合型工業制御システムの脆弱性マイニングシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モノのインターネット検出の技術分野、具体的には競合型工業制御システムの脆弱性マイニング方法及びシステムに関する。
【背景技術】
【0002】
工業制御システムの脆弱性識別プロセスは、通常、社内の人員によって行われ、社内の人員の数は多くないため、多くの脆弱性を見出すことが困難であるが、これらの脆弱性は、使用中に暴露される可能性が高く、脆弱性識別プロセスにおいて複数側の人が参加できれば、脆弱性の識別プロセスをより完全にすることができる。
【0003】
具体的には、機器又はモジュールに脆弱性が存在するか否かを判断しようとすると、それをパイプライン全体に配置し、全体的に分析する必要があるが、パイプライン、特に制御コード付きのパイプライン自体は、企業の機密であり、それをその他の検出側に送信すると、商業秘密を漏洩しやすい。なお、検出側が脆弱性を検出した場合、検出側が脆弱性を隠すことを選択し、そしてこの脆弱性を利用して工業制御モデルを攻撃することができ、これには大きなセキュリティ上の危険性がある。そのため、どのように複数側の検出プロセスの安全性を高めるかは、本発明の技術案が解決しようとする技術課題である。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、上記背景技術における問題を解決するための競合型工業制御システムの脆弱性マイニング方法及びシステムを提供することである。
【課題を解決するための手段】
【0005】
上記目的を実現するために、本発明は、以下の技術案を提供する。
【0006】
競合型工業制御システムの脆弱性マイニング方法であって、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得ることと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成することであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であることと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信することであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信することと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新することとを含む。
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得ることと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成することであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であることと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信することであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信することと、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新することとを含む。
【0007】
本発明のさらなる態様としては、前記の、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るステップは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得ることと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視することと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定することと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けすることとを含む。
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得ることと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視することと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定することと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けすることとを含む。
【0008】
本発明のさらなる態様としては、前記の、各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するステップは、
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。
【0009】
本発明のさらなる態様としては、前記の、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するステップは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングすることと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会することと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成することとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングすることと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会することと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成することとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
【0010】
本発明のさらなる態様としては、前記の、前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するステップは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去することと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録することと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信することとを含む。
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去することと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録することと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信することとを含む。
【0011】
本発明のさらなる態様としては、前記の、脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するステップは、
各仮想検出対象モデルに対応する脆弱性情報を順に統計することと、
各脆弱性情報とその他の脆弱性情報との類似度を順に演算し、各脆弱性情報の類似度配列を得ることと、
前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定することと、
前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新することとを含む。
各仮想検出対象モデルに対応する脆弱性情報を順に統計することと、
各脆弱性情報とその他の脆弱性情報との類似度を順に演算し、各脆弱性情報の類似度配列を得ることと、
前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定することと、
前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新することとを含む。
【0012】
本発明の技術案は、競合型工業制御システムの脆弱性マイニングシステムをさらに提供し、前記システムは、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュールと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュールであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュールと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュールであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュールと、
脆弱性情報を統計し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュールとを含む。
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュールと、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュールであって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュールと、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュールであって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュールと、
脆弱性情報を統計し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュールとを含む。
【0013】
本発明のさらなる態様としては、前記モデル分割モジュールは、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。
【0014】
本発明のさらなる態様としては、前記モデル置き換えモジュールは、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
【0015】
本発明のさらなる態様としては、前記フィードバック情報受信モジュールは、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。
【0016】
従来技術と比較すると、本発明の有益な効果は、以下のとおりである。本発明では、工業制御モデルを分割し、サブモデルを得、そしてサブモデルをベースとして、いくつかの仮想モデルを拡張し、拡張後の仮想モデルを複数の検出側に送信し、複数の検出側によりフィードバックされた脆弱性情報を受信する時、脆弱性情報を統計処理する一方、統計した脆弱性情報に基づいて検出側を調整し、情報安全を確保した上で、競合型の複数側の脆弱性識別アーキテクチャを提供し、脆弱性識別能力を高める。
【図面の簡単な説明】
【0017】
本発明の実施例における技術案をより明瞭に説明するために、以下に実施例又は従来技術の記述において使用する必要がある図面を簡単に説明し、自明なことに、以下の記述における図面は、本発明のいくつかの実施例に過ぎない。
【図1】競合型工業制御システムの脆弱性マイニング方法のフローチャートである。
【図2】競合型工業制御システムの脆弱性マイニング方法の第一のサブフローチャートである。
【図3】競合型工業制御システムの脆弱性マイニング方法の第二のサブフローチャートである。
【図4】競合型工業制御システムの脆弱性マイニング方法の第三のサブフローチャートである。
【図5】競合型工業制御システムの脆弱性マイニング方法の第四のサブフローチャートである。
【図6】競合型工業制御システムの脆弱性マイニングシステムの構成構造ブロック図である。
【発明を実施するための形態】
【0018】
本発明が解決しようとする技術課題、技術案及び有益な効果をより明瞭にするために、以下、図面及び実施例を結び付けながら、本発明についてさらに詳細に説明する。理解すべきこととして、ここに記述されている具体的な実施例は、本発明を解釈するためのものに過ぎず、且つ本発明を限定するためのものではない。
【実施例1】
【0019】
図1は、競合型工業制御システムの脆弱性マイニング方法のフローチャートであり、本発明の実施例では、競合型工業制御システムの脆弱性マイニング方法であって、前記方法は、ステップS100~ステップS400を含む。
【0020】
ステップS100:接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得、
前記ファームウェアモデルは、インテリジェント化プラントにおける各機器又は機器における集積モジュールに対応し、前記工業制御モデルは、インテリジェント化プラントにおける各機器が共同で構成するパイプラインに対応し、工業制御モデルは、従業員によって構築され且つアップロードされ、前記工業制御モデルは、複数のファームウェアモデルによって接続されてなり、各ファームウェアモデルにはいずれも、従業員によって書き込まれた制御コードが存在し、従業員は、工業制御モデルをアップロードするとともに、該当する制御コードをアップロードする。
前記ファームウェアモデルは、インテリジェント化プラントにおける各機器又は機器における集積モジュールに対応し、前記工業制御モデルは、インテリジェント化プラントにおける各機器が共同で構成するパイプラインに対応し、工業制御モデルは、従業員によって構築され且つアップロードされ、前記工業制御モデルは、複数のファームウェアモデルによって接続されてなり、各ファームウェアモデルにはいずれも、従業員によって書き込まれた制御コードが存在し、従業員は、工業制御モデルをアップロードするとともに、該当する制御コードをアップロードする。
【0021】
ステップS200:番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成し、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であり、
ファームウェアモデルに脆弱性が存在するか否かを判断しようとすると、それを工業制御モデルに配置し、全体的に分析する必要があるが、工業制御モデル、特に制御コード付きの工業制御モデル自体は、企業の機密であり、それをその他の検出側に送信すると、商業秘密を漏洩しやすい。なお、検出側が脆弱性を検出した場合、彼は脆弱性を隠し、そしてこの脆弱性を利用して工業制御モデルを攻撃することができ、これには大きなセキュリティ上の危険性がある。
ファームウェアモデルに脆弱性が存在するか否かを判断しようとすると、それを工業制御モデルに配置し、全体的に分析する必要があるが、工業制御モデル、特に制御コード付きの工業制御モデル自体は、企業の機密であり、それをその他の検出側に送信すると、商業秘密を漏洩しやすい。なお、検出側が脆弱性を検出した場合、彼は脆弱性を隠し、そしてこの脆弱性を利用して工業制御モデルを攻撃することができ、これには大きなセキュリティ上の危険性がある。
【0022】
上記問題を解決する方式は、いずれか一つのサブモデル(ファームウェアモデルのセット)に対して脆弱性の識別を行おうとすると、実工業制御モデルからこのサブモデルを抽出し、そしてその他の位置でのサブモデルを置き換え、最終的に工業制御モデルと類似するモデル、即ち仮想検出対象モデルを得ることである。
【0023】
ステップS300:前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信し、ここで、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信し、
仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報は、仮想検出対象モデル全体の脆弱性情報であり、ここで、本格的に価値があるのは、実サブモデルに関する部分である。
仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報は、仮想検出対象モデル全体の脆弱性情報であり、ここで、本格的に価値があるのは、実サブモデルに関する部分である。
【0024】
注意すべきこととして、脆弱性識別プロセスをより正確にするために、同じ仮想検出対象モデルを異なる検出端に送信し、検出端の検出方式は、コンピュータ機器に基づくインテリジェント化識別プロセスであってもよく、検出端により自律的に決定される人工識別プロセスであってもよく、具体的に限定しない。
【0025】
ステップS400:脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新し、
すべての脆弱性情報を統計処理し、工業制御モデルの脆弱性情報を得る。その上で、各仮想検出対象モデルは、いずれも異なる検出端に対応するため、脆弱性情報に基づいてさらに検出端に対して実力又は信用面の評価を行うことができる。
すべての脆弱性情報を統計処理し、工業制御モデルの脆弱性情報を得る。その上で、各仮想検出対象モデルは、いずれも異なる検出端に対応するため、脆弱性情報に基づいてさらに検出端に対して実力又は信用面の評価を行うことができる。
【0026】
図2は、競合型工業制御システムの脆弱性マイニング方法の第一のサブフローチャートであり、前記の、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るステップは、ステップS101~ステップS104を含む。
【0027】
ステップS101:従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得、
ステップS102:工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視し、
ステップS103:各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定し、
ステップS104:前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けし、
上記内容は、サブモデルの分割プロセスについて具体的に記述し、一般的に、サブモデルの分割プロセスは、工業制御モデルにおけるファームウェアモデルを分類することであり、同じ種類のファームウェアモデルは、共同で一つのサブモデルを構成する。その重点は、分割点の決定プロセスにあると考えられる。
ステップS102:工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視し、
ステップS103:各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定し、
ステップS104:前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けし、
上記内容は、サブモデルの分割プロセスについて具体的に記述し、一般的に、サブモデルの分割プロセスは、工業制御モデルにおけるファームウェアモデルを分類することであり、同じ種類のファームウェアモデルは、共同で一つのサブモデルを構成する。その重点は、分割点の決定プロセスにあると考えられる。
【0028】
工業制御モデルでは、各ファームウェアモデルは、順序があり、信号伝送方向に順に配列されている。始めてのファームウェアモデルに信号を入力し、すべてのファームウェアモデルは、いずれも出力し、入力信号が絶えずに変化する(規則的な漸進型)とともに、各ファームウェアモデルの出力も変化し、あるファームウェアモデルの出力変化幅が大きくなければ、その出力位置を一つの分割とすることができる。
【0029】
さらに、前記の、各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するステップは、
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。
ファームウェアモデルに対応する一時記憶テーブルを確立することと、
新たな出力データを読み取ると、この出力データを一時記憶テーブルにおける末尾データと比較し、偏差率を計算することと、
前記偏差率が予め設定される偏差率閾値に達すると、新たな出力データを末尾データとして一時記憶テーブルに挿入することと、
すべての入力データを入力し終わると、一時記憶テーブルにおける各データに対応する入力データを照会し、対応する隣接した入力データの間の差分を計算し、差分数列を得ることと、
前記差分数列に基づいてこのファームウェアモデルの安定値を計算し、前記安定値が予め設定される安定閾値に達すると、このファームウェアモデルを分割点としてマーキングすることとを含む。
【0030】
本発明の技術案の一つの実例では、ファームウェアモデルの出力がある程度変化した場合、二つの出力に対応する入力信号がどのくらい変化したかを照会し、変化が多ければ多いほど、このファームウェアモデルが安定していることが説明される。前記一時記憶テーブルの機能は、ある程度変化したいくつかの出力データを見つけることであり、これらの出力データによって、対応する入力信号を照会することができ、これらの入力信号間の差分は、数列を構成することができ、この数列は、入力信号がどのくらい変化するたびに、出力データが変化するかを表し、これは、その安定性に関連する。
【0031】
具体的に、数列によって安定値を決定するプロセスは、変換式を介する必要があり、この変換式は、経験式に属し、従業員によって自律的に決定される。
【0032】
図3は、競合型工業制御システムの脆弱性マイニング方法の第二のサブフローチャートであり、前記の、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するステップは、ステップS201~ステップS203を含む。
【0033】
ステップS201:番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングし、
ステップS202:コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会し、
ステップS203:置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成し、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
ステップS202:コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会し、
ステップS203:置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成し、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
【0034】
上記内容は、仮想検出対象モデルの生成プロセスを限定し、注意すべきこととして、従来の工業制御モデルは、読み取り専用ファイルであり、後続の修正を行うには、まずコピーする必要がある。
【0035】
図4は、競合型工業制御システムの脆弱性マイニング方法の第三のサブフローチャートであり、前記の、前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するステップは、ステップS301~ステップS303を含む。
【0036】
ステップS301:前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去し、
ステップS302:アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録し、
ステップS303:検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信する。
ステップS302:アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録し、
ステップS303:検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信する。
【0037】
仮想検出対象モデルを検出端に送信する必要があり、検出端に送信する前、仮想検出対象モデルにおけるアイデンティティ情報を除去し、安全性をさらに高める必要がある。なお、検出端に仮想検出対象モデルを送信するとともに、情報テンプレートを送信する必要があり、検出端の脆弱性情報は、この情報テンプレートに基づいて生成され、その目的は、後続の処理を容易にすることである。
【0038】
図5は、競合型工業制御システムの脆弱性マイニング方法の第四のサブフローチャートであり、前記の、脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するステップは、ステップS401~ステップS404を含む。
【0039】
ステップS401:各仮想検出対象モデルに対応する脆弱性情報を順に蓄積し、
ステップS402:各脆弱性情報とその他の脆弱性情報との類似度を順に計算しし、各脆弱性情報の類似度配列を得、
ステップS403:前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定し、
ステップS404:前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新する。
ステップS402:各脆弱性情報とその他の脆弱性情報との類似度を順に計算しし、各脆弱性情報の類似度配列を得、
ステップS403:前記類似度配列に基づいて、各脆弱性情報とその他の脆弱性情報との差異値を決定し、
ステップS404:前記差異値に基づいて各検出端の正確度を修正し、正確度に基づいて検出端をリアルタイムに更新する。
【0040】
脆弱性情報の統計処理プロセスについては、詳細に説明する必要はなく、従来のデータベース技術を利用して完了することができる。上記内容は、検出端の更新プロセスを記述し、その原理は、以下のとおりである。脆弱性情報が予め設定される情報テンプレートに基づいて取得されるため、簡単な比較プロセスにより、各脆弱性情報とその他の脆弱性情報との差異度(類似度配列)を判断することができることによって、その他の脆弱性情報と明らかに異なるいくつかの脆弱性情報をスクリーニングすることができ、この時、従業員は、これらの明らかに異なる脆弱性情報を検証することで、どれらの検出端の結果に問題が存在するかを迅速に判断し、さらにその正確度を修正することができ、ある検出端の正確度が低すぎる場合、検出端から除去する。
【実施例2】
【0041】
図6は、競合型工業制御システムの脆弱性マイニングシステムの構成構造ブロック図であり、本発明の実施例では、競合型工業制御システムの脆弱性マイニングシステムであって、前記システム10は、
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュール11と、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュール12であって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュール12と、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュール13であって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュール13と、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュール14とを含む。
接続されたファームウェアモデルと、ファームウェアモデルにダウンロードされた制御コードとを含む、従業員によりアップロードされた工業制御モデルを受信し、前記工業制御モデルを分割し、番号を含むサブモデルを得るためのモデル分割モジュール11と、
番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成するためのモデル置き換えモジュール12であって、前記仮想検出対象モデルに一つの実サブモデルのみが含まれ、その他のサブモデルは、いずれも置き換えモデルであり、前記仮想検出対象モデルのラベルは、前記実サブモデルの番号であるモデル置き換えモジュール12と、
前記仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信するためのフィードバック情報受信モジュール13であって、一つの仮想検出対象モデルを少なくとも二つの異なる検出端に送信するフィードバック情報受信モジュール13と、
脆弱性情報を統計処理し、前記脆弱性情報に基づいて検出端を更新するための脆弱性情報統計モジュール14とを含む。
【0042】
前記モデル分割モジュール11は、
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。
従業員によりアップロードされたファームウェアモデル及びそのデータ伝送関係を受信し、前記データ伝送関係に基づいて前記ファームウェアモデルを接続し、工業制御モデルを得るための接続ユニットと、
工業制御モデルの開始ファームウェアモデルに漸進的な入力データを入力し、各ファームウェアモデルの出力データをリアルタイムに監視するためのデータ監視ユニットと、
各ファームウェアモデルの出力データの安定値を計算し、安定値に基づいて分割点を決定するための分割点決定ユニットと、
前記分割点に基づいて前記工業制御モデルを分割し、サブモデルを得、工業制御モデルにおけるサブモデルの位置順序に基づいてサブモデルを番号付けするための番号ユニットとを含む。
【0043】
前記モデル置き換えモジュール12は、
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
番号を含むサブモデルを読み取り、番号に基づいて、コピーされた工業制御モデルにおいてサブモデルを実サブモデルとしてマーキングするためのマーキングユニットと、
コピーされた工業制御モデルにおける非マーキングサブモデルを順に読み取り、予め設定されるモデル登録ライブラリにおいて置き換えモデルを照会するための照会ユニットと、
置き換えモデルと実サブモデルとを接続し、工業制御モデルに対応する仮想検出対象モデルを生成するための実行ユニットとを含み、
ここで、前記仮想検出対象モデルのラベルは、マーキングされた実サブモデルの番号によって決定される。
【0044】
前記フィードバック情報受信モジュール13は、
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。
前記仮想検出対象モデルを訓練されたデータ減感モデルに入力し、仮想検出対象モデルにおけるアイデンティティ情報を除去するための除去ユニットと、
アイデンティティ情報を除去した仮想検出対象モデルと予め設定される情報テンプレートを少なくとも二つの登録済みの検出端に送信し、前記検出端が仮想検出対象モデルを受信すると、前記情報テンプレートに基づいて脆弱性情報を記録するためのデータ送信ユニットと、
検出端の識別コードが含まれる、検出端によりフィードバックされた脆弱性情報を受信するためのデータ受信ユニットとを含む。
【0045】
以上は、本発明の好適な実施例にすぎず、本発明を限定するためのものではなく、本発明の精神と原則内に行われた任意の修正、等価置換や改良などは、いずれも本発明の保護範囲内に含まれるべきである。
【要約】 (修正有)
【課題】競合型工業制御システムの脆弱性マイニング方法及びシステムを提供する。
【解決手段】方法は、従業員によりアップロードされた工業制御モデルを受信し、工業制御モデルを分割し、番号を含むサブモデルを得てS100、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成しS200、仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信しS300、脆弱性情報を統計処理し、脆弱性情報に基づいて検出端を更新しS400、情報安全を確保した上で、競合型の複数側の脆弱性識別アーキテクチャを提供し、脆弱性識別能力を高める。
【選択図】図1
【解決手段】方法は、従業員によりアップロードされた工業制御モデルを受信し、工業制御モデルを分割し、番号を含むサブモデルを得てS100、番号を含むサブモデルに基づいて、工業制御モデルに対応する仮想検出対象モデルを生成しS200、仮想検出対象モデルを予め設定される検出端に送信し、検出端によりフィードバックされた脆弱性情報を受信しS300、脆弱性情報を統計処理し、脆弱性情報に基づいて検出端を更新しS400、情報安全を確保した上で、競合型の複数側の脆弱性識別アーキテクチャを提供し、脆弱性識別能力を高める。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
