申请/专利权人：西安电子科技大学

申请日：2024-03-08

公开（公告）日：2024-06-11

公开（公告）号：CN118174911A

主分类号：H04L9/40

分类号：H04L9/40;G06N7/02

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.06.28#实质审查的生效;2024.06.11#公开

摘要：本发明提出了一种基于模糊测试的工控蜜罐检测方法，实现步骤为：初始化工控蜜罐设备；对基于actor‑critic网络的优化模型进行迭代训练；对训练设备和待检测设备进行模糊测试；对逻辑回归模型O进行迭代训练；获取蜜罐检测结果。本发明通过对每个训练设备和每个待检测设备进行模糊测试，能够获取训练设备集合中的每个正常工控设备和开源工控蜜罐设备的特征响应报文，进而获取正常工控设备和开源工控蜜罐设备响应的差异性特征，有效提高了蜜罐检测的准确率；且采用的逻辑回归模型能够快速地提取待检测设备的特征并获取蜜罐检测的结果，有效提高了蜜罐检测的效率。

主权项：1.一种基于模糊测试的工控蜜罐检测方法，其特征在于，包括以下步骤：1初始化工控蜜罐设备：初始化工控蜜罐设备包括K个正常工控设备和S个开源工控蜜罐设备，并将其中的N个正常工控设备和H个开源工控蜜罐设备的共P＝H+N个工控蜜罐设备组成训练设备集合，将剩余的Q＝K+S-P个工控蜜罐设备组成待检测设备集合,第p个训练设备的工控协议端口对应的模糊测试程序的输入报文为Ip，则训练设备集合对应的输入报文集合为I，其中，K≥4×S，2对基于actor-critic网络的优化模型进行迭代训练：构建包括级联的模糊器和actor-critic网络的优化模型U，并将输入报文集合I作为U的输入对其进行T轮优化，得到训练好的优化模型U*输出的每个输入报文Ip对应的模糊化输入报文在状态sT下的概率分布πap|sT；θT和估值Vrp；ΦT，其中T≥1000，ap、rp分别表示actor子网络、critic子网络中的融合特征向量；3对训练设备和待检测设备进行模糊测试：选取P个概率分布中最大值对应的模糊化输入报文作为训练设备集合和待检测设备集合的输入，训练设备集合中的第n个正常工控设备和第h个开源工控蜜罐设备，以及第q个待检测设备在的响应下，抓取流经各自的特征响应报文Rn、Rh和Rq；4对逻辑回归模型O进行迭代训练：将训练设备集合的特征响应报文作为逻辑回归模型O的输入进行迭代训练，得到训练好的逻辑回归模型O*；5获取蜜罐检测结果：将待检测设备集合对应的Q个特征响应报文作为训练好的逻辑回归模型O*的输入进行前向传播，得到每个待检测设备的假设函数并将与预先设置的阈值λ满足时的设备判定为开源工控蜜罐设备，其余的设备判定为正常工控设备。

全文数据：

权利要求：

百度查询： 西安电子科技大学 基于模糊测试的工控蜜罐检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD