一种基于异构信息网络的工控设备漏洞挖掘方法技术

本发明专利技术通过网络安全领域的方法，实现了一种基于异构信息网络的工控设备漏洞挖掘方法。基于异构信息网络，利用元路径来建模工控设备软件代码中关联关系，使用图神经网络来检测元路径中的异常值，最后将挖掘出的异常值作为软件代码中的漏洞进行检验；方法包括三个过程：第一，异构信息网络建模；第二，自定义元路径表征；第三，多核学习漏洞挖掘。本发明专利技术提供的方法可以深入、全面挖掘工控设备漏洞的方法，来提高工控设备的安全性。同时该方法需要能够支持不同的设备种类，以降低漏洞挖掘成本，扩大使用范围。用范围。用范围。

【技术实现步骤摘要】
一种基于异构信息网络的工控设备漏洞挖掘方法


[0001]本专利技术涉及网络搜索
，尤其涉及一种基于异构信息网络的工控设备漏洞挖掘方法。

技术介绍

[0002]工控，即工业自动化控制，主要是结合信息技术，电子技术和机械技术实现工业生产过程的智能化、自动化，让机器更加智能，大幅提高生产效率。工控在大型核电站，航空航天等重要领域有着不可替代的优势，但这同时也意味着对于工控设备的安全性有着极高的要求，如果工控设备出现漏洞，很容易带来难以挽回的损失。工控设备其功能较为复杂，代码规模较为庞大，人工测试难免有未挖掘出的安全漏洞遗留。如今也有许多可用于漏洞挖掘的方法，但仍存在一些局限性：
[0003]1.漏洞特征提取较简易，而漏洞种类较多，现有方法难以将其全部挖掘出来。
[0004]2.现有检测方法难以捕捉大量设备固件、漏洞之间的复杂关联，对于设备库、漏洞库的利用停留在表面且手段单一，对于漏洞的挖掘多采用特征比对等简单方式，挖掘不够深入且质量不佳。
[0005]3.工控设备类型众多，应用场景极为广泛，大到航空航天等重大基础设施，小到外卖柜、摄像头等民用设备，不同的设备有着不同的架构，不同的功能。而目前的挖掘方法难以解决所有问题，泛用性较差。
[0006]因此，需要一种可以深入、全面挖掘工控设备漏洞的方法，来提高工控设备的安全性。同时该方法需要能够支持不同的设备种类，以降低漏洞挖掘成本，扩大使用范围。
[0007]如上所述，为了深入、全面的挖掘工控设备的漏洞，我们提出一种基于异构信息网络的漏洞挖掘方法。该方法通过对工控设备固件进行代码级的静态检测，将待检测设备固件进行反汇编，并与已有设备库中的海量设备固件进行关联分析，并按照基本块逻辑关系、接口调用关系等进行抽象构建异构信息网络，通过图神经网络进行节点表征，生成交换矩阵来表示元路径，使用多核学习对元路径进行分类，从而实现深入、全面的工控设备漏洞挖掘，为工控设备提供安全保障。与人工检查以及现有的一些漏洞挖掘方法相比，我们提出的方法有以下优势；
[0008]1.引入异构信息网络建模待检测设备与漏洞库、设备库中相关程序的关联，并使用图神经网络进行节点表征，同时提取图中元路径进行分类，能够完整而高效的提取漏洞特征，使得能够全面挖掘安全漏洞。
[0009]2.从代码层面上进行抽象，从工控设备的代码核心层面入手构建异构信息网络，着手点足够深入，能够挖掘深层次的安全漏洞。
[0010]3.使用深度学习方法从代码层面对工控设备漏洞进行挖掘，不需要过于关注工控设备的种类，可以用于各种设备，具有良好的泛用性。

技术实现思路

[0011]为此，本专利技术首先提出一种基于异构信息网络的工控设备漏洞挖掘方法，基于异构信息网络，利用元路径来建模工控设备软件代码中关联关系，使用图神经网络来检测元路径中的异常值，最后将挖掘出的异常值作为软件代码中的漏洞进行检验；
[0012]方法包括三个过程：
[0013]第一，异构信息网络建模：对工控设备软件代码进行分析处理，抽离其中接口调用逻辑，融合漏洞库、设备库中的代码信息，对待检测软件、设备库中工控软件模块以及接口之间的关系进行建模，基于接口和设备软件模块两个实体构建异构信息网络图；
[0014]第二，自定义元路径表征：依据预定义的四种节点关系，定义异构信息图中的元路径，用元路径表征工控设备软件代码中的相似关联关系，服务后续的挖掘算法；
[0015]第三，多核学习漏洞挖掘：通过合并元路径为矩阵，将约束条件建模为凸优化问题进行求解，最后学习到不同路径的权重并作为核再通过聚类算法进行漏洞挖掘。
[0016]所述异构信息网络建模过程首先进行基本抽象定义，之后再构建异构信息网络。
[0017]所述基本抽象定义的具体过程为：首先进行实体抽象，从工控设备中的软件代码抽象出“接口”和“软件模块”两个实体；之后进行实体关系定义，以工控设备常用的编程语言为例，考虑接口和软件模块之间的关系，定义以下四种实体关系：包含关系，指软件模块包含某个接口；同一代码块关系，指接口之间处于同一段代码块中；同一依赖库关系，指接口之间处于同一个依赖库中；依赖函数关系：指接口调用了同一依赖库函数；
[0018]之后基于两种实体以及四种关系，定义以下四种矩阵表示实体以下间的关系：矩阵A，其中a
ij
＝1代表模块i包含接口j；矩阵B，其中b
ij
＝1代表接口i和接口j属于同一代码块关系；矩阵C，其中c
ij
＝1代表接口i和接口j属于同一依赖库关系；矩阵D，其中d
ij
＝1代表接口i和接口j属于依赖函数关系。
[0019]所述构建异构信息网络的具体方法为：对工控设备软件代码进行分析处理，提取其接口调用栈信息以及不同模块之间接口耦合关系，并基于提取的信息搭建异构信息网络，首先构建提取器，对代码进行抽象建模，识别全部工控模块中的接口信息，并给每个接口都绑定一个全局标志，用于后续的关系建模分析；之后构建异构信息网络构造器，基于提取出的接口和工控模块实体，搭建异构信息网络，将定义的四种关系映射到图中的实体连接上。
[0020]所述自定义元路径表征的具体方法为：在异构信息图上的实体之间定义元路径，元路径代表实体之间的逻辑关系，代表两个模块使用了同样的接口。
[0021]所述多核学习漏洞挖掘的具体方法为：将不同的元路径进行归纳与合并成核，再采用多核学习的手段进行自动化的算法演算，从而学习元路径之间的相似性，并决定每条元路径在进行漏洞挖掘时所分配的权重；
[0022]具体而言，对于异构图数据进行凸优化问题的建模，引入放松因子来允许部分的错误划分，引入希尔伯特空间内对特征的非线性映射关系对权重进行进一步约束，再使用呈现定理，最终通过解凸优化问题来或得每条元路径不同的权重。在学习到每条元路径的权重并作为核后，采用多核聚类的方法进行漏洞挖掘。
[0023]本专利技术所要实现的技术效果在于：
[0024]1.本专利技术使用图神经网络进行节点表征，并提取图中元路径进行分类，提取的特
征较为全面，能够挖掘各种不同类型的安全漏洞。
[0025]2.本专利技术从代码层面上进行抽象，着手点足够深入，直接接触工控设备的代码核心，保证了漏洞挖掘的深度。
[0026]3.本专利技术使用深度学习方法从代码层面对工控设备漏洞进行挖掘，不需要过于关注工控设备的种类，可以用于各种设备，具有良好的泛用性和可移植性。
附图说明
[0027]图1执行流程；
[0028]图2异构信息网络图
具体实施方式
[0029]以下是本专利技术的优选实施例并结合附图，对本专利技术的技术方案作进一步的描述，但本专利技术并不限于此实施例。
[0030]本专利技术提出了一种基于异构信息网络的工控设备漏洞挖掘方法。
[0031]本实施例中技术方案针对工业互联背景下，工业摄像头、自动开关等联网设备的漏洞检测场景，收集海量联网设备的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于异构信息网络的工控设备漏洞挖掘方法，其特征在于：基于异构信息网络，利用元路径来建模工控设备软件代码中关联关系，使用图神经网络来检测元路径中的异常值，最后将挖掘出的异常值作为软件代码中的漏洞进行检验，最后利用多核学习提取异常特征并对异常类型进行分类，进而输出判定待检测的设备固件是否存在漏洞，存在漏洞种类的结论；方法包括三个过程：第一，异构信息网络建模：对工控设备软件代码进行分析处理，抽离其中接口调用逻辑，融合漏洞库、设备库中的代码信息，对待检测软件、设备库中工控软件模块以及接口之间的关系进行建模，基于接口和设备软件模块两个实体构建异构信息网络图，实体的抽取根据工控设备软件代码内相关的定义得到，然后通过位置上的判断即两个接口是否在统一代码块，以及逻辑上的判断即两个接口是否来自同一依赖库或者调用同一依赖函数，功能模块是否用到了某个接口，来对实体间的关系进行建模，实体之间的四类关系使用四个邻接矩阵表示，如使用矩阵A来描述模块与接口的包含关系，如果模块i包含了接口j，那么A
i,j
＝1，否则A
i,j
＝0；第二，自定义元路径表征：依据预定义的四种节点关系，定义异构信息图中的元路径，用元路径表征工控设备软件代码中的相似关联关系，其中元路径由路径上邻接矩阵的乘积来表示，而元路径上的边是有向边，包含作为唯一的单向关系，它的反向关系由矩阵的转置来表示；第三，多核学习漏洞挖掘：通过合并元路径为矩阵，将约束条件建模为凸优化问题进行求解，最后学习不同路径的权重矩阵并作为核函数再通过聚类算法进行漏洞挖掘，即用合并元路径得到的矩阵x来代表该工控设备软件，使用核函数将元路径矩阵往高维特征空间映射以便于更好的分类，即对于一个元路径矩阵x，目标是使用权重矩阵w和b，通过计算对其进行漏洞分类，模型的具体构建如下：假设数据集中有m个带标签的软件{(z1,y1),(z2,y2),
…
(z
m
,y
m
)},y
i
∈(
‑
1,1)，其中x
i
为z
i
对应的元路径矩阵，最终目标函数为使得假设存在核函数通过拉格朗日乘子法将其转换为对偶问题通过二次规划算法求解出α
i
后即可利用对工控设备软件进行分类。2.如权利要求1所述的一种基于异构信息网络的工控设备漏洞挖掘方法，其特征在于：所述异构信息网络建模过程首先进行基本抽象定义，之后再构建异构信息网络。3.如权...

【专利技术属性】
技术研发人员：查奇文，王聪，马莉雅，岳洋，徐绍航，赵佳宾，钮艳，刘权，王宁，殷荣超，于成丽，
申请(专利权)人：中国工业互联网研究院，
类型：发明
国别省市：