随着计算机网络技术的快速发展,工业化与信息化的深度融合,物联网技术的迅速推进,工业控制系统(Industrial Control System,ICS)已经成为国家关键基础设施领域的核心控制系统。而目前,我国绝大多数的ICS没有任何防护措施,暴露在外,面临着巨大的安全风险。因此,构造一种高效的工控网络协议的漏洞挖掘方法是重中之重的。Modbus TCP协议广泛应用于ICS中,并且传统的Modbus TCP协议漏洞挖掘方法中出现低接收率和低漏洞挖掘能力的问题,因此,以Modbus TCP协议作为漏洞挖掘对象,考虑Modbus TCP协议中的深度依赖性与循环神经网络模型时序性的特点,提出基于反样本的工控网络协议漏洞挖掘方法。主要研究工作分为三部分:(1)为了表示寄存器中各数据值的规律,提出基于循环神经网络(Recurrent Neural Network,RNN)的概率分布矩阵。Modbus TCP协议中包含要访问工控设备的寄存器地址字段,字段中的数据值表示各寄存器所要工控设备执行的具体操作。因此,构建循环神经网络学习协议数据单元的语义,Softmax函数输出各个寄存器中数据值的概率分布矩阵。这样,有助于RNN理解每个寄存器中经常出现的数据值与不经常出现的数据值,从而利于反样本算法生成测试用例。(2)为了增加发现未知漏洞的可能性,提出基于反样本算法的生成策略。Modbus TCP协议中,不同的寄存器地址代表不同的含义,每一个寄存器都有具体的数据值。其中,经常出现的数据值表示已经多次访问,发现新漏洞的可能性极低,而不经常出现的数据值却具有更好的漏洞挖掘能力。因此,概率分布矩阵中最大的概率所对应的数据值为经常出现的数据值,而最小的概率所对应的数据值为不经常出现的数据值。每生成一个概率矩阵,均生成一个随机可变阈值,比较随机可变阈值与最大概率的关系,依据比较结果决定是否选择经常出现的数据值生成测试用例。同时,为了判断生成的测试用例是否挖掘出漏洞,监控工控设备的状态,观察此次测试用例是否引起设备响应异常,以此来发现协议的漏洞。(3)为了生成高效的测试用例用于Modbus TCP协议的漏洞挖掘,针对Modbus TCP协议,提出工控网络协议测试用例生成模型。首先,搭建并迭代训练RNN,确定每一层的权重参数,理解不同寄存器的数据值规律。然后,利用概率矩阵与反样本的算法生成测试用例,增加发现未知漏洞的可能性。根据以上三部分工作,实现的漏洞挖掘方法称为反样本模糊测试器,使用反样本模糊测试器在工控设备上进行实验,结果表明,反样本模糊器不仅提高了接收率与漏洞挖掘能力,并能快速检测出Modbus TCP协议的漏洞。从而,解决了传统方法中低接收率和低漏洞挖掘能力的问题。