随着信息化和工业化的深度融合,工业控制系统(Industrial Control System,ICS)逐渐整合了信息技术与互联网技术,在提高企业工作效率的同时,也增加了工控系统的安全风险。近年来,针对工控系统的网络攻击行为越来越频繁。由于工控系统是国家关键基础设施的组成部分,工控系统网络的安全关系到国家安全,因此,工控系统网络安全成为了安全领域的重点研究问题。通过分析近些年的工控系统攻击事件,安全性漏洞是导致工控系统存在安全隐患的主要原因,攻击者可以利用安全性漏洞对工控系统实行攻击。因此,为解决传统漏洞挖掘方法在工控系统中应用的难点,提出工控网络协议模糊测试方法,此方法包括三个研究内容。首先,为生成具有针对性的测试用例,根据工控系统中常见的漏洞信息,划分工控系统漏洞的类别,提取不同类别的关键特征,提出工控网络协议测试用例变异因子和变异因子执行方法,使用轮盘赌选择策略和区间内的归一化方法映射变异因子的数据值,简化随机选择过程。然后,为有效的对工控公有协议进行模糊测试,以Modbus TCP协议作为工控公有协议的样例,依据协议规约分析单个报文的协议特征和请求与响应报文的协议特征对应关系。依据Modbus TCP协议特征的依赖关系,结合测试用例变异因子提出Modbus TCP测试用例生成策略,根据请求与响应的协议特征对应关系和旁路监听方法,检测响应数据是否正常,使用基于分辨矩阵的属性约简算法确定导致异常的关键协议特征。最后,为有效的对工控私有协议进行模糊测试,使用具有功能标识符特征的字节作为划分字节,对私有协议数据集进行分类,构建私有协议树,采用可变字节值概率统计方法、长度域学习方法、Apriori和Needleman/Wunsch算法学习私有协议特征,依据协议特征学习结果进行模糊测试与异常监控。设计并实现工控网络协议模糊测试系统,对真实工控设备进行模糊测试实验,对比Modbus TCP模糊测试方法与传统模糊测试器的实验结果,检测并分析Modbus TCP协议栈的异常信息,学习工控私有协议数据集的协议特征,分析协议特征学习结果和模糊测试结果,验证工控网络协议模糊方法能够有效的学习私有协议特征,检测工控网络协议的漏洞。